Uvod u IPTABLES: konfiguriranje vatrozida na Linuxu

Isaac

4 minuta

iptables

u konfigurirati vatrozid ili vatrozid u Linuxu, možemo koristiti iptables, moćan alat koji mnogi korisnici čine zaboravljenim. Iako postoje i druge metode, poput ebtables i arptables za filtriranje prometa na razini veze, ili Squid na razini aplikacije, iptables u većini slučajeva mogu biti vrlo korisni, primjenjujući dobru sigurnost u našem sustavu na prometnoj i transportnoj razini mreže.

Linux kernel implementira iptables, dio koji brine se o filtriranju paketa i da ćemo vas u ovom članku naučiti konfigurirati na jednostavan način. Jednostavno rečeno, iptables prepoznaje koje informacije mogu, a koje ne mogu ući, izolirajući vaš tim od potencijalnih prijetnji. Iako postoje i drugi projekti poput Firehol, Firestarter itd., Mnogi od ovih vatrozidnih programa koriste iptable ...

Pa, Krenimo na posao, s primjerima ćete sve bolje razumjeti (za ove slučajeve potrebno je imati privilegije, pa koristite sudo ispred naredbe ili postanite root):

Općeniti način upotrebe iptables za stvaranje politike filtra je:

IPTABLE -ARGUMENTI I / O AKCIJA

Gdje je -ARGUMENT argument koji ćemo upotrijebiti, normalno -P za uspostavljanje zadane politike, iako postoje i druge poput -L da bi vidjeli politike koje smo konfigurirali, -F za brisanje kreirane politike, -Z za resetiranje brojača bajtova i paketa itd. Druga mogućnost je -A za dodavanje pravila (ne prema zadanim postavkama), -I za umetanje pravila na određenom položaju i -D za brisanje određenog pravila. Također će biti i drugih argumenata koji ukazuju na -p protokole, -sportni izvorni port, -port za odredišnu luku, -i dolazno sučelje, -o odlazno sučelje, -s izvornu IP adresu i -d odredišnu IP adresu.

iptables ulaz-izlaz

Nadalje, I / O bi predstavljao ako politika Primjenjuje se na ulaz INPUT, na izlaz OUTPUT ili je NAPRIJED preusmjeravanje prometa (postoje i drugi kao što su PREROUTING, POSTROUTING, ali ih nećemo koristiti). Konačno, ono što sam nazvao AKCIJA može poprimiti vrijednost PRIHVATI ako prihvatimo, ODBITI ako odbijemo ili PUSTITI ako eliminiramo. Razlika između DROP i REJECT je u tome što kada se paket odbaci pomoću REJECT, stroj koji ga je pokrenuo znat će da je odbijen, ali s DROP djeluje tiho i napadač ili podrijetlo neće znati što se dogodilo i neće znamo imamo li vatrozid ili je veza jednostavno zakazala. Postoje i drugi, poput LOG-a, koji prate syslog ...

Izmijeniti pravila, možemo urediti datoteku iptables s našim preferiranim uređivačem teksta, nano, gedit, ... ili stvoriti skripte s pravilima (ako ih želite poništiti, to možete učiniti stavljanjem # ispred retka tako da bude ignorirano kao komentar) kroz konzolu s naredbama kako ćemo to ovdje objasniti. U Debianu i izvedenicama također možete koristiti alate iptables-save i iptables-restore ...

Najekstremnija je politika blokirati sve, apsolutno sav promet, ali ovo će nas ostaviti izoliranima, sa:

iptables -P INPUT DROP

Da sve to prihvatim:

iptables -P INPUT ACCEPT

Ako to želimo prihvaća se sav odlazni promet našeg tima:

iptables -P OUTPUT ACEPT

La druga radikalna akcija bila bi brisanje svih politika iz iptables s:

iptables -F

Idemo na konkretnija pravilaZamislite da imate web poslužitelj i stoga promet kroz priključak 80 mora biti dopušten:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

I ako uz prethodno pravilo, želimo tim s iptableima mogu vidjeti samo računala u našoj podmreži a to neprimjećuje vanjska mreža:

iptables -A INPUT -p tcp -s 192.168.30.0/24 --dport 80 -j ACCEPT

U prethodnom retku ono što govorimo iptablesima je dodavanje pravila -A, tako da se prihvate INPUT ulazi i TCP protokol kroz port 80. Sad zamisli da to želiš pregledavanje weba je odbijeno za lokalne strojeve koji prolaze kroz stroj koji pokreće iptables:

iptables -t filter -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 DROP

Mislim da je upotreba jednostavna, uzimajući u obzir čemu služi svaki parametar iptables, možemo dodati jednostavna pravila. Možete napraviti sve kombinacije i pravila koja mi zamišljamo ... Da se ne bih više proširio, dodajte samo još jednu stvar, a to je da će se, ako se stroj ponovno pokrene, stvorene politike izbrisati. Tablice se ponovno pokreću i ostat će kao i prije, dakle, nakon što dobro definirate pravila, ako ih želite učiniti trajnim, morate ih pokrenuti iz /etc/rc.local ili ako imate Debian ili derivate koristite alate koji su nam dani (iptables-save, iptables-restore i iptables-apply).


Ostavite svoj komentar

Vaša email adresa neće biti objavljen. Obavezna polja su označena s *

*

*

  1. Odgovoran za podatke: AB Internet Networks 2008 SL
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obvezi.
  5. Pohrana podataka: Baza podataka koju hostira Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   Jimmy olano dijo
    zec 8 godina

    Ovo je prvi članak koji vidim na IPTABLES-u, iako je gust - ali zahtijeva srednju razinu znanja - IZREDNO IDE DO ZRNA.

    Svima preporučujem da ga koriste kao "brzi priručnik", jer je vrlo dobro sažet i objašnjen. 8-)

    Odgovorite Jimmyju Olanu
  2.   ISUS dijo
    zec 8 godina

    Želio bih da u budućem članku razgovarate o tome utječe li promjena u systemd u većini linux distribucija na neki način na sigurnost linuxa općenito, te je li ta promjena u dobru ili zlu u budućnosti i linux distribucijama. Također bih želio znati što se zna o budućnosti devuana (debian bez systemd-a).
    Puno vam hvala što radite vrlo dobre članke.

    Odgovorite ISUSU
  3.   Slevin dijo
    zec 8 godina

    Možete li napraviti članak koji objašnjava tablicu mangle?

    Odgovorite Slevinu
  4.   Sebastian dijo
    zec 8 godina

    Blokirati samo Facebook?

    Odgovorite Sebastianu