hogy tűzfal vagy tűzfal konfigurálásához Linuxon használhatjuk az iptable-eket, egy hatékony eszköz, amelyet sok felhasználó elfelejtettnek tűnik. Bár vannak más módszerek is, például az ebtable-k és az arptable-k a forgalom szűrésére a link szintjén, vagy a Squid az alkalmazás szintjén, az iptables az esetek többségében nagyon hasznos lehet, jó biztonságot valósítva meg rendszerünkben a hálózat forgalmi és szállítási szintjén.
A Linux kernel implementálja az iptables programot, egy részét gondoskodik a csomagok szűréséről és hogy ebben a cikkben megtanítjuk a konfigurálást egyszerű módon. Egyszerűen fogalmazva, az iptables azonosítja, hogy milyen információk kerülhetnek be és mit nem, elkülönítve a csapatát a lehetséges fenyegetésektől. És bár vannak olyan projektek is, mint a Firehol, a Firestarter stb., Ezek közül a tűzfal programok közül sokan használnak iptable-t ...
Nos, Térjünk a munkára, példákkal mindent jobban meg fog érteni (ezekben az esetekben szükség van privilégiumokra, ezért használja a sudo parancsot a parancs előtt, vagy váljon root-ként):
Az iptables használatának általános módja szűrőszabályzat létrehozása:
IPTABLES - MEGJEGYZÉSEK I / O AKCIÓ
Hol van -ARGUMENT az általunk használt érvet, általában -P az alapértelmezett házirend létrehozásához, bár vannak olyanok is, mint például -L az általunk konfigurált házirendek megtekintéséhez, -F egy létrehozott házirend törléséhez, -Z a bájt- és csomagszámlálók alaphelyzetbe állításához stb. Egy másik lehetőség: -A házirend hozzáadásához (nem az alapértelmezett), -I szabály beillesztéséhez egy adott pozícióba, és -D egy adott szabály törléséhez. Más argumentumok is lesznek a -p protokollok pontjára, –sport forrásportra, –Definportra a célportra, -i bejövő interfészre, -o kimenő interfészre, -s forrás IP címre és -d cél IP címre.
Továbbá az I / O jelentené, ha politika ez vonatkozik az INPUT bemenetre, az OUTPUT kimenetre, vagy egy FORWARD forgalom átirányításról van szó (vannak olyanok is, mint PREROUTING, POSTROUTING, de nem használjuk őket) Végül az, amit ACTION-nak hívtam, az ACCEPT értéket veheti fel, ha elfogadjuk, REJECT, ha elutasítjuk, vagy DROP, ha kiküszöböljük. A különbség a DROP és a REJECT között az, hogy amikor egy csomagot elutasítanak a REJECT segítségével, az azt létrehozó gép tudja, hogy elutasították, de a DROP funkcióval némán működik, és a támadó vagy az origó nem fogja tudni, hogy mi történt, és nem fogja tudni. tudjuk, hogy van-e tűzfalunk, vagy a kapcsolat éppen nem sikerült. Vannak olyanok is, mint a LOG, amelyek a syslog nyomon követését küldik ...
A szabályok módosításához, szerkeszthetjük az iptables fájlt az általunk preferált szövegszerkesztővel, a nano, a gedit, ... vagy szkripteket hozhatunk létre szabályokkal (ha felül akarja írni őket, akkor megteheti úgy, hogy a # elé tesz a sor elé úgy, hogy kommentként figyelmen kívül hagyva) a konzolon keresztül parancsokkal, ahogy itt elmagyarázzuk. A Debianban és a derivatívákban az iptables-save és az iptables-restore eszközöket is használhatja ...
A legszélsőségesebb politika minden blokkolása, teljesen az összes forgalom, de ez elszigetel minket:
iptables -P INPUT DROP
Elfogadni az egészet:
iptables -P INPUT ACCEPT
Ha ezt akarjuk Csapatunkból minden kimenő forgalmat elfogadunk:
iptables -P OUTPUT ACEPT
La egy másik radikális fellépés az összes politika törlése lenne az iptables-ből a következőkkel:
iptables -F
Térjünk át konkrétabb szabályokraKépzelje el, hogy van webkiszolgálója, ezért engedélyezni kell a 80-as porton keresztüli forgalmat:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
És ha az előző szabály mellett iptable-vel rendelkező csapatot szeretnénk csak az alhálózatunkon lévő számítógépek láthatják és ezt egy külső hálózat észre sem veszi:
iptables -A INPUT -p tcp -s 192.168.30.0/24 --dport 80 -j ACCEPT
Az előző sorban azt mondjuk az iptables-nek, hogy hozzáadunk egy -A szabályt, hogy az INPUT bemeneteket és a TCP protokollt elfogadjuk a 80-as porton keresztül. Most képzelje el, hogy szeretné a webböngészést elutasítják az iptable-t futtató gépen áthaladó helyi gépek esetén:
iptables -t filter -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 DROP
Úgy gondolom, hogy a használat egyszerű, figyelembe véve az iptables egyes paramétereit, egyszerű szabályokat adhatunk hozzá. Megteheti az összes olyan kombinációt és szabályt, amelyet elképzelünk ... Annak érdekében, hogy ne terjesszem ki magam többet, csak adjunk hozzá még egy dolgot, vagyis ha a gép újraindul, a létrehozott házirendek törlődnek. A táblázatok újraindulnak és megmaradnak, mint korábban, ezért, miután jól meghatározta a szabályokat, ha állandóvá akarja tenni őket, meg kell indítanod őket az /etc/rc.local fájlból, vagy ha van Debian vagy derivatívák, használd a számunkra adott eszközöket (iptables-save, iptables-restore és iptables-apply).
Ez az első cikk, amelyet az IPTABLES-on látok, amely bár sűrű - közepes szintű ismeretekre van szükség -, de közvetlenül a szemhez megy.
Mindenkinek ajánlom, hogy használja "gyors útmutatóként", mivel nagyon sűrített és megmagyarázott. 8-)
Szeretném, ha egy jövőbeli cikkben arról beszélne, hogy a legtöbb Linux-disztribúció rendszerszintű változása valamilyen módon befolyásolja-e általában a linux biztonságát, és hogy ez a változás a jövő és a linux-disztribúciók jó vagy rossz irányába mutat-e. Azt is szeretném tudni, hogy mi ismert a devuan (debian systemd nélkül) jövőjéről.
Nagyon köszönöm, hogy nagyon jó cikkeket készítesz.
Készíthet egy cikket, amely elmagyarázza a mangle táblázatot?
Csak a Facebookot blokkolja?