за конфигуриране на защитна стена или защитна стена в Linux, ние можем да използваме iptables, мощен инструмент, който изглежда забравен от много потребители. Въпреки че има и други методи, като ebtables и arptables за филтриране на трафика на ниво връзка, или Squid на ниво приложение, iptables могат да бъдат много полезни в повечето случаи, като прилагат добра сигурност в нашата система на ниво трафик и транспорт на мрежата.
Ядрото на Linux изпълнява iptables, част от която се грижи за филтриране на пакети и че в тази статия ще ви научим да конфигурирате по прост начин. Най-просто казано, iptables идентифицира каква информация може и какво не може да влиза, изолирайки вашия екип от потенциални заплахи. И въпреки че има и други проекти като Firehol, Firestarter и др., Много от тези защитни стени използват iptables ...
Е, Нека се захващаме за работа, с примери ще разберете всичко по-добре (за тези случаи е необходимо да имате привилегии, така че използвайте sudo пред командата или станете root):
Общият начин за използване на iptables да създадете политика на филтър е:
IPTABLES-АРГУМЕНТИ ВХОДНО-ИНД
Където е -ARGUMENT аргумента, който ще използваме, обикновено -P за установяване на политика по подразбиране, въпреки че има и други като -L, за да видите политиките, които сме конфигурирали, -F за изтриване на създадена политика, -Z за нулиране на броячите на байтове и пакети и т.н. Друга опция е -A за добавяне на политика (не по подразбиране), -I за вмъкване на правило на определена позиция и -D за изтриване на дадено правило. Ще има и други аргументи, които да сочат към -p протоколи, –порт пристанищен порт, –порт за пристанищен порт, -i входящ интерфейс, -o изходящ интерфейс, -s IP адрес на източника и -d IP адрес на дестинация.
Освен това I / O би представлявал, ако политика той се прилага към входа INPUT, към изхода OUTPUT или е ПРЕДАВАНЕ на пренасочване напред (има и други като ПРЕДВАРИТЕЛНО, ПОСТРОЙТИРАНЕ, но ние няма да ги използваме). И накрая, това, което нарекох ACTION, може да приеме стойността ACCEPT, ако приемем, REJECT, ако отхвърлим или DROP, ако премахнем. Разликата между DROP и REJECT е, че когато пакетът бъде отхвърлен с REJECT, машината, която го е произвела, ще знае, че е отхвърлен, но с DROP действа тихо и нападателят или произходът няма да разберат какво се е случило и няма знаем дали имаме защитна стена или връзката просто е неуспешна. Има и други като LOG, които изпращат проследяване на syslog ...
За промяна на правилата, можем да редактираме файла iptables с нашия предпочитан текстов редактор, nano, gedit, ... или да създадем скриптове с правила (ако искате да ги замените, можете да го направите, като поставите # пред реда, така че да е игнориран като коментар) през конзолата с команди, както ще го обясним тук. В Debian и производни можете също да използвате инструментите iptables-save и iptables-restore ...
Най-екстремната политика е да се блокира всичко, абсолютно целия трафик, но това ще ни остави изолирани, с:
iptables -P INPUT DROP
Да приема всичко това:
iptables -P INPUT ACCEPT
Ако искаме това целият изходящ трафик от нашия екип се приема:
iptables -P OUTPUT ACEPT
La друго радикално действие би било заличаването на всички политики от iptables с:
iptables -F
Нека да преминем към по-конкретни правилаПредставете си, че имате уеб сървър и следователно трафикът през порт 80 трябва да бъде разрешен:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
И ако в допълнение към предишното правило, ние искаме екип с iptables да се вижда само от компютри в нашата подмрежа и това остава незабелязано от външна мрежа:
iptables -A INPUT -p tcp -s 192.168.30.0/24 --dport 80 -j ACCEPT
В предишния ред това, което казваме на iptables, е да добавим правило -A, така че да се приемат INPUT входовете и TCP протоколът през порт 80. А сега си представете, че искате от мен сърфирането в мрежата е отхвърлено за локални машини, преминаващи през машината, работеща с iptables:
iptables -t filter -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 DROP
Мисля, че използването е просто, като се вземе предвид за какво е предназначен всеки параметър на iptables, можем да добавим прости правила. Можете да правите всички комбинации и правила, които си представяме ... За да не се разширявам повече, просто добавете още едно нещо и то е, че ако машината се рестартира, създадените политики ще бъдат изтрити. Таблиците се рестартират и ще останат както преди, следователно, след като сте дефинирали добре правилата, ако искате да ги направите постоянни, трябва да ги накарате да стартират от /etc/rc.local или ако имате Debian или производни използвайте инструментите, които са ни дадени (iptables-save, iptables-restore и iptables-apply).
Това е първата статия, която виждам на IPTABLES, която, макар и гъста - изисква средно ниво на знания, ОТИЧВА ПРЯКО ДО ЗЪРНОТО.
Препоръчвам на всички да го използват като "ръководство за бързи справки", тъй като е много добре кондензирано и обяснено. 8-)
Бих искал да поговорите в бъдеща статия за това дали промяната на systemd в повечето дистрибуции на linux влияе по някакъв начин на сигурността на linux като цяло и дали тази промяна е за добро или лошо за бъдещето и дистрибуциите на linux. Бих искал също да знам какво се знае за бъдещето на devuan (debian без systemd).
Благодаря ви много, че правите много добри статии.
Бихте ли могли да направите статия, обясняваща таблицата на манглата?
Да се блокира ли само Facebook?