et Linuxi tulemüüri või tulemüüri konfigureerimiseks saame kasutada iptablesi, võimas tööriist, mis näib paljudele kasutajatele unustatud. Ehkki on ka teisi meetodeid, nagu ebtabelid ja arptable'id liikluse filtreerimiseks lingi tasemel või Squid rakenduse tasemel, võivad iptables olla enamikul juhtudel väga kasulikud, rakendades meie süsteemis hea turvalisuse võrgu liikluse ja transpordi tasemel.
Linuxi kernel rakendab iptables, osa sellest hoolitseb pakettide filtreerimise eest ja et selles artiklis õpetame teid lihtsal viisil seadistama. Lihtsamalt öeldes tuvastab iptables, millist teavet võib sisestada ja mida mitte, isoleerides teie meeskonna võimalike ohtude eest. Ja kuigi on ka teisi projekte nagu Firehol, Firestarter jne, kasutavad paljud neist tulemüüriprogrammidest iptable-sid ...
Noh, Alustame tööd, näidetega saate kõigest paremini aru (nendel juhtudel on vaja privileege, seega kasutage käsu ees sudot või muutuge juuruks):
Iptable'i kasutamise üldine viis filtripoliitika loomiseks on:
IPTABLID - MÄRKUSED I / O TEGEVUS
Kus on -ARGUMENT argument, mida me kasutame, tavaliselt -P vaikepoliitika loomiseks, kuigi on ka teisi, näiteks -L, et näha meie seadistatud reegleid, -F loodud poliitika kustutamiseks, -Z baitide ja pakettide loendurite lähtestamiseks jne. Teine võimalus on -A poliitika lisamiseks (mitte vaikimisi), -I reegli lisamiseks kindlale kohale ja -D antud reegli kustutamiseks. Samuti on muid argumente, mis osutavad -p-protokollidele, –spordi lähtepordile, –sihtpordi-portile, -i sissetulevale liidesele, -väljuvale liidesele, -allika IP-aadressile ja -d sihtkoha IP-aadressile.
Lisaks esindaks sisend / väljund, kui poliitika Seda rakendatakse sisendi INPUT, väljundi OUTPUT jaoks või see on FORWARD liikluse ümbersuunamine (on ka teisi, näiteks PREROUTING, POSTROUTING, kuid me ei kasuta neid). Lõpuks, see, mida ma olen nimetanud TEGEVUSEKS, võib võtta väärtuse AKTSEPTSIOON, kui aktsepteerime, LÜLITA, kui lükkame tagasi, või LENNU, kui kõrvaldame. DROP ja REJECT erinevus seisneb selles, et kui pakett lükatakse REJECT-iga tagasi, saab selle pärit masin teada, et see on tagasi lükatud, kuid DROP-i korral toimib see vaikselt ja ründaja või päritolu ei tea, mis juhtus, ega tea teame, kas meil on tulemüür või ühendus ebaõnnestus. On ka teisi, näiteks LOG, mis jälgivad süsteemipäevikut ...
Reeglite muutmiseks, saame iptablesi faili redigeerida eelistatud tekstiredaktori nano, gedit, ... või luua reeglitega skripte (kui soovite need alistada, saate seda teha, pannes rea ette #, nii et see oleks ignoreeritakse kommentaarina) konsoolikäskude kaudu, nagu me seda siin selgitame. Debianis ja derivaatides saate kasutada ka tööriistu iptables-save ja iptables-restore ...
Kõige äärmuslikum poliitika on kõik blokeerida, absoluutselt kogu liiklus, kuid see jätab meid isoleerituks koos:
iptables -P INPUT DROP
Selle kõigega nõustumiseks:
iptables -P INPUT ACCEPT
Kui me seda tahame kogu meie meeskonna väljuv liiklus on aktsepteeritud:
iptables -P OUTPUT ACEPT
La teine radikaalne tegevus oleks kogu poliitika kustutamine alates iptables koos:
iptables -F
Läheme konkreetsemate reeglite juurdeKujutage ette, et teil on veebiserver ja seetõttu peab liiklus pordi 80 kaudu olema lubatud:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
Ja kui lisaks eelmisele reeglile soovime meeskonda, kellel on iptables ainult meie alamvõrgus olevad arvutid ja see jääb välisele võrgule märkamatuks:
iptables -A INPUT -p tcp -s 192.168.30.0/24 --dport 80 -j ACCEPT
Eelmisel real ütleme iptablesile reegli -A lisamist, nii et sisendi INPUT ja TCP protokoll aktsepteeritakse pordi 80 kaudu. Kujutage nüüd ette, et soovite mind veebibrauser lükatakse tagasi kohalike masinate jaoks, mis läbivad iptabele töötavat masinat:
iptables -t filter -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 DROP
Ma arvan, et kasutamine on lihtne, võttes arvesse, milleks iga iptablesi parameeter on mõeldud, saame lisada lihtsad reeglid. Saate teha kõiki kombinatsioone ja reegleid, mida me ette kujutame ... Selleks, et ennast mitte pikendada, lisage lihtsalt veel üks asi, see tähendab, et kui masin taaskäivitatakse, kustutatakse loodud põhimõtted. Tabelid taaskäivitatakse ja jäävad samaks kui varem. Seega, kui olete reeglid hästi määratlenud, kui soovite muuta need püsivaks, peate need käivitama kataloogist /etc/rc.local või kui teil on Debian või mõni derivaat, kasutage meile antud tööriistu (iptables-save, iptables-restore ja iptables-apply).
See on esimene artikkel, mida IPTABLES näen, kuid kuigi tihe - nõuab keskmist teadmiste taset -, läheb see otse terale.
Soovitan kõigil kasutada seda "kiirjuhendina", kuna see on väga hästi kokku pandud ja selgitatud. 8-)
Tahaksin, et räägiksite ühes tulevases artiklis sellest, kas enamiku Linuxi jaotuste süsteemimuutmine mõjutab mingil moel üldiselt Linuxi turvalisust ja kas see muutus on tuleviku ja Linuxi jaotuste paremaks või halvemaks. Tahaksin teada ka seda, mis on teada devuani (ilma süsteemita debian) tulevikust.
Suur aitäh, et teete väga häid artikleid.
Kas saaksite teha artikli, mis selgitaks manglitabelit?
Kas blokeerida ainult Facebook?