आयपटेबल्सची ओळख: लिनक्सवर फायरवॉल कॉन्फिगर करा

परिच्छेद लिनक्समध्ये फायरवॉल किंवा फायरवॉल कॉन्फिगर करा, आम्ही इप्टेबल्स वापरु शकतो, एक शक्तिशाली साधन जे बर्‍याच वापरकर्त्यांद्वारे विसरलेले दिसते. जरी दुवे स्तरावर रहदारी फिल्टर करण्यासाठी ebtables आणि arptables किंवा levelप्लिकेशन स्तरावर स्क्विड यासारख्या इतर पद्धती आहेत तरीही, नेटिव्हच्या रहदारी आणि वाहतूक स्तरावर आमच्या सिस्टममध्ये चांगली सुरक्षा लागू केल्याने iptables बहुतेक प्रकरणांमध्ये उपयुक्त ठरू शकतात.

लिनक्स कर्नल iptables कार्यान्वित करते, एक भाग फिल्टिंग पॅकेटची काळजी घेतो आणि या लेखातील आम्ही आपल्याला सोप्या पद्धतीने कॉन्फिगर करण्यास शिकवितो. सरळ शब्दात सांगायचे तर, iptables संभाव्य धोकेपासून आपल्या कार्यसंघाला अलग ठेवून कोणती माहिती प्रविष्ट करू शकत नाही आणि काय प्रविष्ट करू शकत नाही हे ओळखते. आणि फायरहॉल, फायरस्टार इ. सारखे इतर प्रकल्प असूनही, यापैकी बरेच फायरवॉल प्रोग्राम इप्टेबल्सचा वापर करतात ...

सुद्धा, चला खाली उतरूया, उदाहरणासह आपण सर्वकाही चांगले समजून घ्याल (या प्रकरणांमध्ये विशेषाधिकार असणे आवश्यक आहे, म्हणून आदेशासमोर sudo वापरा किंवा मूळ व्हा):

इप्टेबल्स वापरण्याचा सामान्य मार्ग फिल्टर पॉलिसी तयार करणे हे आहे:

IPTABLES -ARGUMENTS I / O कृती

जिथे -GGUMENT आहे आम्ही वापरू तर्क वितर्क, सामान्यत: डीफॉल्ट धोरण स्थापित करण्यासाठी पी, जरी आम्ही कॉन्फिगर केलेली पॉलिसी पाहण्यासाठी -L सारख्या इतरही आहेत, -निर्मित धोरण हटविण्यासाठी एफ, -बाइट आणि पॅकेट काउंटर रीसेट करण्यासाठी झेड इ. दुसरा पर्याय म्हणजे पॉलिसी जोडणे (डीफॉल्टनुसार नाही), -मी विशिष्ट ठिकाणी नियम घालण्यासाठी आणि -डी नियम काढून टाकण्यासाठी -डी. -P प्रोटोकॉल, स्पोर्ट सोर्स पोर्ट, डेस्टिनेशन पोर्टसाठी डिपोर्ट, -i इनकमिंग इंटरफेस, -आऊटगोइंग इंटरफेस, -सोर्स आयपी andड्रेस आणि -डी डेस्टिनेशन आयपी pointड्रेस दाखविणे यासाठी इतरही युक्तिवाद असतील.

शिवाय मी / ओ प्रतिनिधित्व करेल तर राजकारण हे इनपुट इनपुटवर, आउटपुटवर लागू केले जाते किंवा ते फॉरवर्ड ट्रॅफिक रीडायरेक्शन आहे (तिथे इतर काही आहेत जसे की प्रीरोटिंग, पोस्ट्रूटिंग, परंतु आम्ही ते वापरणार नाही). अखेरीस, मी ज्याला एक्शन म्हटले आहे ते आम्ही स्वीकारल्यास एसीईपीटी मूल्य घेऊ शकतो, नाकारल्यास नाकारू किंवा आम्ही काढून टाकल्यास ड्रॉप करा. ड्रॉप आणि रिजेक्ट मधील फरक असा आहे की जेव्हा एखादे पॅकेट आरजेजेक्टसह नाकारले जाते तेव्हा उद्भवलेल्या मशीनला हे समजेल की ते नाकारले गेले आहे, परंतु ड्रॉपद्वारे ते शांतपणे कार्य करते आणि हल्लेखोर किंवा मूळ काय झाले हे माहित नसते, आणि नाही आमच्याकडे फायरवॉल आहे किंवा कनेक्शन नुकतेच अयशस्वी झाले आहे हे जाणून घ्या. एलओजी सारखे इतरही आहेत, जे सिस्लॉगचा पाठपुरावा पाठवतात ...

