السلام عليكم ورحمة الله وبركاته …
بعض الأحيان تريد فصل خط الإتصال عن السيرفر بالعالم الخارجي وتصبح فقط أنت المتحكم به … في حالة كان الجهاز أمامك فإنه ببساطة كل ما عليك فعله هو سحب خط الشبكة من السيرفر/جهازك وأنتهى الموضوع، جهازك تحت تصرفك أنت فقط … أما في حالة كان الجهاز/سيرفر ليس أمامك وليس بمتناول يدك، ماذا ستفعل ؟
هل ستتصل بالـ Data Center وتقول لهم أسحبوا سلك الشبكة منه ؟ طيب لو نفرض فعلت ذلك، ما هي إستفادتك من جراء ذلك؟ أكيد فصلك للجهاز هو بسبب مشكلة معينة أو إختراق أو صيانة معينة … فإن فصلته كلياً عن الشبكة كيف ستتصل به أنت ؟ هل تقوم بكتابة الأوامر أنت وتقول للـ Data Center معلش طبقوا لي هذه الأوامر ؟ الجواب بدون شك لكل هذه الأسئلة هو “لا” …
التصرف السليم هو أن تفصل الشبكة عن الجميع إلا عن نفسك كما لو أنك على السيرفر والسيرفر أمامك !!! كيف ذلك ؟ الأمر ليس بذلك الصعوبة وبمقدورك عمله بإستعمالك للـ iptables !!! عجيب صح ؟ طيب شوف الحل كيف هو بسيط جداً:
/sbin/iptables -F;
/sbin/iptables -P INPUT DROP;
/sbin/iptables -P OUTPUT DROP;
/sbin/iptables -P FORWARD DROP;
/sbin/iptables -A INPUT -p tcp -s IPADDR --dport 22 -j ACCEPT;
/sbin/iptables -A OUTPUT -p tcp -d IPADDR -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT;
فقط قم بوضع الـ IP حق جهازك الذي تريد من خلاله الإتصال بالسيرفر بدل كلمة IPADDR وسلامة تسلمك … لن يصل للسيرفر أحد سواك بإذن الله … المسألة تم تجربتها ومتأكدين من صحتها أنا وأخي العزيز sAFA7_eLNeT …
التدوينة هذه ناتجة من خلال حديث جميل وشيق للغاية في مجتمع لينوكس العربي، في موضوع بعنوان:
ماذا تفعل لو أكتشفت أن جهازك /خادمك مخترق؟ لأخي العزيز sAFA7_eLNeT نفسه … طبعاً الموضوع فيه إختلاف في وجهات النظر لأنه بالنهاية الرد على هذا السؤال ليس كمثل لو قلنا 1+1=2 … لا هذا السؤال بالنهاية يعتمد على الإبداع البشري وكل إنسان سيصل الى حل وتحليل يختلف عن الآخر … ولهذا قلت عنه إبداع بشري … على كل حال الموضوع يستحق المتابعة والمشاركة برأيك … بالنهاية الإختلاف بالرأي لا يفسد للود قضية …
دمتم بود …
أخوكم B!n@ry …
فعلا الموضوع كان مفيد جدا ووجهات النظر زادت من حلاوته
بس سوال
/sbin/iptables -P INPUT DROP
/sbin/iptables -P OUTPUT DROP
/sbin/iptables -P FORWARD DROP
عفوا يابو محمد بس مش الثلاثة اوامر هادول حيعزلو الكل ومن ضمنهم انا عن السيرفر قبل ما الحق اطبق الاوامر
/sbin/iptables -A INPUT -p tcp -s IPADDR –dport 22 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d IPADDR -m state –state NEW,ESTABLISHED,RELATED -j ACCEPT
مش الافضل لو نعملهم في ملف شيل ونطبقه
هل حيكون فيه مجال اطبق باقي
هلا أخوي دارك … صراحة أنا أقوم بتشغيلها الاوامر هذه من خلال سكربت ولهذا لم ألاحظ هذا الشيء … لكنها نقطة جميلة للغاية أتمنى لو تقوم بالتجربة وتعطينا النتائج على الأقل لنوضحها للأخوة القراء …
دمت بود …
انا ما قلت كده الا من واقع تجربة
الحمد لله انه السيرفر كان في نفس الغرفة
ولا كانت مصيبة
تمام تمام يعني جربت السالفة يا دارك … بالنسبة لي كما قلت فعلاً أستعمل شل سكربت فيها الأوامر هذي … خلاص بحطها في التدوينة إذن إن شاء الله … شكراً لك يالغالي …