että Määritä palomuuri tai palomuuri Linuxissa, voimme käyttää iptablesia, tehokas työkalu, jonka monet käyttäjät näyttävät unohtaneen. Vaikka on olemassa muita menetelmiä, kuten ebtable ja arptable liikenteen suodattamiseksi linkkitasolla, tai Squid sovellustasolla, iptables voi olla useimmissa tapauksissa erittäin hyödyllinen, mikä tuo järjestelmäämme hyvän turvallisuuden verkon liikenteen ja liikenteen tasolla.
Linux-ydin toteuttaa iptables, osa huolehtii pakettien suodattamisesta ja että tässä artikkelissa opetamme sinua määrittelemään yksinkertaisella tavalla. Yksinkertaisesti sanottuna, iptables tunnistaa mitä tietoja voidaan syöttää ja mitkä eivät, eristäen tiimisi mahdollisista uhista. Ja vaikka on olemassa muita projekteja, kuten Firehol, Firestarter jne., Monet näistä palomuuriohjelmista käyttävät iptablesia ...
No, Aloitetaan töihin, esimerkkien avulla ymmärrät kaiken paremmin (näissä tapauksissa sinulla on oltava käyttöoikeudet, joten käytä sudoa komennon edessä tai tule rootiksi):
Yleinen tapa käyttää iptablesia suodatinkäytännön luominen on:
IPTABLES-KOHDISTUKSET I / O-TOIMINTA
Missä -ARGUMENT on käytettävä argumentti, normaalisti -P oletuspolitiikan luomiseksi, vaikka on muitakin, kuten -L nähdäksesi määrittelemämme käytännöt, -F poistamaan luodun käytännön, -Z nollaamaan tavu- ja pakettilaskurit jne. Toinen vaihtoehto on -A lisätä käytäntö (ei oletusarvoisesti), -I lisätä sääntö tiettyyn kohtaan ja -D poistaa tietyn säännön. Siellä on myös muita argumentteja osoittamaan -p-protokollat, –portin lähdeportti, –portti kohdeportille, -i saapuva käyttöliittymä, -o lähtevä käyttöliittymä, -s lähteen IP-osoite ja -d kohde-IP-osoite.
Lisäksi I / O edustaisi, jos politiikka Sitä käytetään INPUT-tuloon, OUTPUT-lähtöön tai se on FORWARD-liikenteen uudelleenohjaus (on muitakin, kuten PREROUTING, POSTROUTING, mutta emme käytä niitä). Lopuksi, mitä olen kutsunut TOIMINNOKSI, voi saada arvon HYVÄKSY, jos hyväksymme, Hylkäämme, jos hylkäämme, tai PUDOTTAMME, jos poistamme. Ero DROP: n ja REJECT: n välillä on, että kun paketti hylätään REJECT-toiminnolla, sen alkanut kone tietää, että se on hylätty, mutta DROP: n kanssa se toimii hiljaa eikä hyökkääjä tai alkuperä tiedä mitä on tapahtunut eikä tiedä onko meillä palomuuri tai yhteys epäonnistui. On myös muita, kuten LOG, jotka lähettävät jatkoa syslogille ...
Sääntöjen muokkaaminen, voimme muokata iptables-tiedostoa haluamallamme tekstieditorilla, nano, gedit, ... tai luoda komentosarjoja säännöillä (jos haluat ohittaa ne, voit tehdä sen asettamalla # rivin eteen niin, että se on ohitettu kommenttina) konsolin kautta komennoilla, kuten selitämme sen täällä. Debianissa ja sen johdannaisissa voit käyttää myös iptables-save- ja iptables-restore-työkaluja ...
Äärimmäisin politiikka on estää kaikki, ehdottomasti kaikki liikenne, mutta tämä jättää meidät eristäytyneenä:
iptables -P INPUT DROP
Hyväksyä kaikki:
iptables -P INPUT ACCEPT
Jos haluamme sitä kaikki tiimiltämme lähtevä liikenne hyväksytään:
iptables -P OUTPUT ACEPT
La toinen radikaali toimi olisi poistaa kaikki politiikat iptablesista:
iptables -F
Mennään konkreettisempiin sääntöihinKuvittele, että sinulla on verkkopalvelin ja siksi liikenne portin 80 kautta on sallittava:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
Ja jos edellisen säännön lisäksi haluamme joukkueen, jolla on iptables vain aliverkkomme tietokoneet näkevät sen ja että ulkoinen verkko ei huomaa sitä:
iptables -A INPUT -p tcp -s 192.168.30.0/24 --dport 80 -j ACCEPT
Edellisellä rivillä, mitä me sanomme iptablesille, on lisätä sääntö -A, jotta INPUT-tulot ja TCP-protokolla hyväksytään portin 80 kautta. Kuvittele nyt, että haluat minun Web-selaus hylätään paikallisille koneille, jotka kulkevat koneen läpi, jossa on iptables:
iptables -t filter -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 DROP
Mielestäni käyttö on yksinkertaista, kun otetaan huomioon, mitä kukin iptables-parametri on tarkoitettu, voimme lisätä yksinkertaisia sääntöjä. Voit tehdä kaikki yhdistelmät ja säännöt, joita kuvittelemme ... Jotta en laajentaisi itseäni enemmän, lisää vain yksi asia, ja että jos kone käynnistetään uudelleen, luodut käytännöt poistetaan. Taulukot käynnistetään uudelleen ja pysyvät ennallaan, joten kun olet määritellyt säännöt hyvin, jos haluat tehdä niistä pysyviä, sinun on saatava ne käynnistämään hakemistosta /etc/rc.local tai jos sinulla on Debian tai johdannaiset, käytä meille annettuja työkaluja (iptables-save, iptables-restore ja iptables-apply).
Tämä on ensimmäinen artikkeli, jonka näen IPTABLES-kanavasta, joka, vaikka tiheä - vaatii keskitasoa tietoa - menee suoraan viljaan.
Suosittelen kaikkia käyttämään sitä "pikaoppaana", koska se on hyvin tiivistetty ja selitetty. 8-)
Haluaisin sinun puhuvan tulevassa artikkelissa siitä, vaikuttaako muutos systemd-järjestelmään useimmissa linux-jakeluissa jollakin tavalla linuxin turvallisuuteen yleensä, ja onko tämä muutos tulevaisuuden ja linux-jakelujen kannalta parempaa tai huonompaa. Haluaisin myös tietää, mitä tiedetään devuanin (debian ilman systemd) tulevaisuudesta.
Kiitos paljon, että kirjoitat erittäin hyviä artikkeleita.
Voisitko tehdä artikkelin, jossa selitetään mangle-taulukko?
Estetäänkö vain Facebook?