Kaip sukonfigūruoti ugniasienę „Linux“ naudojant „IPtables“.

Pablinux

6 minučių

iptable linux

Nors kartais vis dar paliečiu „Windows“ vienas, o daugelyje kitų jie mane verčia (marditoh rodoreh), kai turiu atlikti reikalus toli nuo savo kompiuterių, man kalbėti apie „Windows“ yra tarsi kažkas, kas paliekama toli nuo laiko. Kai naudojau ją kaip pagrindinę sistemą (kitos neturėjau), bandžiau ją apsaugoti programine įranga, tokia kaip Kaspersky antivirusinė programa ir retkarčiais naudojama ugniasienė, be daugelio kitų saugos įrankių. „Linux“ mes niekada nebuvome taip atskleisti kaip „Windows“, tačiau yra ir programinės įrangos, kuri padeda mums būti ramesniems, pvz. IP lentelės, ugniasienė arba ugniasienė.

Ugniasienė yra apsaugos sistema, atsakinga už tinklo srauto, įeinančio į operacinę sistemą ir iš jos išėjimo, valdymą. Vienas iš plačiausiai paplitusių Linux sistemoje yra minėtos IP lentelės tiek, kad tikriausiai ir jums to nežinant, jos jau buvo įdiegtos jūsų operacinėje sistemoje nuo tada, kai ją išleidote. Tai, ką bandysime padaryti šiame straipsnyje, yra paaiškinti kaip sukonfigūruoti ugniasienę linux su IP lentelėmis.

„IPtables“ sistemoje „Linux“, ką reikia žinoti

Užkardos konfigūravimas gali būti sudėtinga, ir daugiau operacinėje sistemoje, pvz., „Linux“, kurioje geriausia pasiekiama palietus terminalą. Prieš pradedant, patartina šiek tiek išmanyti tinklo ir saugumo problemas arba bent jau suprasti, kad kai esame prisijungę, bendraujame su kita įranga, o šie įrenginiai ar jų savininkai gali turėti gerų ar blogų ketinimų. Dėl šios priežasties, atsižvelgiant į tai, kaip naudojame savo kompiuterį, verta kontroliuoti viską, kas išeina ir kas į jį patenka.

Be to, ir dėl to, kas gali nutikti, jei turime kitą užkardą savo Linux sistemoje ir ketiname pradėti koreguoti dalykus IPtables, verta pasidaryti atsarginę dabartinės ugniasienės konfigūracijos kopiją. Kai visa tai aišku, pradedame visiškai kalbėti apie IPtables konfigūraciją.

  1. Pirmas dalykas, kurį turime padaryti, yra įdiegti paketą. Daugumoje „Linux“ platinimų ji įdiegta pagal numatytuosius nustatymus, tačiau tai ne visada būna. Norėdami sužinoti, ar mūsų operacinėje sistemoje yra įdiegtos IP lentelės, atidarome terminalą ir rašome iptables -v. Mano atveju ir šio straipsnio rašymo metu mano terminalas mane grąžina iptable v1.8.8. Jei jis neįdiegtas, jį galima įdiegti su:

Ubuntu/Debian arba dariniai:

sudo apt install iptables

Fedora / Redhat arba dariniai:

sudo yum įdiegti iptables

Arch Linux ir dariniai

sudo pacman -Siptables

Po įdiegimo jis bus įjungtas naudojant:

sudo systemctl įgalinti iptables sudo systemctl paleisti iptables

Ir jūs galite pamatyti jo būseną:

sudo systemctl būsenos iptables
  1. Kai ugniasienė jau įdiegta, turite sukonfigūruoti jos taisykles. „IPtables“ taisyklės yra suskirstytos į lenteles (apie kurias plačiau kalbėsime vėliau šiame straipsnyje): filtras, nat ir mangle, prie kurių turime pridėti raw ir security. Filtro lentelė naudojama įeinančiam ir išeinančiam srautui valdyti, nat lentelė naudojama NAT (tinklo adresų vertimui), o mangle lentelė naudojama IP paketui modifikuoti. Norint sukonfigūruoti filtrų lentelės taisykles, naudojamos šios komandos:
  • iptables -A INPUT -j ACCEPT (leisti visą įeinantį srautą).
  • iptables -A OUTPUT -j ACCEPT (leisti visą išeinantį srautą).
  • iptables -A FORWARD -j ACCEPT (leisti visą maršruto srautą). Tačiau ši konfigūracija leidžia visą srautą ir nerekomenduojama naudoti gamybos sistemoje. Svarbu nurodyti ugniasienės taisykles atsižvelgiant į konkrečius sistemos poreikius. Pavyzdžiui, jei norite blokuoti įeinantį srautą per 22 prievadą (SSH), galite naudoti komandą:
iptables -A ĮVADAS -p tcp --port 22 - j DROP
  1. Kitas svarbus dalykas – išsaugoti nustatymus, kad jų neprarastumėte perkraunant sistemą. „Ubuntu“ ir „Debian“ komanda „iptables-save“ naudojama dabartinėms konfigūracijoms įrašyti į failą. „Red Hat“ ir „Fedora“ konfigūracijoms išsaugoti naudojama komanda „service iptables save“. Jei abejojate, kurį naudoti, Ubuntu / Debian komandos paprastai veikia daugiau platinimų.