नियमांमध्ये सुधारणा करण्यासाठीआम्ही आमच्या पसंतीच्या टेक्स्ट एडिटर, नॅनो, जीडिट, इप्प्टेबल्स फाईल संपादित करू शकतो किंवा नियमांसह स्क्रिप्ट तयार करू शकतो (जर आपण त्यास ओव्हरराइड करू इच्छित असाल तर आपण ते ओळीसमोर # ठेवून करू शकता जेणेकरून ती आहे कमांडसह कन्सोलद्वारे टिप्पणी म्हणून दुर्लक्ष केले) जसे की आपण येथे त्याचे वर्णन करू. डेबियन आणि डेरिव्हेटिव्हमध्ये आपण इप्टेबल्स-सेव्ह आणि इप्टेबल्स-रीस्टोर टूल्स देखील वापरू शकता ...

सर्वात टोकाचे धोरण म्हणजे सर्व काही अवरोधित करणे, पूर्णपणे सर्व रहदारी, परंतु हे आपल्याला यासह वेगळे करेल:

iptables -P INPUT DROP

हे सर्व स्वीकारण्यासाठी:

iptables -P INPUT ACCEPT

आम्हाला ते हवे असल्यास आमच्या कार्यसंघाकडून सर्व जाणारा रहदारी स्वीकारला आहे:

iptables -P OUTPUT ACEPT

La आणखी एक मूलगामी कृती म्हणजे सर्व पॉलिसी मिटविणे यासह इप्टेबल्स कडून:

iptables -F

चला अधिक ठोस नियमांवर जाऊयाअशी कल्पना करा की आपल्याकडे वेब सर्व्हर आहे आणि म्हणूनच 80 पोर्टद्वारे वाहतुकीस परवानगी असणे आवश्यक आहे:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

आणि मागील नियम व्यतिरिक्त, आम्हाला इप्टेबल्ससह एक संघ पाहिजे आहे केवळ आमच्या सबनेटवरील संगणकांद्वारे पाहिले जाऊ शकते आणि बाह्य नेटवर्कद्वारे त्याकडे दुर्लक्ष केले जाईल:

iptables -A INPUT -p tcp -s 192.168.30.0/24 --dport 80 -j ACCEPT

मागील ओळीत आपण नियम काय म्हणत आहोत ते नियम -ए जोडणे आहे, जेणेकरून पोर्ट through० द्वारे इनपुट इनपुट आणि टीसीपी प्रोटोकॉल स्वीकारले जातील. आता कल्पना करा की आपण मला इच्छित आहात वेब ब्राउझिंग नाकारले जाते iptables चालणार्‍या मशीनमधून जाणा local्या स्थानिक मशीन्ससाठी:

iptables -t filter -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 DROP

मला वाटते की वापर सोपे आहे, इप्टेबल्सचे प्रत्येक पॅरामीटर कशासाठी आहे हे विचारात घेऊन आम्ही साधे नियम जोडू शकतो. आम्ही आमची कल्पना करतो अशी सर्व संयोजन आणि नियम आपण करू शकता ... स्वत: ला अधिक वाढवू नये म्हणून, आणखी एक गोष्ट जोडा आणि ती म्हणजे मशीन पुन्हा चालू केल्यास तयार केलेली धोरणे हटविली जातील. सारण्या पुन्हा सुरू केल्या गेल्या आहेत आणि पूर्वीप्रमाणे राहतील, म्हणून एकदा आपण नियमांची योग्यरित्या व्याख्या केल्यास, आपण त्यांना कायमस्वरुपी करू इच्छित असल्यास, आपण त्यांना /etc/rc.local वरून लाँच करणे आवश्यक आहे किंवा आपल्याकडे डेबियन किंवा डेरिव्हेटिव्ह्ज असल्यास आम्हाला देण्यात आलेली साधने (iptables-save, iptables-بحال करा आणि iptables-প্রয়োগ) वापरा.