Uvod u IPTABLES: konfiguriranje vatrozida na Linuxu

Isaac

4 minuta

iptables

para konfigurirati vatrozid ili vatrozid u Linuxu, možemo koristiti iptables, moćan alat koji mnogi korisnici čine zaboravljenim. Iako postoje i druge metode, poput ebtables i arptables za filtriranje prometa na razini veze, ili Squid na razini aplikacije, iptables u većini slučajeva mogu biti vrlo korisni, implementirajući dobru sigurnost u naš sistem na razini prometa i transporta mreže .

Linux kernel implementira iptables, dio koji brine se o filtriranju paketa i da ćemo vas u ovom članku naučiti konfigurirati na jednostavan način. Jednostavno rečeno, iptables prepoznaje koje informacije mogu, a koje ne mogu ući, izolirajući vaš tim od potencijalnih prijetnji. I premda postoje i drugi projekti poput Firehol, Firestarter itd., Mnogi od ovih vatrozidnih programa koriste iptable ...

Kao dobro, Prijeđimo na posao, s primjerima ćete sve bolje razumjeti (za ove slučajeve potrebno je imati privilegije, zato koristite sudo ispred naredbe ili postanite root):

Općeniti način upotrebe iptables kreiranje politike filtra je:

IPTABLE -ARGUMENTI I / O AKCIJA

Gdje je -ARGUMENT argument koji ćemo koristiti, normalno -P za uspostavljanje zadane politike, iako postoje i druge poput -L da bi vidjeli politike koje smo konfigurirali, -F za brisanje kreirane politike, -Z za resetiranje brojača bajtova i paketa itd. Druga opcija je -A za dodavanje politike (ne prema zadanim postavkama), -I za umetanje pravila na određenoj poziciji i -D za brisanje datog pravila. Tu će biti i drugi argumenti koji ukazuju na -p protokole, -port izvorni port, -port za odredišni port, -i dolazno sučelje, -o odlazno sučelje, -s izvorna IP adresa i -d odredišna IP adresa.

iptables ulaz-izlaz

Nadalje, I / O bi predstavljao da politika primjenjuje se na ulaz INPUT, na izlaz OUTPUT ili je preusmjeravanje prometa NAPRIJED (postoje i drugi kao što su PREROUTING, POSTROUTING, ali ih nećemo koristiti). Konačno, ono što sam nazvao ACTION može poprimiti vrijednost ACCEPT ako prihvatimo, REJECT ako odbijemo ili DROP ako eliminiramo. Razlika između DROP i REJECT je u tome što kada se paket odbaci pomoću REJECT, mašina koja ga je pokrenula znat će da je odbijen, ali s DROP djeluje tiho i napadač ili izvor neće znati što se dogodilo i neće znajte imamo li zaštitni zid ili je veza samo propala. Postoje i drugi poput LOG-a, koji šalju nastavak syslog-a ...

Izmijeniti pravila, možemo uređivati ​​iptables datoteku s našim preferiranim uređivačem teksta, nano, gedit, ... ili stvoriti skripte s pravilima (ako ih želite poništiti, to možete učiniti stavljanjem # ispred reda tako da bude ignorirano kao komentar) kroz konzolu s naredbama, kao što ćemo ovdje objasniti. U Debianu i izvedenicama također možete koristiti alate iptables-save i iptables-restore ...

Najekstremnija je politika blokirati sve, apsolutno sav promet, ali ovo će nas ostaviti izoliranima, sa:

iptables -P INPUT DROP

Da prihvatim sve:

iptables -P INPUT ACCEPT

Ako to želimo sav odlazni promet našeg tima je prihvaćen:

iptables -P OUTPUT ACEPT

La druga radikalna akcija bila bi brisanje svih politika iz iptables sa:

iptables -F

Idemo na konkretnija pravilaZamislite da imate web server i stoga promet preko porta 80 mora biti dozvoljen:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

I ako pored prethodnog pravila, želimo tim sa iptables mogu ih vidjeti samo računari u našoj podmreži a to neprimjećuje vanjska mreža:

iptables -A INPUT -p tcp -s 192.168.30.0/24 --dport 80 -j ACCEPT

U prethodnom redu, ono što govorimo iptables-u je dodavanje pravila -A, tako da se prihvate INPUT ulazi i TCP protokol kroz port 80. Sad zamisli da to želiš pregledavanje weba je odbijeno za lokalne mašine koje prolaze kroz mašinu na kojoj rade iptables:

iptables -t filter -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 DROP

Mislim da je upotreba jednostavna, uzimajući u obzir čemu služi svaki parametar iptables, možemo dodati jednostavna pravila. Možete raditi sve kombinacije i pravila koja zamislimo ... Da se ne bih više proširio, dodajte samo još jednu stvar, a to je da će se, ako se mašina ponovo pokrene, kreirane politike izbrisati. Tablice se ponovno pokreću i ostat će kao i prije, dakle, nakon što dobro definirate pravila, ako ih želite učiniti trajnim, morate ih pokrenuti iz /etc/rc.local ili ako imate Debian ili derivate, koristite alate koji su nam dati (iptables-save, iptables-restore i iptables-apply).


Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Odgovoran za podatke: AB Internet Networks 2008 SL
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   Jimmy olano rekao je
    čini 8 godina

    Ovo je prvi članak koji vidim na IPTABLES-u, premda gust - zahtijeva srednji nivo znanja - IDE DIREKTNO DO ZRNA.

    Svima preporučujem da ga koriste kao "brzi priručnik", jer je vrlo dobro sažet i objašnjen. 8-)

    Odgovorite Jimmyju Olanu
  2.   JESUS rekao je
    čini 8 godina

    Želio bih da u budućem članku razgovarate o tome utječe li promjena u systemd u većini linux distribucija na neki način na sigurnost linuxa općenito, te je li ta promjena u dobru ili lošem dijelu budućnosti i linux distribucijama. Također bih želio znati što se zna o budućnosti devuana (debian bez systemd).
    Puno vam hvala što pravite vrlo dobre članke.

    Odgovorite ISUSU
  3.   slevin rekao je
    čini 8 godina

    Možete li napraviti članak koji objašnjava tabelu mangle?

    Odgovorite Slevinu
  4.   Sebastian rekao je
    čini 8 godina

    Blokirati samo Facebook?

    Odgovoriti Sebastianu