Bagaimana untuk mengkonfigurasi tembok api dalam Linux dengan IPtables

iptable linux

Walaupun kadang-kadang saya masih menyentuh Windows sendiri dan dalam banyak lagi mereka memaksa saya (marditoh rodoreh) apabila saya perlu melakukan perkara-perkara yang jauh dari komputer saya, bagi saya bercakap tentang Windows adalah seperti sesuatu yang tertinggal jauh dari masa. Apabila saya menggunakannya sebagai sistem utama saya (saya tidak mempunyai yang lain), saya cuba melindunginya dengan perisian seperti antivirus Kaspersky dan tembok api sekali-sekala, antara banyak alat keselamatan lain. Di Linux kita tidak pernah terdedah seperti di Windows, tetapi terdapat juga perisian yang membantu kita menjadi lebih tenang, seperti IPtables, tembok api atau tembok api.

Firewall ialah sistem keselamatan yang bertanggungjawab mengawal trafik rangkaian yang memasuki dan meninggalkan sistem pengendalian. Salah satu yang paling meluas dalam Linux ialah IPtables yang disebutkan di atas, sehingga, mungkin dan tanpa anda sedari, ia telah dipasang dalam sistem pengendalian anda sejak anda mengeluarkannya. Apa yang kita akan cuba lakukan dalam artikel ini adalah untuk menerangkan bagaimana untuk mengkonfigurasi firewall dalam linux dengan IPtables.

IPtables di Linux, perkara yang anda perlu tahu

Mengkonfigurasi tembok api boleh jadi rumit, dan banyak lagi dalam sistem pengendalian seperti Linux di mana yang terbaik dicapai dengan sentuhan terminal. Sebelum memulakan, adalah dinasihatkan untuk mengetahui sedikit tentang isu rangkaian dan keselamatan, atau sekurang-kurangnya memahami bahawa, apabila kita disambungkan, kita sedang berkomunikasi dengan peralatan lain, dan peranti ini atau pemiliknya mungkin mempunyai niat baik atau buruk. Atas sebab ini, bergantung pada penggunaan PC kita, adalah wajar untuk mengawal semua yang keluar dan semua yang memasukinya.

Selain itu, dan untuk apa yang mungkin berlaku, jika kami mempunyai tembok api lain pada sistem Linux kami dan kami akan mula mengubah suai dalam IPtables, adalah wajar membuat salinan sandaran konfigurasi tembok api semasa kami. Dengan semua ini jelas, kami mula bercakap sepenuhnya tentang konfigurasi IPtables.

  1. Perkara pertama yang perlu kita lakukan ialah memasang pakej. Kebanyakan pengedaran Linux memasangnya secara lalai, tetapi ini adalah sesuatu yang tidak selalu berlaku. Untuk mengetahui sama ada kami mempunyai IPtables yang dipasang dalam sistem pengendalian kami, kami membuka terminal dan menulis iptables -v. Dalam kes saya dan semasa menulis artikel ini, terminal saya mengembalikan saya iptable v1.8.8. Sekiranya ia tidak dipasang, ia boleh dipasang dengan:

Ubuntu/Debian atau derivatif:

sudo apt pasang iptables

Fedora/Redhat atau derivatif:

sudo yum pasang iptables

Arch Linux dan derivatif

sudo pacman -Siptables

Selepas pemasangan, ia akan didayakan dengan:

sudo systemctl membolehkan iptables sudo systemctl memulakan iptables

Dan anda boleh melihat statusnya dengan:

iptables status sudo systemctl
  1. Dengan tembok api sudah dipasang, anda perlu mengkonfigurasi peraturannya. Peraturan IPtables dibahagikan kepada jadual (yang akan kita bincangkan dengan lebih terperinci kemudian dalam artikel ini): penapis, nat dan mangle, yang mana kita mesti menambah mentah dan keselamatan. Jadual penapis digunakan untuk mengawal trafik masuk dan keluar, jadual nat digunakan untuk melakukan NAT (Network Address Translation) dan jadual mangle digunakan untuk mengubah suai paket IP. Untuk mengkonfigurasi peraturan jadual penapis, arahan berikut digunakan:
  • iptables -A INPUT -j TERIMA (benarkan semua trafik masuk).
  • iptables -A OUTPUT -j TERIMA (membenarkan semua trafik keluar).
  • iptables -A FORWARD -j TERIMA (benarkan semua lalu lintas penghalaan). Walau bagaimanapun, konfigurasi ini membenarkan semua trafik, dan tidak disyorkan untuk sistem pengeluaran. Adalah penting untuk menentukan peraturan tembok api berdasarkan keperluan khusus sistem. Sebagai contoh, jika anda ingin menyekat trafik masuk pada port 22 (SSH), anda boleh menggunakan arahan:
iptables -A INPUT -p tcp --port 22 -j DROP
  1. Satu lagi perkara penting ialah menyimpan tetapan, supaya tidak kehilangannya semasa but semula sistem. Pada Ubuntu dan Debian arahan "iptables-save" digunakan untuk menyimpan konfigurasi semasa ke fail. Pada Red Hat dan Fedora, arahan "servis iptables save" digunakan untuk menyimpan konfigurasi. Jika anda ragu-ragu yang mana satu untuk digunakan, arahan Ubuntu/Debian cenderung untuk berfungsi pada lebih banyak pengedaran.

Muatkan konfigurasi selepas but semula

kepada muatkan tetapan yang disimpan, arahan yang sama digunakan untuk menyimpannya digunakan, tetapi dengan tindakan "pulihkan" dan bukannya "simpan". Pada Ubuntu dan Debian, arahan "iptables-restore" digunakan untuk memuatkan konfigurasi yang disimpan daripada fail. Pada Red Hat dan Fedora, arahan "pemulihan iptables perkhidmatan" digunakan untuk memuatkan konfigurasi yang disimpan. Sekali lagi, jika anda ragu-ragu tentang arahan yang hendak digunakan, arahan Ubuntu/Debian biasanya berfungsi dengan baik.

Adalah penting untuk ambil perhatian bahawa jika perubahan dibuat pada tetapan tembok api, ia perlu disimpan dan dimuat semula untuk perubahan itu berkuat kuasa. Ia adalah satu cara untuk menimpa fail konfigurasi dengan data baharu, dan jika ia tidak dilakukan dengan cara ini, perubahan tidak akan disimpan.

Jadual dalam IPtables

Terdapat jenis 5 jadual dalam IPtables dan setiap satu mempunyai peraturan yang berbeza digunakan:

  • menapis : Ini ialah jadual utama dan lalai apabila menggunakan IPtables. Ini bermakna jika tiada jadual khusus disebut semasa menggunakan peraturan, peraturan akan digunakan pada jadual penapis. Seperti namanya, peranan jadual penapis adalah untuk memutuskan sama ada untuk membenarkan paket sampai ke destinasi mereka atau menolak permintaan mereka.
  • nat (Terjemahan Alamat Rangkaian): Seperti namanya, jadual ini membolehkan pengguna menentukan terjemahan alamat rangkaian. Peranan jadual ini adalah untuk menentukan sama ada dan cara mengubah suai sumber dan alamat paket destinasi.
  • mangle: Jadual ini membolehkan kami mengubah suai pengepala IP bagi paket. Sebagai contoh, TTL boleh dilaraskan untuk memanjangkan atau memendekkan hop rangkaian yang boleh disokong oleh paket. Dengan cara yang sama, pengepala IP lain juga boleh diubah suai mengikut keutamaan anda.
  • mentah: Kegunaan utama jadual ini adalah untuk mengesan sambungan kerana ia menyediakan mekanisme untuk menandakan paket untuk melihat paket sebagai sebahagian daripada sesi yang sedang berjalan.
  • keselamatan: Menggunakan jadual keselamatan, pengguna boleh menggunakan bendera konteks keselamatan SELinux dalaman pada paket rangkaian.

Dua jadual terakhir jarang digunakan, sehingga kebanyakan dokumentasi hanya bercakap tentang penapis, nat dan mangle.

Dalam fail bantuan kita boleh mencari contoh tentang cara menguruskan IPtables. Untuk melihatnya, kami akan membuka terminal dan menaip iptables -h.

Walaupun iptables adalah salah satu pilihan terbaik di luar sana untuk Linux, jika anda lebih suka sesuatu yang lebih mudah dengan antara muka grafik, anda boleh lihat Firewalld.


Menjadi yang pertama untuk komen

Tinggalkan komen anda

Alamat email anda tidak akan disiarkan. Ruangan yang diperlukan ditanda dengan *

*

*

  1. Bertanggungjawab untuk data: AB Internet Networks 2008 SL
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.