LPI Linux 認證/配置路由器
(LPIC-2 版本 4.5)
權重 3
描述: 候選人應該能夠配置系統以轉發 IP 資料包並執行網路地址轉換 (NAT,IP 偽裝),並說明其在保護網路中的重要性。此目標包括配置埠重定向、管理過濾器規則和防止攻擊。
關鍵知識領域
- iptables 和 ip6tables 配置檔案、工具和實用程式。
- 管理路由表的工具、命令和實用程式。
- 私有地址範圍 (IPv4) 和唯一本地地址以及連結本地地址 (IPv6)
- 埠重定向和 IP 轉發。
- 列出並編寫基於源或目標協議、埠和地址接受或阻止 IP 資料包的過濾和規則。
- 儲存和重新載入過濾配置。
術語和實用程式
/proc/sys/net/ipv4//proc/sys/net/ipv6//etc/servicesiptablesip6tables
描述: 候選人應該能夠配置 ipchains 和 iptables 以執行 IP 偽裝,並說明網路地址轉換和私有網路地址在保護網路中的重要性。此目標包括配置埠重定向、列出過濾規則,以及編寫基於源或目標協議、埠和地址接受或阻止資料報的規則。還包括儲存和重新載入過濾配置,使用 /proc/sys/net/ipv4 中的設定來響應 DoS 攻擊,使用 /proc/sys/net/ipv4/ip_forward 來開啟和關閉 IP 轉發,以及使用 PortSentry 等工具來阻止埠掃描和漏洞探測。
關鍵檔案,術語和實用程式包括
/proc/sys/net/ipv4 /etc/services ipchains iptables routed
您應該採取許多步驟來配置連線到不安全網路(如網際網路)的路由器 首先,確定您需要的服務,並制定阻止所有其他服務的策略!這將最大限度地減少您遭受安全漏洞的風險。
路由器的常見步驟是
記錄所有丟棄/拒絕的資料包(並限制記錄的速率,以避免日誌檔案大小爆炸)儘可能使用 NAT – 不可路由地址更難被駭客攻擊 為 TCP/UDP 定義預設策略塊埠答案:丟棄/拒絕/重置 ?
丟棄並沒有真正幫助,現在的掃描程式很容易檢測到它。拒絕可能仍然表明防火牆正在阻止訪問,重置的行為就像沒有監聽一樣(即“正常”的方式)
除非您知道需要它,否則丟棄(並記錄 + 限制)所有 ICMP 資料包,除了最有用的一些:目標不可達、超時和回聲回覆
防止已知的攻擊,即:IP 地址反欺騙、停用源路由資料包、停用 icmp_redirect、記錄“火星人”IP 地址(即出現在其不屬於的介面上的地址)、停用 syn_cookies、停用 ECN(顯式擁塞通知)、停用 TCP 時間戳、ICMP 廣播和 ICMP 錯誤資料包