Kuinka määrittää palomuuri Linuxissa IPtablesilla

Pablinux

6 minuuttia

iptable linux

Vaikka joskus vielä kosketan Windowsia yksin ja monissa muissa ne pakottavat minua (marditoh rodoreh), kun joudun tekemään asioita poissa tietokoneistani, minulle Windowsista puhuminen on kuin jotain, joka jää ajassa kauas taakse. Kun käytin sitä pääjärjestelmänä (minulla ei ollut muuta), yritin suojata sitä ohjelmistoilla, kuten Kasperskyn virustorjuntaohjelmalla ja satunnaisella palomuurilla, monien muiden suojaustyökalujen joukossa. Linuxissa emme ole koskaan olleet yhtä alttiina kuin Windowsissa, mutta on myös ohjelmistoja, jotka auttavat meitä olemaan rauhallisempia, kuten esim. IP-taulukot, palomuuri tai palomuuri.

Palomuuri on turvajärjestelmä, joka vastaa käyttöjärjestelmään tulevan ja sieltä poistuvan verkkoliikenteen ohjaamisesta. Yksi Linuxissa yleisimmistä on edellä mainitut IP-taulukot siihen pisteeseen asti, että luultavasti ja sinun tietämättäsi se on jo asennettu käyttöjärjestelmääsi sen julkaisun jälkeen. Se, mitä yritämme tehdä tässä artikkelissa, on selittää miten palomuuri määritetään linuxissa IPtablesin kanssa.

IPtables Linuxissa, mitä sinun tulee tietää

Palomuurin määrittäminen voi olla monimutkaista, ja enemmän Linuxin kaltaisessa käyttöjärjestelmässä, jossa paras saavutetaan päätelaitteen kosketuksella. Ennen aloittamista on suositeltavaa perehtyä hieman verkko- ja tietoturvaongelmiin tai ainakin ymmärtää, että ollessamme yhteydessä olemme yhteydessä muihin laitteisiin ja näillä laitteilla tai niiden omistajilla voi olla hyviä tai huonoja aikomuksia. Tästä syystä, riippuen siitä, miten käytämme tietokonettamme, kannattaa hallita kaikkea, mikä sammuu ja mitä siihen tulee.

Lisäksi, ja mitä voi tapahtua, jos meillä on toinen palomuuri Linux-järjestelmässämme ja aiomme alkaa säätämään asioita IPtablesissa, kannattaa tehdä varmuuskopio nykyisestä palomuurikokoonpanostamme. Kun tämä kaikki on selvää, alamme puhua täysin IP-taulukoiden kokoonpanosta.

  1. Ensimmäinen asia, joka meidän on tehtävä, on asentaa paketti. Useimmissa Linux-jakeluissa se on asennettu oletusarvoisesti, mutta tämä ei ole aina asia. Selvittääksemme, onko käyttöjärjestelmäämme asennettuna IP-tabletteja, avaamme päätteen ja kirjoitamme iptables -v. Minun tapauksessani ja tätä artikkelia kirjoittaessani päätelaite palauttaa minut iptable v1.8.8. Jos sitä ei ole asennettu, se voidaan asentaa:

Ubuntu/Debian tai johdannaiset:

sudo apt install iptables

Fedora/Redhat tai johdannaiset:

sudo yum asentaa iptables

Arch Linux ja johdannaiset

sudo pacman -Siptables

Asennuksen jälkeen se otetaan käyttöön seuraavilla tavoilla:

sudo systemctl ota iptables käyttöön sudo systemctl käynnistä iptables

Ja voit nähdä sen tilan seuraavasti:

