Kuigi vahel ikka puudutan Windowsi üksi ja paljudel teistel sunnivad nad mind (marditoh rodoreh), kui pean asju arvutist eemal ajama, siis minu jaoks on Windowsist rääkimine nagu asi, mis ajas kaugele maha jääb. Kui ma seda oma põhisüsteemina kasutasin (muud mul polnud), püüdsin seda paljude muude turvatööriistade hulgas kaitsta tarkvaraga nagu Kaspersky viirusetõrje ja aeg-ajalt tulemüür. Linuxis pole me kunagi nii paljastatud kui Windowsis, kuid on ka tarkvara, mis aitab meil rahulikumalt olla, nt. IP-tabelid, tulemüür või tulemüür.
Tulemüür on turvasüsteem, mis vastutab operatsioonisüsteemi siseneva ja sealt väljuva võrguliikluse juhtimise eest. Üks Linuxis levinumaid on ülalmainitud IP-tabelid, kuni selleni, et tõenäoliselt ja teie teadmata on see teie operatsioonisüsteemi juba installitud alates selle väljalaskmisest. Mida me selles artiklis teha püüame, on selgitada kuidas linuxis tulemüüri konfigureerida IPtablesiga.
IP-tabelid Linuxis, mida peate teadma
Tulemüüri seadistamine võib olla keeruline, ja rohkemgi sellises operatsioonisüsteemis nagu Linux, kus parim saavutatakse terminali puudutusega. Enne alustamist on soovitatav tutvuda veidi võrgu- ja turvaprobleemidega või vähemalt mõista, et kui oleme ühenduses, suhtleme teiste seadmetega ning nendel seadmetel või nende omanikel võivad olla head või halvad kavatsused. Sel põhjusel, olenevalt sellest, kuidas me oma arvutit kasutame, tasub kontrollida kõike, mis kustub ja sinna siseneb.
Lisaks sellele, mis võib juhtuda, kui meie Linuxi süsteemis on teine tulemüür ja hakkame IPtablesis asju kohandama, tasub meie praegusest tulemüüri konfiguratsioonist teha varukoopia. Kui see kõik on selge, hakkame täielikult rääkima IP-tabelite konfiguratsioonist.
- Esimene asi, mida peame tegema, on paketi installimine. Enamikul Linuxi distributsioonidel on see vaikimisi installitud, kuid see pole alati nii. Et teada saada, kas meie operatsioonisüsteemi on installitud IP-tabelid, avame terminali ja kirjutame
iptables -v. Minu puhul ja selle artikli kirjutamise ajal tagastab mu terminal mulle iptable v1.8.8. Kui see pole installitud, saab selle paigaldada koos:
Ubuntu/Debian või tuletised:
sudo apt install iptables
Fedora/Redhat või derivaadid:
sudo yum install iptables
Arch Linux ja tuletised
sudo pacman -Siptables
Pärast installimist lubatakse see järgmiste funktsioonidega:
sudo systemctl lubab iptables sudo systemctl käivitab iptables
Ja selle olekut näete järgmiselt:
sudo systemctl olek iptables
- Kui tulemüür on juba installitud, peate selle reeglid konfigureerima. IPtablesi reeglid on jagatud tabeliteks (millest me selles artiklis pikemalt räägime): filter, nat ja mangle, millele peame lisama raw ja turvalisuse. Filtritabelit kasutatakse sissetuleva ja väljamineva liikluse juhtimiseks, nat tabelit NAT-i (võrguaadresside tõlkimiseks) ja mangle-tabelit kasutatakse IP-paketi muutmiseks. Filtritabeli reeglite konfigureerimiseks kasutatakse järgmisi käske:
- iptables -A SISEND -j ACCEPT (lubab kogu sissetuleva liikluse).
- iptables -A OUTPUT -j ACCEPT (lubab kogu väljuva liikluse).
- iptables -A EDASI -j ACCEPT (lubab kogu marsruutimise liiklust). See konfiguratsioon lubab aga kogu liiklust ja pole tootmissüsteemi jaoks soovitatav. Oluline on tulemüüri reeglite täpsustamine lähtuvalt süsteemi spetsiifilistest vajadustest. Näiteks kui soovite blokeerida pordi 22 (SSH) sissetuleva liikluse, võite kasutada käsku:
iptables -A SISEND -p tcp --port 22 -j DROP
- Teine oluline asi on seadete salvestamine, et mitte süsteemi taaskäivitamisel neid kaotada. Ubuntu ja Debiani puhul kasutatakse praeguste konfiguratsioonide faili salvestamiseks käsku "iptables-save". Red Hatis ja Fedoras kasutatakse konfiguratsioonide salvestamiseks käsku "service iptables save". Kui kahtlete, millist neist kasutada, töötavad Ubuntu/Debiani käsud rohkemate distributsioonide puhul.
Laadige konfiguratsioonid pärast taaskäivitamist
et laadige salvestatud seaded, kasutatakse samu käske, mida kasutati nende salvestamiseks, kuid "salvestamise" asemel toiming "taaste". Ubuntu ja Debiani puhul kasutatakse failist salvestatud konfiguratsioonide laadimiseks käsku "iptables-restore". Red Hatis ja Fedoras kasutatakse salvestatud konfiguratsioonide laadimiseks käsku "service iptables restore". Veelkord, kui kahtlete, millist käsku kasutada, töötavad Ubuntu/Debiani käsud tavaliselt kõige paremini.
Oluline on meeles pidada, et kui tulemüüri seadetes tehakse muudatusi, tuleb need muudatuste jõustumiseks salvestada ja uuesti laadida. See on võimalus konfiguratsioonifaili uute andmetega üle kirjutada ja kui seda nii ei tehta, siis muudatusi ei salvestata.
Tabelid IP-tabelites
On 5i tüüpi tablas IPTables ja igaühel neist kehtivad erinevad reeglid:
- filtreerida : see on peamine ja vaiketabel IPTablesi kasutamisel. See tähendab, et kui reeglite rakendamisel konkreetset tabelit ei mainita, rakendatakse reegleid filtritabelile. Nagu nimigi ütleb, on filtritabeli roll otsustada, kas lubada pakettidel sihtkohta jõuda või keelduda nende taotlusest.
- nat (Võrguaadressi tõlkimine): nagu nimigi ütleb, võimaldab see tabel kasutajatel määrata võrguaadresside tõlke. Selle tabeli ülesanne on määrata, kas ja kuidas muuta lähte- ja sihtpaketi aadressi.
- mangle: see tabel võimaldab meil muuta pakettide IP-päiseid. Näiteks saab TTL-i reguleerida, et pikendada või lühendada võrgu hüppeid, mida pakett suudab toetada. Sarnaselt saab ka teisi IP-päiseid vastavalt oma eelistustele muuta.
- toores: selle tabeli peamine kasutusala on ühenduste jälgimine, kuna see pakub mehhanismi pakettide märgistamiseks, et vaadata pakette käimasoleva seansi osana.
- turvalisus: Turvatabeli abil saavad kasutajad rakendada võrgupakettidele sisemisi SELinuxi turbekonteksti lippe.
Kaht viimast tabelit ei kasutata peaaegu niivõrd, et enamikus dokumentides räägitakse ainult filtrist, nat'ist ja mangle'ist.
Abifailist leiame näiteid IPtablesi haldamise kohta. Selle nägemiseks avame terminali ja sisestame iptables -h.
Kuigi iptables on Linuxi jaoks üks parimaid võimalusi, kui eelistate midagi lihtsamat graafilise liidesega, võite vaadata Firewalld.