līdz lai konfigurētu ugunsmūri vai ugunsmūri Linux, mēs varam izmantot iptables, spēcīgs rīks, kuru, šķiet, aizmirst daudzi lietotāji. Lai gan ir arī citas metodes, piemēram, ebtable un arptables, lai filtrētu trafiku saites līmenī, vai Squid lietojumprogrammas līmenī, iptables vairumā gadījumu var būt ļoti noderīgas, ieviešot labu drošību mūsu sistēmā tīkla trafika un transporta līmenī.
Linux kodols ievieš iptables, kas ir daļa rūpējas par pakešu filtrēšanu un ka šajā rakstā mēs iemācām konfigurēt vienkāršā veidā. Vienkārši sakot, iptables identificē informāciju, kuru drīkst ievadīt un kuru nevar ievadīt, izolējot jūsu komandu no iespējamiem draudiem. Lai gan ir arī citi projekti, piemēram, Firehol, Firestarter utt., Daudzās no šīm ugunsmūra programmām tiek izmantoti iptables ...
Nu, Sāksim strādāt, ar piemēriem jūs visu labāk sapratīsit (Šajos gadījumos ir nepieciešamas privilēģijas, tāpēc komandas priekšā izmantojiet sudo vai kļūstiet par root):
Vispārīgs iptables izmantošanas veids lai izveidotu filtra politiku, ir:
IPTABLES - IESNIEGŠANAS / IZVEŠANAS DARBĪBA
Kur -ARGUMENT ir arguments, kuru mēs izmantosim, parasti -P, lai izveidotu noklusējuma politiku, lai gan ir arī citi, piemēram, -L, lai redzētu mūsu konfigurētās politikas, -F, lai izdzēstu izveidoto politiku, -Z, lai atiestatītu baitu un pakešu skaitītājus utt. Vēl viena iespēja ir -A, lai pievienotu politiku (nevis pēc noklusējuma), -I, lai ievietotu kārtulu noteiktā pozīcijā, un -D, lai izdzēstu doto kārtulu. Būs arī citi argumenti, kas norādīs uz -p protokoliem, –sporta avota portu, –dokumentu galamērķa portam, -i ienākošo interfeisu, -o izejošo interfeisu, -s avota IP adresi un -d galamērķa IP adresi.
Turklāt I / O būtu, ja politikā Tas tiek piemērots ieejai INPUT, izejai OUTPUT vai arī tas ir FORWARD trafika novirzīšana (ir arī citi, piemēram, PREROUTING, POSTROUTING, bet mēs tos neizmantosim). Visbeidzot, tas, ko es esmu nosaucis par RĪCĪBU, var iegūt vērtību PIEŅEMT, ja pieņemam, noraidīt, ja noraidām, vai PILNO, ja izslēdzam. Atšķirība starp DROP un REJECT ir tāda, ka tad, kad pakete tiek noraidīta ar REJECT, mašīna, kas to radījusi, zinās, ka tā ir noraidīta, bet ar DROP tā darbojas klusi, un uzbrucējs vai izcelsme nezinās, kas noticis, un nezinās. zināt, vai mums ir ugunsmūris, vai savienojums vienkārši neizdevās. Ir arī citi, piemēram, LOG, kas nosūta syslog turpinājumu ...
Lai modificētu kārtulas, mēs varam rediģēt iptables failu ar vēlamo teksta redaktoru, nano, gedit, ... vai izveidot skriptus ar kārtulām (ja vēlaties tos ignorēt, varat to izdarīt, rindas priekšā ievietojot # tā, lai tas būtu ignorēts kā komentārs), izmantojot konsoli ar komandām, kā mēs to šeit izskaidrosim. Debian un atvasinātajos dokumentos varat izmantot arī rīkus iptables-save un iptables-restore ...
Galējā politika ir visu bloķēt, pilnīgi visu datplūsmu, bet tas mūs atstās izolētus ar:
iptables -P INPUT DROP
Lai to visu pieņemtu:
iptables -P INPUT ACCEPT
Ja mēs to vēlamies tiek pieņemta visa izejošā trafika no mūsu komandas:
iptables -P OUTPUT ACEPT
La vēl viena radikāla rīcība būtu visu politiku dzēšana no iptables ar:
iptables -F
Pārejam pie konkrētākiem noteikumiemIedomājieties, ka jums ir tīmekļa serveris, un tāpēc ir jāatļauj datplūsma caur 80. portu:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
Un, ja papildus iepriekšējam noteikumam mēs vēlamies komandu ar iptables to var redzēt tikai mūsu apakštīkla datori un to ārējais tīkls nepamana:
iptables -A INPUT -p tcp -s 192.168.30.0/24 --dport 80 -j ACCEPT
Iepriekšējā rindā tas, ko mēs sakām iptables, ir pievienot kārtulu -A, lai INPUT ievades un TCP protokols tiktu pieņemts caur 80. portu. Tagad iedomājieties, ka vēlaties tīmekļa pārlūkošana tiek noraidīta vietējām mašīnām, kas iet caur mašīnu, kurā darbojas iptables:
iptables -t filter -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 DROP
Es domāju, ka izmantošana ir vienkārša, ņemot vērā to, kam ir paredzēts katrs iptables parametrs, mēs varam pievienot vienkāršus noteikumus. Jūs varat veikt visas kombinācijas un noteikumus, kurus mēs iedomājamies ... Lai nepaplašinātu sevi vairāk, vienkārši pievienojiet vēl vienu lietu, proti, ja mašīna tiks restartēta, izveidotās politikas tiks dzēstas. Tabulas tiek restartētas un paliks kā iepriekš, tāpēc, kad būsiet labi definējis noteikumus, ja vēlaties tos padarīt pastāvīgus, jums tie jāpalaiž no /etc/rc.local vai, ja jums ir Debian vai atvasinājumi, izmantojiet mums dotos rīkus (iptables-save, iptables-restore un iptables-apply).
Šis ir pirmais raksts, ko redzu vietnē IPTABLES, kurš, lai arī blīvs - prasa vidēju zināšanu līmeni -, TIEŠI DODAS UZ Graudu.
Es iesaku visiem to izmantot kā "ātrās uzziņas rokasgrāmatu", jo tā ir ļoti labi saīsināta un izskaidrota. 8-)
Es gribētu, lai jūs kādā turpmākajā rakstā runātu par to, vai izmaiņas systemd lielākajā daļā linux izplatījumu kaut kā ietekmē linux drošību kopumā un vai šīs izmaiņas ir paredzētas nākotnes un linux izplatīšanas labā vai sliktā pusē. Es arī vēlētos uzzināt, kas ir zināms par devuana (debian bez systemd) nākotni.
Liels paldies, jūs veidojat ļoti labus rakstus.
Vai jūs varētu izveidot rakstu, kurā būtu paskaidrots, kāda ir mangle tabula?
Bloķēt tikai Facebook?