zu Wenn Sie eine Firewall oder Firewall unter Linux konfigurieren, können Sie iptables verwenden, ein leistungsstarkes Tool, das von vielen Benutzern vergessen zu sein scheint. Obwohl es andere Methoden gibt, wie z. B. ebtables und arptables zum Filtern des Datenverkehrs auf Verbindungsebene oder Squid auf Anwendungsebene, können iptables in den meisten Fällen sehr nützlich sein und eine gute Sicherheit in unserem System auf Verkehrs- und Transportebene des Netzes implementieren.
Der Linux-Kernel implementiert iptables, ein Teil davon kümmert sich um das Filtern von Paketen und dass wir Ihnen in diesem Artikel beibringen, auf einfache Weise zu konfigurieren. Kurz gesagt, iptables identifiziert, welche Informationen eingegeben werden können und welche nicht, und isoliert Ihr Team von potenziellen Bedrohungen. Und obwohl es andere Projekte wie Firehol, Firestarter usw. gibt, verwenden viele dieser Firewall-Programme iptables ...
Nun, Machen wir uns an die Arbeit. Mit Beispielen werden Sie alles besser verstehen (In diesen Fällen sind Berechtigungen erforderlich. Verwenden Sie daher sudo vor dem Befehl oder werden Sie root.)
Die allgemeine Art, iptables zu verwenden So erstellen Sie eine Filterrichtlinie:
IPTABLES -ARGUMENTE E / A-AKTION
Wo -ARGUMENT ist das Argument, das wir verwenden werden, normalerweise -P, um die Standardrichtlinie festzulegen, obwohl es andere gibt, wie -L, um die von uns konfigurierten Richtlinien anzuzeigen, -F, um eine erstellte Richtlinie zu löschen, -Z, um die Byte- und Paketzähler zurückzusetzen usw. Eine andere Option ist -A, um eine Richtlinie hinzuzufügen (nicht standardmäßig), -I, um eine Regel an einer bestimmten Position einzufügen, und -D, um eine bestimmte Regel zu löschen. Es gibt auch andere Argumente, die auf -p Protokolle, –sport Quellport, –dport für Zielport, -i eingehende Schnittstelle, -o ausgehende Schnittstelle, -s Quell-IP-Adresse und -d Ziel-IP-Adresse verweisen.
Darüber hinaus würde I / O darstellen, wenn Politik Es wird auf den INPUT-Eingang, den OUTPUT-Ausgang oder eine FORWARD-Verkehrsumleitung angewendet (es gibt andere wie PREROUTING, POSTROUTING, aber wir werden sie nicht verwenden). Schließlich kann das, was ich ACTION genannt habe, den Wert ACCEPT annehmen, wenn wir akzeptieren, REJECT, wenn wir ablehnen, oder DROP, wenn wir eliminieren. Der Unterschied zwischen DROP und REJECT besteht darin, dass, wenn ein Paket mit REJECT abgelehnt wird, der Computer, von dem es stammt, weiß, dass es abgelehnt wurde. Mit DROP handelt es jedoch stillschweigend und der Angreifer oder Ursprung weiß nicht, was passiert ist, und wird es nicht wissen, ob wir eine Firewall haben oder die Verbindung gerade fehlgeschlagen ist. Es gibt auch andere, wie LOG, die das Syslog verfolgen ...
Regeln ändernkönnen wir die iptables-Datei mit unserem bevorzugten Texteditor, nano, gedit, ... bearbeiten oder Skripte mit Regeln erstellen (wenn Sie sie überschreiben möchten, können Sie dies tun, indem Sie ein # vor die Zeile setzen, so wie es ist als Kommentar ignoriert) durch die Konsole mit Befehlen, wie wir es hier erklären werden. In Debian und Derivaten können Sie auch die Tools iptables-save und iptables-restore verwenden ...
Die extremste Politik ist es, alles zu blockieren, absolut der ganze Verkehr, aber das wird uns isoliert lassen, mit:
iptables -P INPUT DROP
Alles zu akzeptieren:
iptables -P INPUT ACCEPT
Wenn wir das wollen Der gesamte ausgehende Verkehr von unserem Team wird akzeptiert:
iptables -P OUTPUT ACEPT
La Eine weitere radikale Maßnahme wäre die Löschung aller politischen Maßnahmen von iptables mit:
iptables -F
Gehen wir zu konkreteren RegelnStellen Sie sich vor, Sie haben einen Webserver und daher muss der Datenverkehr über Port 80 zugelassen werden:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
Und wenn wir zusätzlich zur vorherigen Regel ein Team mit iptables wollen Nur von Computern in unserem Subnetz gesehen werden und das bleibt von einem externen Netzwerk unbemerkt:
iptables -A INPUT -p tcp -s 192.168.30.0/24 --dport 80 -j ACCEPT
In der vorherigen Zeile sagen wir zu iptables, dass wir eine Regel -A hinzufügen, damit die INPUT-Eingänge und das TCP-Protokoll über Port 80 akzeptiert werden. Stellen Sie sich jetzt vor, Sie wollen, dass ich es tue Das Surfen im Internet wird abgelehnt für lokale Computer, die den Computer durchlaufen, auf dem iptables ausgeführt wird:
iptables -t filter -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 DROP
Ich denke, die Verwendung ist einfach. Unter Berücksichtigung der jeweiligen Parameter von iptables können wir einfache Regeln hinzufügen. Sie können alle Kombinationen und Regeln ausführen, die wir uns vorstellen ... Um mich nicht weiter zu erweitern, fügen Sie einfach eine weitere Sache hinzu. Wenn der Computer neu gestartet wird, werden die erstellten Richtlinien gelöscht. Die Tabellen werden neu gestartet und bleiben unverändert. Sobald Sie die Regeln genau definiert haben, wenn Sie sie dauerhaft machen wollenSie müssen sie von /etc/rc.local aus starten lassen oder, wenn Sie einen Debian oder Derivate haben, die uns zur Verfügung gestellten Tools verwenden (iptables-save, iptables-restore und iptables-apply).
Dies ist der erste Artikel, den ich über IPTABLES sehe, der, obwohl er dicht ist - ein mittleres Maß an Wissen erfordert -, DIREKT ZUM KORN GEHT.
Ich empfehle jedem, es als "Kurzanleitung" zu verwenden, da es sehr gut komprimiert und erklärt ist. 8-)
Ich möchte, dass Sie in einem zukünftigen Artikel darüber sprechen, ob die Änderung von systemd in den meisten Linux-Distributionen die Sicherheit von Linux im Allgemeinen in irgendeiner Weise beeinflusst und ob diese Änderung zum Guten oder Schlechten der Zukunft und der Linux-Distributionen ist. Ich würde auch gerne wissen, was über die Zukunft von Devuan (Debian ohne System) bekannt ist.
Vielen Dank, dass Sie sehr gute Artikel machen.
Könnten Sie einen Artikel schreiben, der die Mangeltabelle erklärt?
Nur Facebook blockieren?