Įkelkite konfigūracijas po perkrovimo

į įkelti išsaugotus nustatymus, naudojamos tos pačios komandos, kurios buvo naudojamos joms išsaugoti, bet su veiksmu „atkurti“, o ne „išsaugoti“. „Ubuntu“ ir „Debian“ sistemoje „iptables-restore“ komanda naudojama išsaugotoms konfigūracijoms įkelti iš failo. „Red Hat“ ir „Fedora“ komanda „service iptables atkurti“ naudojama išsaugotoms konfigūracijoms įkelti. Vėlgi, jei abejojate, kurią komandą naudoti, Ubuntu / Debian komandos paprastai veikia geriausiai.

Svarbu atkreipti dėmesį į tai, kad pakeitus ugniasienės nustatymus, juos reikia išsaugoti ir įkelti iš naujo, kad pakeitimai įsigaliotų. Tai būdas perrašyti konfigūracijos failą naujais duomenimis, o jei tai nebus padaryta tokiu būdu, pakeitimai nebus išsaugoti.

Lentelės IP lentelėse

Yra 5 tipai lentos IPT lentelėse ir kiekvienam iš jų taikomos skirtingos taisyklės:

  • filtruoti : Tai yra pagrindinė ir numatytoji lentelė naudojant IPTables. Tai reiškia, kad jei taikant taisykles nepaminėta jokia konkreti lentelė, taisyklės bus taikomos filtrų lentelei. Kaip rodo jos pavadinimas, filtrų lentelės vaidmuo yra nuspręsti, ar leisti paketams pasiekti paskirties vietą, ar atmesti jų užklausą.
  • NAT (Tinklo adresų vertimas): kaip rodo pavadinimas, ši lentelė leidžia vartotojams nustatyti tinklo adresų vertimą. Šios lentelės vaidmuo yra nustatyti, ar ir kaip pakeisti šaltinio ir paskirties paketo adresą.
  • raištis: Ši lentelė leidžia modifikuoti paketų IP antraštes. Pavyzdžiui, TTL galima reguliuoti, kad pailgėtų arba sutrumpėtų tinklo šuolis, kurį paketas gali palaikyti. Panašiai ir kitos IP antraštės taip pat gali būti modifikuojamos pagal jūsų pageidavimus.
  • žalias: Pagrindinė šios lentelės paskirtis – atsekti ryšius, nes ji suteikia paketų žymėjimo mechanizmą, kad būtų galima peržiūrėti paketus kaip vykstančios sesijos dalį.
  • saugumas: Naudodami saugos lentelę, vartotojai gali pritaikyti vidines SELinux saugos konteksto vėliavėles tinklo paketams.

Paskutinės dvi lentelės beveik nenaudojamos, todėl daugumoje dokumentų kalbama tik apie filtrą, nat ir mangle.

Pagalbos faile galime rasti pavyzdžių, kaip valdyti IPtables. Norėdami jį pamatyti, atidarysime terminalą ir įveskite iptables -h.

Nors „iptables“ yra viena geriausių „Linux“ parinkčių, jei jums labiau patinka kažkas paprastesnio su grafine sąsaja, galite pažvelgti į Ugniasienė.


Palikite komentarą

Jūsų elektroninio pašto adresas nebus skelbiamas. Privalomi laukai yra pažymėti *

*

*

  1. Už duomenis atsakingas: AB Internet Networks 2008 SL
  2. Duomenų paskirtis: kontroliuoti šlamštą, komentarų valdymą.
  3. Įteisinimas: jūsų sutikimas
  4. Duomenų perdavimas: Duomenys nebus perduoti trečiosioms šalims, išskyrus teisinius įsipareigojimus.
  5. Duomenų saugojimas: „Occentus Networks“ (ES) talpinama duomenų bazė
  6. Teisės: bet kuriuo metu galite apriboti, atkurti ir ištrinti savo informaciją.