Как да конфигурирате защитната стена в Linux с IPtables

Pablinux

6 Minutos

iptable linux

Въпреки че понякога все още докосвам Windows сам и в много други ме принуждават (marditoh rodoreh), когато трябва да правя неща далеч от компютрите си, за мен говоренето за Windows е като нещо, което е изоставено далеч назад във времето. Когато я използвах като моя основна система (нямах друга), се опитах да я защитя със софтуер като антивирусната програма на Kaspersky и от време на време защитна стена, сред много други инструменти за сигурност. В Linux никога не сме били толкова изложени, както в Windows, но има и софтуер, който ни помага да сме по-спокойни, като напр. IPtables, защитна стена или защитна стена.

Защитната стена е система за сигурност, която отговаря за контролирането на мрежовия трафик, който влиза и излиза от операционната система. Една от най-разпространените в Linux е гореспоменатата IPtables, до такава степен, че вероятно и без да знаете, тя вече е инсталирана във вашата операционна система, откакто сте я пуснали. Това, което ще се опитаме да направим в тази статия, е да обясним как да конфигурирате защитната стена в linux с IPtables.

IPtables на Linux, какво трябва да знаете

Конфигуриране на защитна стена може да бъде сложно, и повече в операционна система като Linux, в която най-доброто се постига с едно докосване на терминал. Преди да започнете, препоръчително е да знаете малко за проблемите с мрежата и сигурността или поне да разберете, че когато сме свързани, ние комуникираме с друго оборудване и тези устройства или техните собственици може да имат добри или лоши намерения. Поради тази причина, в зависимост от това как използваме нашия компютър, си струва да контролираме всичко, което излиза и всичко, което влиза в него.

Освен това и за това, което може да се случи, ако имаме друга защитна стена на нашата Linux система и ще започнем да променяме нещата в IPtables, струва си да направим резервно копие на текущата конфигурация на защитната стена. След като всичко това е ясно, започваме да говорим напълно за конфигурацията на IPtables.

  1. Първото нещо, което трябва да направим, е да инсталираме пакета. Повечето дистрибуции на Linux го имат инсталиран по подразбиране, но това не винаги е така. За да разберем дали имаме инсталирани IPtables в нашата операционна система, отваряме терминал и пишем iptables -v. В моя случай и към момента на писане на тази статия моят терминал ме връща iptable v1.8.8. В случай, че не е инсталиран, може да се инсталира с:

Ubuntu/Debian или производни:

sudo apt инсталирайте iptables

Fedora/Redhat или производни:

sudo yum инсталирайте iptables

Arch Linux и производни

sudo pacman -Siptables

След инсталирането ще бъде активиран с:

sudo systemctl активира iptables sudo systemctl стартира iptables

И можете да видите състоянието му с:

sudo systemctl status iptables
  1. След като защитната стена вече е инсталирана, трябва да конфигурирате нейните правила. Правилата на IPtables са разделени на таблици (за които ще говорим по-подробно по-късно в тази статия): filter, nat и mangle, към които трябва да добавим raw и security. Филтърната таблица се използва за контролиране на входящия и изходящия трафик, таблицата nat се използва за извършване на NAT (транслация на мрежови адреси), а таблицата на mangle се използва за модифициране на IP пакета. За да конфигурирате правилата на филтърната таблица, се използват следните команди:
  • iptables -A INPUT -j ACCEPT (разрешаване на целия входящ трафик).
  • iptables -A OUTPUT -j ACCEPT (разрешаване на целия изходящ трафик).
  • iptables -A FORWARD -j ACCEPT (разрешаване на целия маршрутизиращ трафик). Тази конфигурация обаче позволява целия трафик и не се препоръчва за производствена система. Важно е да се определят правилата на защитната стена въз основа на специфичните нужди на системата. Например, ако искате да блокирате входящия трафик на порт 22 (SSH), можете да използвате командата:
iptables -A INPUT -p tcp --dport 22 -j ИЗПУСКАНЕ
  1. Друго важно нещо е да запазите настройките, за да не ги загубите при рестартиране на системата. В Ubuntu и Debian командата "iptables-save" се използва за запазване на текущите конфигурации във файл. В Red Hat и Fedora командата "service iptables save" се използва за запазване на конфигурациите. Ако се съмнявате коя да използвате, командите на Ubuntu/Debian обикновено работят на повече дистрибуции.

Зареждане на конфигурации след рестартиране

за заредете запазените настройки, се използват същите команди, използвани за запазването им, но с действието „възстановяване“ вместо „запазване“. В Ubuntu и Debian командата "iptables-restore" се използва за зареждане на запазени конфигурации от файл. В Red Hat и Fedora командата "service iptables restore" се използва за зареждане на запазените конфигурации. Още веднъж, ако се съмнявате коя команда да използвате, командите на Ubuntu/Debian обикновено работят най-добре.

Важно е да се отбележи, че ако се направят промени в настройките на защитната стена, те трябва да бъдат запазени и презаредени, за да влязат в сила промените. Това е начин да презапишете конфигурационния файл с новите данни и ако не бъде направено по този начин, промените няма да бъдат запазени.

Таблици в IPtables

Има 5 видове изготвят в IPTables и всеки има различни приложени правила:

  • филтриране : Това е основната таблица и таблица по подразбиране при използване на IPTables. Това означава, че ако не се споменава конкретна таблица при прилагане на правила, правилата ще бъдат приложени към филтърната таблица. Както подсказва името й, ролята на филтърната таблица е да реши дали да позволи на пакетите да достигнат местоназначението си или да откаже заявката им.
  • NAT (Превод на мрежови адреси): Както подсказва името, тази таблица позволява на потребителите да определят превода на мрежови адреси. Ролята на тази таблица е да определи дали и как да модифицира адреса на пакета източник и дестинация.
  • развалям: Тази таблица ни позволява да променяме IP заглавките на пакетите. Например, TTL може да се регулира, за да удължи или съкрати мрежовите скокове, които пакетът може да поддържа. По подобен начин други IP хедъри също могат да бъдат модифицирани според вашите предпочитания.
  • суров: Основната употреба на тази таблица е за проследяване на връзки, тъй като предоставя механизъм за маркиране на пакети, за да видите пакетите като част от текуща сесия.
  • сигурност: Използвайки таблицата за защита, потребителите могат да прилагат вътрешни флагове за контекст на защита на SELinux към мрежови пакети.

Последните две таблици почти не се използват, до такава степен, че повечето документи говорят само за filter, nat и mangle.

В помощния файл можем да намерим примери как да управляваме IPtables. За да го видим, ще отворим терминал и ще напишем iptables -h.

Въпреки че iptables е една от най-добрите опции за Linux, ако предпочитате нещо по-просто с графичен интерфейс, можете да разгледате Firewalld.


Оставете вашия коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

*

*

  1. Отговорник за данните: AB Internet Networks 2008 SL
  2. Предназначение на данните: Контрол на СПАМ, управление на коментари.
  3. Легитимация: Вашето съгласие
  4. Съобщаване на данните: Данните няма да бъдат съобщени на трети страни, освен по законово задължение.
  5. Съхранение на данни: База данни, хоствана от Occentus Networks (ЕС)
  6. Права: По всяко време можете да ограничите, възстановите и изтриете информацията си.