Kā konfigurēt ugunsmūri operētājsistēmā Linux ar IPtables

Pablinux

6 Minutos

iptable Linux

Lai gan dažreiz es joprojām pieskaros sistēmai Windows pats un daudzos citos viņi mani piespiež (marditoh rodoreh), kad man ir jādara kaut kas prom no sava datora, man runāt par Windows ir kā kaut ko tādu, kas laika gaitā tiek atstāts tālu aiz muguras. Kad es to izmantoju kā savu galveno sistēmu (man nebija citas), es mēģināju to aizsargāt ar programmatūru, piemēram, Kaspersky pretvīrusu un neregulāru ugunsmūri, kā arī daudziem citiem drošības rīkiem. Linux mēs nekad neesam bijuši tik pakļauti kā Windows, taču ir arī programmatūra, kas palīdz mums būt mierīgākiem, piemēram, IP tabulas, ugunsmūris vai ugunsmūris.

Ugunsmūris ir drošības sistēma, kas ir atbildīga par tīkla trafika kontroli, kas ienāk operētājsistēmā un iziet no tās. Viens no visizplatītākajiem operētājsistēmā Linux ir iepriekš minētie IP tableti līdz tādam līmenim, ka, iespējams, un jums to nezinot, tie jau ir instalēti jūsu operētājsistēmā kopš tā izlaišanas. Tas, ko mēs mēģināsim darīt šajā rakstā, ir izskaidrot Kā konfigurēt ugunsmūri operētājsistēmā Linux ar IPtables.

IPtables operētājsistēmā Linux, kas jums jāzina

Ugunsmūra konfigurēšana var būt sarežģīti, un vairāk tādā operētājsistēmā kā Linux, kurā vislabākais tiek sasniegts, pieskaroties terminālim. Pirms darba sākšanas vēlams nedaudz uzzināt par tīkla un drošības jautājumiem vai vismaz saprast, ka, kad esam pieslēgti, mēs sazināmies ar citām iekārtām, un šīm ierīcēm vai to īpašniekiem var būt labi vai slikti nodomi. Šī iemesla dēļ, atkarībā no tā, kā mēs izmantojam datoru, ir vērts kontrolēt visu, kas nodziest, un visu, kas tajā ienāk.

Turklāt, kas varētu notikt, ja mūsu Linux sistēmā ir cits ugunsmūris un mēs sāksim pielāgot lietas IPtables, ir vērts izveidot pašreizējās ugunsmūra konfigurācijas rezerves kopiju. Kad tas viss ir skaidrs, mēs sākam pilnībā runāt par IPtables konfigurāciju.

  1. Pirmā lieta, kas mums jādara, ir instalēt pakotni. Lielākajai daļai Linux izplatījumu tas ir instalēts pēc noklusējuma, taču tas ne vienmēr notiek. Lai noskaidrotu, vai mūsu operētājsistēmā ir instalētas IPtables, mēs atveram termināli un rakstām iptables -v. Manā gadījumā un šī raksta rakstīšanas laikā mans terminālis mani atgriež iptable v1.8.8. Ja tas nav instalēts, to var uzstādīt ar:

Ubuntu/Debian vai atvasinājumi:

sudo apt instalēt iptables

Fedora/Redhat vai atvasinājumi:

sudo yum instalējiet iptables

Arch Linux un atvasinājumi

sudo pacman -Siptables

Pēc instalēšanas tas tiks iespējots ar:

sudo systemctl iespējot iptables sudo systemctl startēt iptables

Un jūs varat redzēt tā statusu, izmantojot:

