LPI Linux 认证/配置路由器
(LPIC-2 版本 4.5)
权重 3
描述: 候选人应该能够配置系统以转发 IP 数据包并执行网络地址转换 (NAT,IP 伪装),并说明其在保护网络中的重要性。此目标包括配置端口重定向、管理过滤器规则和防止攻击。
关键知识领域
- iptables 和 ip6tables 配置文件、工具和实用程序。
- 管理路由表的工具、命令和实用程序。
- 私有地址范围 (IPv4) 和唯一本地地址以及链接本地地址 (IPv6)
- 端口重定向和 IP 转发。
- 列出并编写基于源或目标协议、端口和地址接受或阻止 IP 数据包的过滤和规则。
- 保存和重新加载过滤配置。
术语和实用程序
/proc/sys/net/ipv4//proc/sys/net/ipv6//etc/servicesiptablesip6tables
描述: 候选人应该能够配置 ipchains 和 iptables 以执行 IP 伪装,并说明网络地址转换和私有网络地址在保护网络中的重要性。此目标包括配置端口重定向、列出过滤规则,以及编写基于源或目标协议、端口和地址接受或阻止数据报的规则。还包括保存和重新加载过滤配置,使用 /proc/sys/net/ipv4 中的设置来响应 DoS 攻击,使用 /proc/sys/net/ipv4/ip_forward 来打开和关闭 IP 转发,以及使用 PortSentry 等工具来阻止端口扫描和漏洞探测。
关键文件,术语和实用程序包括
/proc/sys/net/ipv4 /etc/services ipchains iptables routed
您应该采取许多步骤来配置连接到不安全网络(如互联网)的路由器 首先,确定您需要的服务,并制定阻止所有其他服务的策略!这将最大限度地减少您遭受安全漏洞的风险。
路由器的常见步骤是
记录所有丢弃/拒绝的数据包(并限制记录的速率,以避免日志文件大小爆炸)尽可能使用 NAT – 不可路由地址更难被黑客攻击 为 TCP/UDP 定义默认策略块端口答案:丢弃/拒绝/重置 ?
丢弃并没有真正帮助,现在的扫描程序很容易检测到它。拒绝可能仍然表明防火墙正在阻止访问,重置的行为就像没有监听一样(即“正常”的方式)
除非您知道需要它,否则丢弃(并记录 + 限制)所有 ICMP 数据包,除了最有用的一些:目标不可达、超时和回声回复
防止已知的攻击,即:IP 地址反欺骗、禁用源路由数据包、禁用 icmp_redirect、记录“火星人”IP 地址(即出现在其不属于的接口上的地址)、禁用 syn_cookies、禁用 ECN(显式拥塞通知)、禁用 TCP 时间戳、ICMP 广播和 ICMP 错误数据包