परिच्छेद लिनक्समध्ये फायरवॉल किंवा फायरवॉल कॉन्फिगर करा, आम्ही इप्टेबल्स वापरु शकतो, एक शक्तिशाली साधन जे बर्याच वापरकर्त्यांद्वारे विसरलेले दिसते. जरी दुवे स्तरावर रहदारी फिल्टर करण्यासाठी ebtables आणि arptables किंवा levelप्लिकेशन स्तरावर स्क्विड यासारख्या इतर पद्धती आहेत तरीही, नेटिव्हच्या रहदारी आणि वाहतूक स्तरावर आमच्या सिस्टममध्ये चांगली सुरक्षा लागू केल्याने iptables बहुतेक प्रकरणांमध्ये उपयुक्त ठरू शकतात.
लिनक्स कर्नल iptables कार्यान्वित करते, एक भाग फिल्टिंग पॅकेटची काळजी घेतो आणि या लेखातील आम्ही आपल्याला सोप्या पद्धतीने कॉन्फिगर करण्यास शिकवितो. सरळ शब्दात सांगायचे तर, iptables संभाव्य धोकेपासून आपल्या कार्यसंघाला अलग ठेवून कोणती माहिती प्रविष्ट करू शकत नाही आणि काय प्रविष्ट करू शकत नाही हे ओळखते. आणि फायरहॉल, फायरस्टार इ. सारखे इतर प्रकल्प असूनही, यापैकी बरेच फायरवॉल प्रोग्राम इप्टेबल्सचा वापर करतात ...
सुद्धा, चला खाली उतरूया, उदाहरणासह आपण सर्वकाही चांगले समजून घ्याल (या प्रकरणांमध्ये विशेषाधिकार असणे आवश्यक आहे, म्हणून आदेशासमोर sudo वापरा किंवा मूळ व्हा):
इप्टेबल्स वापरण्याचा सामान्य मार्ग फिल्टर पॉलिसी तयार करणे हे आहे:
IPTABLES -ARGUMENTS I / O कृती
जिथे -GGUMENT आहे आम्ही वापरू तर्क वितर्क, सामान्यत: डीफॉल्ट धोरण स्थापित करण्यासाठी पी, जरी आम्ही कॉन्फिगर केलेली पॉलिसी पाहण्यासाठी -L सारख्या इतरही आहेत, -निर्मित धोरण हटविण्यासाठी एफ, -बाइट आणि पॅकेट काउंटर रीसेट करण्यासाठी झेड इ. दुसरा पर्याय म्हणजे पॉलिसी जोडणे (डीफॉल्टनुसार नाही), -मी विशिष्ट ठिकाणी नियम घालण्यासाठी आणि -डी नियम काढून टाकण्यासाठी -डी. -P प्रोटोकॉल, स्पोर्ट सोर्स पोर्ट, डेस्टिनेशन पोर्टसाठी डिपोर्ट, -i इनकमिंग इंटरफेस, -आऊटगोइंग इंटरफेस, -सोर्स आयपी andड्रेस आणि -डी डेस्टिनेशन आयपी pointड्रेस दाखविणे यासाठी इतरही युक्तिवाद असतील.
शिवाय मी / ओ प्रतिनिधित्व करेल तर राजकारण हे इनपुट इनपुटवर, आउटपुटवर लागू केले जाते किंवा ते फॉरवर्ड ट्रॅफिक रीडायरेक्शन आहे (तिथे इतर काही आहेत जसे की प्रीरोटिंग, पोस्ट्रूटिंग, परंतु आम्ही ते वापरणार नाही). अखेरीस, मी ज्याला एक्शन म्हटले आहे ते आम्ही स्वीकारल्यास एसीईपीटी मूल्य घेऊ शकतो, नाकारल्यास नाकारू किंवा आम्ही काढून टाकल्यास ड्रॉप करा. ड्रॉप आणि रिजेक्ट मधील फरक असा आहे की जेव्हा एखादे पॅकेट आरजेजेक्टसह नाकारले जाते तेव्हा उद्भवलेल्या मशीनला हे समजेल की ते नाकारले गेले आहे, परंतु ड्रॉपद्वारे ते शांतपणे कार्य करते आणि हल्लेखोर किंवा मूळ काय झाले हे माहित नसते, आणि नाही आमच्याकडे फायरवॉल आहे किंवा कनेक्शन नुकतेच अयशस्वी झाले आहे हे जाणून घ्या. एलओजी सारखे इतरही आहेत, जे सिस्लॉगचा पाठपुरावा पाठवतात ...