sudo systemctl status iptables
  1. Kun palomuuri on jo asennettu, sinun on määritettävä sen säännöt. IPtables-säännöt on jaettu taulukoihin (joista puhumme yksityiskohtaisemmin myöhemmin tässä artikkelissa): filter, nat ja mangle, joihin meidän on lisättävä raaka ja turvallisuus. Suodatintaulukkoa käytetään tulevan ja lähtevän liikenteen ohjaamiseen, nat-taulukkoa NAT:iin (Network Address Translation) ja mangle-taulukkoa käytetään IP-paketin muokkaamiseen. Suodatintaulukon sääntöjen määrittämiseen käytetään seuraavia komentoja:
  • iptables -A INPUT -j HYVÄKSY (salli kaikki saapuva liikenne).
  • iptables -A OUTPUT -j ACCEPT (salli kaikki lähtevä liikenne).
  • iptables -A ETEENPÄIN -j HYVÄKSY (salli kaikki reititysliikenne). Tämä kokoonpano sallii kuitenkin kaiken liikenteen, eikä sitä suositella tuotantojärjestelmään. On tärkeää määritellä palomuurisäännöt järjestelmän erityistarpeiden mukaan. Jos esimerkiksi haluat estää saapuvan liikenteen portissa 22 (SSH), voit käyttää komentoa:
iptables -A SYÖTTÖ ​​-p tcp --port 22 -j DROP
  1. Toinen tärkeä asia on tallentaa asetukset, jotta et menetä niitä järjestelmän uudelleenkäynnistyksen yhteydessä. Ubuntussa ja Debianissa "iptables-save"-komentoa käytetään nykyisten asetusten tallentamiseen tiedostoon. Red Hatissa ja Fedorassa "service iptables save" -komentoa käytetään kokoonpanojen tallentamiseen. Jos olet epävarma siitä, kumpaa käyttää, Ubuntu/Debian-komennot toimivat yleensä useammissa jakeluissa.

Lataa asetukset uudelleenkäynnistyksen jälkeen

että lataa tallennetut asetukset, käytetään samoja komentoja, joita käytettiin niiden tallentamiseen, mutta "tallenna"-toiminnolla "palauta". Ubuntussa ja Debianissa "iptables-restore"-komentoa käytetään tallennettujen kokoonpanojen lataamiseen tiedostosta. Red Hatissa ja Fedorassa "service iptables restore" -komentoa käytetään tallennettujen kokoonpanojen lataamiseen. Jälleen kerran, jos olet epävarma siitä, mitä komentoa käyttää, Ubuntu/Debian-komennot toimivat yleensä parhaiten.

On tärkeää huomata, että jos palomuuriasetuksiin tehdään muutoksia, ne on tallennettava ja ladattava uudelleen, jotta muutokset tulevat voimaan. Se on tapa korvata asetustiedosto uusilla tiedoilla, ja jos sitä ei tehdä tällä tavalla, muutokset eivät tallennu.

Taulukot IP-taulukoissa

On olemassa 5-tyyppejä piirtää IPTablesissa ja jokaisessa niistä sovelletaan erilaisia ​​sääntöjä:

  • suodattaa : Tämä on pää- ja oletustaulukko käytettäessä IPTablesia. Tämä tarkoittaa, että jos tiettyä taulukkoa ei mainita sääntöjä sovellettaessa, sääntöjä sovelletaan suodatintaulukkoon. Kuten sen nimestä voi päätellä, suodatintaulukon tehtävänä on päättää, sallitaanko pakettien saavuttaa määränpäänsä vai evätäänkö niiden pyyntö.
  • NAT (Verkko-osoitteiden käännös): Kuten nimestä voi päätellä, tämän taulukon avulla käyttäjät voivat määrittää verkko-osoitteiden käännöksen. Tämän taulukon tehtävänä on määrittää, muokataanko lähde- ja kohdepakettiosoitetta ja miten.
  • mankeli: Tämän taulukon avulla voimme muokata pakettien IP-otsikoita. Esimerkiksi TTL:ää voidaan säätää pidentämään tai lyhentämään verkkohyppejä, joita paketti voi tukea. Samalla tavalla myös muita IP-otsikoita voidaan muokata mieltymystesi mukaan.
  • raaka: Tämän taulukon pääasiallinen käyttö on yhteyksien jäljittämiseen, koska se tarjoaa mekanismin pakettien merkitsemiseksi, jotta paketit voidaan tarkastella osana meneillään olevaa istuntoa.
  • turvallisuus: Suojaustaulukon avulla käyttäjät voivat käyttää sisäisiä SELinux-suojauskontekstilippuja verkkopaketteihin.

Kahta viimeistä taulukkoa ei käytetä juurikaan siihen pisteeseen, että useimmat dokumentit puhuvat vain suodattimesta, natista ja manglesta.

Ohjetiedostosta löydät esimerkkejä IP-taulukoiden hallinnasta. Nähdäksemme sen avaamalla terminaalin ja kirjoittamalla iptables -h.

Vaikka iptables on yksi parhaista vaihtoehdoista Linuxille, jos haluat jotain yksinkertaisempaa graafisella käyttöliittymällä, voit katsoa Firewalld.


Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastaa tiedoista: AB Internet Networks 2008 SL
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.