sudo systemctl statusa iptables
  1. Ja ugunsmūris jau ir instalēts, jums ir jākonfigurē tā noteikumi. IPtables noteikumi ir sadalīti tabulās (par kurām mēs sīkāk runāsim vēlāk šajā rakstā): filtrs, nat un mangle, kurām jāpievieno raw un drošība. Filtru tabulu izmanto, lai kontrolētu ienākošo un izejošo trafiku, nat tabulu izmanto, lai veiktu NAT (tīkla adrešu tulkošanu), un mangle tabula tiek izmantota, lai modificētu IP paketi. Lai konfigurētu filtra tabulas noteikumus, tiek izmantotas šādas komandas:
  • iptables -A INPUT -j ACCEPT (atļaut visu ienākošo trafiku).
  • iptables -A OUTPUT -j ACCEPT (atļaut visu izejošo trafiku).
  • iptables -A FORWARD -j ACCEPT (atļaut visu maršrutēšanas trafiku). Tomēr šī konfigurācija pieļauj visu trafiku un nav ieteicama ražošanas sistēmai. Ir svarīgi precizēt ugunsmūra noteikumus, pamatojoties uz sistēmas īpašajām vajadzībām. Piemēram, ja vēlaties bloķēt ienākošo trafiku 22. portā (SSH), varat izmantot komandu:
iptables -I INPUT -p tcp -dport 22 -j DROP
  1. Vēl viena svarīga lieta ir saglabāt iestatījumus, lai tos nepazaudētu, pārstartējot sistēmu. Uz Ubuntu un Debian komanda "iptables-save" tiek izmantota, lai pašreizējās konfigurācijas saglabātu failā. Red Hat un Fedora konfigurāciju saglabāšanai tiek izmantota komanda "service iptables save". Ja jums ir šaubas par to, kuru izmantot, Ubuntu/Debian komandas parasti darbojas vairākos izplatījumos.

Ielādējiet konfigurācijas pēc atsāknēšanas

līdz ielādējiet saglabātos iestatījumus, tiek izmantotas tās pašas komandas, kas tika izmantotas to saglabāšanai, bet ar darbību "atjaunot", nevis "saglabāt". Uz Ubuntu un Debian komanda "iptables-restore" tiek izmantota, lai ielādētu saglabātās konfigurācijas no faila. Red Hat un Fedora komanda "service iptables atjaunot" tiek izmantota, lai ielādētu saglabātās konfigurācijas. Vēlreiz, ja jums ir šaubas par to, kuru komandu izmantot, Ubuntu/Debian komandas parasti darbojas vislabāk.

Ir svarīgi ņemt vērā, ka, ja tiek veiktas izmaiņas ugunsmūra iestatījumos, tās ir jāsaglabā un jāielādē atkārtoti, lai izmaiņas stātos spēkā. Tas ir veids, kā pārrakstīt konfigurācijas failu ar jaunajiem datiem, un, ja tas netiek darīts šādā veidā, izmaiņas netiks saglabātas.

Tabulas IPtables

Ir 5 veidi galdi IPTables, un katram no tiem tiek piemēroti atšķirīgi noteikumi:

  • filtrēt : šī ir galvenā un noklusējuma tabula, izmantojot IPTables. Tas nozīmē, ka, ja, piemērojot noteikumus, netiek minēta konkrēta tabula, kārtulas tiks piemērotas filtra tabulai. Kā norāda tās nosaukums, filtru tabulas uzdevums ir izlemt, vai ļaut paketēm sasniegt galamērķi vai noraidīt to pieprasījumu.
  • nat (Tīkla adrešu tulkošana): kā norāda nosaukums, šī tabula ļauj lietotājiem noteikt tīkla adrešu tulkojumu. Šīs tabulas uzdevums ir noteikt, vai un kā mainīt avota un mērķa pakešu adresi.
  • mangle: šī tabula ļauj mums modificēt pakešu IP galvenes. Piemēram, TTL var pielāgot, lai pagarinātu vai saīsinātu tīkla apiņus, ko pakete var atbalstīt. Līdzīgā veidā arī citas IP galvenes var mainīt atbilstoši jūsu vēlmēm.
  • neapstrādāts: šīs tabulas galvenais lietojums ir savienojumu izsekošana, jo tā nodrošina pakešu marķēšanas mehānismu, lai skatītu paketes kā daļu no notiekošās sesijas.
  • drošība: Izmantojot drošības tabulu, lietotāji tīkla paketēm var lietot iekšējos SELinux drošības konteksta karogus.

Pēdējās divas tabulas gandrīz netiek izmantotas, līdz lielākā daļa dokumentācijas runā tikai par filtru, nat un mangle.

Palīdzības failā mēs varam atrast piemērus, kā pārvaldīt IPtables. Lai to redzētu, mēs atvērsim termināli un ierakstīsim iptables -h.

Lai gan iptables ir viena no labākajām opcijām operētājsistēmai Linux, ja vēlaties kaut ko vienkāršāku ar grafisko interfeisu, varat apskatīt Firewalld.


Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti ar *

*

*

  1. Atbildīgais par datiem: AB Internet Networks 2008 SL
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekrišana
  4. Datu paziņošana: Dati netiks paziņoti trešām personām, izņemot juridiskus pienākumus.
  5. Datu glabāšana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.