नियमांमध्ये सुधारणा करण्यासाठीआम्ही आमच्या पसंतीच्या टेक्स्ट एडिटर, नॅनो, जीडिट, इप्प्टेबल्स फाईल संपादित करू शकतो किंवा नियमांसह स्क्रिप्ट तयार करू शकतो (जर आपण त्यास ओव्हरराइड करू इच्छित असाल तर आपण ते ओळीसमोर # ठेवून करू शकता जेणेकरून ती आहे कमांडसह कन्सोलद्वारे टिप्पणी म्हणून दुर्लक्ष केले) जसे की आपण येथे त्याचे वर्णन करू. डेबियन आणि डेरिव्हेटिव्हमध्ये आपण इप्टेबल्स-सेव्ह आणि इप्टेबल्स-रीस्टोर टूल्स देखील वापरू शकता ...
सर्वात टोकाचे धोरण म्हणजे सर्व काही अवरोधित करणे, पूर्णपणे सर्व रहदारी, परंतु हे आपल्याला यासह वेगळे करेल:
iptables -P INPUT DROP
हे सर्व स्वीकारण्यासाठी:
iptables -P INPUT ACCEPT
आम्हाला ते हवे असल्यास आमच्या कार्यसंघाकडून सर्व जाणारा रहदारी स्वीकारला आहे:
iptables -P OUTPUT ACEPT
La आणखी एक मूलगामी कृती म्हणजे सर्व पॉलिसी मिटविणे यासह इप्टेबल्स कडून:
iptables -F
चला अधिक ठोस नियमांवर जाऊयाअशी कल्पना करा की आपल्याकडे वेब सर्व्हर आहे आणि म्हणूनच 80 पोर्टद्वारे वाहतुकीस परवानगी असणे आवश्यक आहे:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
आणि मागील नियम व्यतिरिक्त, आम्हाला इप्टेबल्ससह एक संघ पाहिजे आहे केवळ आमच्या सबनेटवरील संगणकांद्वारे पाहिले जाऊ शकते आणि बाह्य नेटवर्कद्वारे त्याकडे दुर्लक्ष केले जाईल:
iptables -A INPUT -p tcp -s 192.168.30.0/24 --dport 80 -j ACCEPT
मागील ओळीत आपण नियम काय म्हणत आहोत ते नियम -ए जोडणे आहे, जेणेकरून पोर्ट through० द्वारे इनपुट इनपुट आणि टीसीपी प्रोटोकॉल स्वीकारले जातील. आता कल्पना करा की आपण मला इच्छित आहात वेब ब्राउझिंग नाकारले जाते iptables चालणार्या मशीनमधून जाणा local्या स्थानिक मशीन्ससाठी:
iptables -t filter -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 DROP
मला वाटते की वापर सोपे आहे, इप्टेबल्सचे प्रत्येक पॅरामीटर कशासाठी आहे हे विचारात घेऊन आम्ही साधे नियम जोडू शकतो. आम्ही आमची कल्पना करतो अशी सर्व संयोजन आणि नियम आपण करू शकता ... स्वत: ला अधिक वाढवू नये म्हणून, आणखी एक गोष्ट जोडा आणि ती म्हणजे मशीन पुन्हा चालू केल्यास तयार केलेली धोरणे हटविली जातील. सारण्या पुन्हा सुरू केल्या गेल्या आहेत आणि पूर्वीप्रमाणे राहतील, म्हणून एकदा आपण नियमांची योग्यरित्या व्याख्या केल्यास, आपण त्यांना कायमस्वरुपी करू इच्छित असल्यास, आपण त्यांना /etc/rc.local वरून लाँच करणे आवश्यक आहे किंवा आपल्याकडे डेबियन किंवा डेरिव्हेटिव्ह्ज असल्यास आम्हाला देण्यात आलेली साधने (iptables-save, iptables-بحال करा आणि iptables-প্রয়োগ) वापरा.
मी आयपॅटेबल्सवर पाहणारा हा पहिला लेख आहे, जरी दाट-मध्यम पातळीवरील ज्ञानाची आवश्यकता असल्यास-, अगदी थेट धान्यात जाते.
मी सर्वांना शिफारस करतो की ते "द्रुत संदर्भ मॅन्युअल" म्हणून वापरावे कारण ते खूपच चांगले गाळले गेले आहे आणि स्पष्ट केले आहे. 8-)
बहुतेक लिनक्स डिस्ट्रिब्युशनमध्ये सिस्टीममध्ये झालेला बदल, काही प्रमाणात सर्वसाधारणपणे लिनक्सच्या सुरक्षिततेवर परिणाम होतो किंवा भविष्यातील आणि लिनक्स वितरणाच्या चांगल्या किंवा वाईट गोष्टींसाठी असल्यास आपण यापुढील लेखात बोलू इच्छितो. देवानच्या (सिस्टीमशिवाय डेबियन) भविष्याबद्दल काय माहित आहे हे देखील मला जाणून घ्यायचे आहे.
आपण खूप चांगले लेख बनविल्याबद्दल धन्यवाद.
आपण मंगळ टेबल स्पष्ट करणारे लेख बनवू शकता?
फक्त फेसबुक ब्लॉक करायचा?