ファイアウォールルールのテスト(Linux)
ファイアウォールルールをテストする方法について質問があります。具体的には、学術目的のために、特定のインターフェイスであらゆる種類のパケットを受け入れるマシンをセットアップする必要があります。
IPテーブルルールを追加しました。
Sudo iptables –A INPUT –i eth0 –j ACCEPT
このインターフェイスがあらゆる種類のパケットを受け入れることを実際に証明する必要があります。誰かが私を助けることができる特定の方法やツールを知っていますか?私はこれ以上良いものを見つけることができません
nmap -p 80 <ipAddress>
または
nmap - sU <ipAddress>
あるいは、インターフェイスがすべての種類のパケットを受け入れることを証明するためのより良いソリューションを誰かが提案できるかもしれません。
ほとんどの場合、nmap -p 0-65535 -PN <ip>は、リモートファイアウォールのTCPルールセットをテストするのに適しています。より高度なものが必要な場合は、 hping のような packet crafter を使用できます。ファイアウォールルールセットをテストするように設計されています ここ は、hpingを使用したパケットの構築に関する情報です。
-j LOGオプションを使用してiptablesにロギング機能を実装し、OSを変更してログファイルを生成することもできます。これは、PBXの新規インストールで行います。
iptables -N SIP-Firewall
iptables -A SIP-Firewall -s 110.10.0.0/255.255.255.0 -j ACCEPT
iptables -A SIP-Firewall -s 204.9.161.164 -j ACCEPT
iptables -A SIP-Firewall -s 63.209.144.201 -j ACCEPT
iptables -A SIP-Firewall -s 66.54.140.46 -j ACCEPT
iptables -A SIP-Firewall -m string --string "tel:" --algo bm --to 65 -j DROP
iptables -A SIP-Firewall -m string --string "OPTIONS sip:" --algo bm --to 65 -j ACCEPT
iptables -A SIP-Firewall -m string --string "INVITE sip:" --algo bm --to 65 -m hashlimit --hashlimit 4/min --hashlimit-burst 1 --hashlimit-mode srcip,dstport --hashlimit-name sip_i_limit -j ACCEPT
iptables -A SIP-Firewall -m string --string "REGISTER sip:" --algo bm --to 65 -m hashlimit --hashlimit 2/min --hashlimit-burst 1 --hashlimit-mode srcip,dstport --hashlimit-name sip_r_limit -j ACCEPT
iptables -A SIP-Firewall -m hashlimit --hashlimit 10/min --hashlimit-burst 1 --hashlimit-mode srcip,dstport --hashlimit-name sip_o_limit -j ACCEPT
iptables -A SIP-Firewall -j LOG
iptables -A SIP-Firewall -j DROP
vi /etc/syslog.conf
kern.warning /var/log/iptables.log
service syslog restart
ここにいくつかの情報: