へ Linuxでファイアウォールまたはファイアウォールを構成すると、iptablesを利用できます、多くのユーザーに忘れられているように見える強力なツール。 リンクレベルでトラフィックをフィルタリングするebtablesやarptables、アプリケーションレベルでSquidなどの他の方法もありますが、ほとんどの場合、iptablesは非常に便利であり、ネットのトラフィックおよびトランスポートレベルでシステムに優れたセキュリティを実装します。
Linuxカーネルはiptablesを実装しています。 パケットのフィルタリングを処理します この記事では、簡単な方法で構成する方法を説明します。 簡単に言えば、iptablesは、入力できる情報と入力できない情報を識別し、チームを潜在的な脅威から隔離します。 そして、Firehol、Firestarterなどの他のプロジェクトもありますが、これらのファイアウォールプログラムの多くはiptablesを使用しています...
まあ、 仕事に取り掛かりましょう。例を挙げれば、すべてをよりよく理解できます。 (これらの場合、特権が必要なので、コマンドの前でsudoを使用するか、rootになります):
iptablesを使用する一般的な方法 フィルタポリシーを作成するには、次のようにします。
IPTABLES-引数I / Oアクション
-ARGUMENTはどこにありますか 使用する引数、通常は-Pでデフォルトのポリシーを確立しますが、構成したポリシーを表示する-L、作成したポリシーを削除する-F、バイトおよびパケットカウンターをリセットする-Zなどの他のポリシーもあります。 もうXNUMXつのオプションは、ポリシーを追加するための-A(デフォルトではない)、特定の位置にルールを挿入するための-I、および特定のルールを削除するための-Dです。 -pプロトコル、-sport送信元ポート、宛先ポートの-dport、-i着信インターフェイス、-o発信インターフェイス、-s送信元IPアドレス、および-d宛先IPアドレスを指す他の引数もあります。
さらに、I / Oは、 政治 これは、INPUT入力、OUTPUT出力に適用されるか、FORWARDトラフィックリダイレクトです(PREROUTING、POSTROUTINGなどの他にもありますが、使用しません)。 最後に、私がACTIONと呼んでいるものは、受け入れる場合はACCEPT、拒否する場合はREJECT、排除する場合はDROPという値をとることができます。 DROPとREJECTの違いは、パケットがREJECTで拒否された場合、パケットを発信したマシンはパケットが拒否されたことを認識しますが、DROPを使用すると、パケットはサイレントに動作し、攻撃者または発信者は何が起こったかを認識せず、認識しません。ファイアウォールがあるのか、接続が失敗したのかを確認します。 Syslogのフォローアップを送信するLOGのような他のものもあります...
ルールを変更するには、好みのテキストエディタnano、geditなどでiptablesファイルを編集したり、ルールを使用してスクリプトを作成したりできます(オーバーライドする場合は、行の前に#を付けてスクリプトを作成できます。ここで説明するように、コマンドを使用してコンソールからコメントとして無視されます。 Debianおよび派生物では、iptables-saveおよびiptables-restoreツールを使用することもできます...
最も極端なポリシーは、すべてをブロックすることです、絶対にすべてのトラフィックですが、これにより、次のように孤立したままになります。
iptables -P INPUT DROP
それをすべて受け入れるには:
iptables -P INPUT ACCEPT
それが欲しいなら 私たちのチームからのすべての発信トラフィックが受け入れられます:
iptables -P OUTPUT ACEPT
La 別の急進的な行動は、すべてのポリシーを消去することです iptablesから:
iptables -F
より具体的なルールに行きましょうWebサーバーがあり、ポート80を介したトラフィックを許可する必要があるとします。
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
そして、前のルールに加えて、iptablesを備えたチームが必要な場合 サブネット上のコンピューターでのみ表示されます そしてそれは外部ネットワークによって見過ごされます:
iptables -A INPUT -p tcp -s 192.168.30.0/24 --dport 80 -j ACCEPT
前の行で、iptablesに言っているのは、ルール-Aを追加することです。これにより、入力入力と、ポート80を介したTCPプロトコルが受け入れられます。 今、あなたが私にしたいことを想像してください Webブラウジングは拒否されます iptablesを実行しているマシンを通過するローカルマシンの場合:
iptables -t filter -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 DROP
iptablesの各パラメーターの目的を考慮すると、使い方は簡単だと思います。簡単なルールを追加できます。 私たちが想像するすべての組み合わせとルールを実行できます...自分自身をさらに拡張しないために、もうXNUMXつ追加するだけです。つまり、マシンを再起動すると、作成されたポリシーが削除されます。 テーブルが再起動され、以前と同じように残ります。したがって、ルールを適切に定義すると、 それらを永続的にしたい場合、/ etc / rc.localから起動するか、Debianまたは派生物がある場合は、提供されているツール(iptables-save、iptables-restore、iptables-apply)を使用する必要があります。
これは私がIPTABLESで見た最初の記事であり、密度は高いものの、中程度の知識が必要ですが、直接穀物に行きます。
非常によく凝縮されて説明されているので、「クイックリファレンスマニュアル」として使用することをお勧めします。 8-)
ほとんどのLinuxディストリビューションでのsystemdへの変更が、Linux全般のセキュリティに何らかの影響を与えるかどうか、そしてこの変更が将来のLinuxディストリビューションの良し悪しに影響するかどうかについて、今後の記事でお話ししたいと思います。 また、devuan(systemdのないdebian)の将来について何がわかっているのか知りたいです。
とても良い記事を作ってくれてありがとう。
マングルテーブルを説明する記事を作っていただけませんか?
Facebookだけをブロックしますか?