kepada konfigurasi firewall atau firewall di Linux, kita boleh menggunakan iptables, alat berkuasa yang nampaknya dilupakan oleh banyak pengguna. Walaupun ada kaedah lain, seperti ebtables dan arptables untuk menyaring trafik di tingkat pautan, atau Squid di tingkat aplikasi, iptables dapat sangat berguna dalam kebanyakan kes, menerapkan keamanan yang baik dalam sistem kami di tingkat lalu lintas dan transportasi bersih.
Kernel Linux mengimplementasikan iptables, bahagian yang menjaga penapisan paket dan bahawa dalam artikel ini kami mengajar anda untuk mengkonfigurasi dengan cara yang mudah. Secara ringkas, iptables mengenal pasti maklumat apa yang boleh dan tidak boleh dimasukkan, mengasingkan pasukan anda dari kemungkinan ancaman. Dan walaupun ada projek lain seperti Firehol, Firestarter, dll., Banyak program firewall ini menggunakan iptables ...
Nah, Mari kita mula bekerja, dengan contoh anda akan memahami semuanya dengan lebih baik (untuk kes-kes ini, perlu memiliki hak istimewa, jadi gunakan sudo di depan perintah atau menjadi root):
Cara umum untuk menggunakan iptables untuk membuat dasar penapis adalah:
IPTABLES-ARGUMEN TINDAKAN I / O
Di mana -ARGUMEN hujah yang akan kita gunakan, biasanya -P untuk menetapkan kebijakan lalai, walaupun ada yang lain seperti -L untuk melihat kebijakan yang telah kami konfigurasikan, -F untuk menghapus kebijakan yang dibuat, -Z untuk menetapkan semula kaunter bait dan paket, dll. Pilihan lain adalah -A untuk menambahkan kebijakan (bukan secara lalai), -Saya memasukkan peraturan pada posisi tertentu, dan -D untuk menghapus peraturan yang diberikan. Terdapat juga argumen lain untuk menunjukkan protokol -p, -sport port port, -dport untuk port tujuan, -i interface masuk, -o outgoing interface, -s source IP address dan -d destination IP address.
Selanjutnya I / O akan mewakili sekiranya politik Ini diterapkan pada input INPUT, untuk output OUTPUT atau itu adalah pengalihan lalu lintas FORWARD (ada yang lain seperti PREROUTING, POSTROUTING, tetapi kami tidak akan menggunakannya). Akhirnya, apa yang saya sebut TINDAKAN dapat mengambil nilai MENERIMA jika kita terima, TOLAK jika kita menolak atau HAPUS jika kita menghapuskan. Perbezaan antara DROP dan REJECT adalah bahawa apabila paket ditolak dengan REJECT, mesin yang mengeluarkannya akan mengetahui bahawa ia telah ditolak, tetapi dengan DROP ia bertindak secara senyap dan penyerang atau asal tidak akan mengetahui apa yang telah terjadi, dan tidak akan ketahui sama ada kami mempunyai firewall atau sambungannya gagal. Terdapat juga yang lain seperti LOG, yang menghantar susulan dari syslog ...
Untuk mengubah peraturan, kita dapat mengedit fail iptables dengan editor teks pilihan kita, nano, gedit, ... atau membuat skrip dengan peraturan (jika anda ingin mengatasinya, anda boleh melakukannya dengan meletakkan # di depan baris sehingga diabaikan sebagai komen) melalui konsol dengan arahan kerana kami akan menerangkannya di sini. Dalam Debian dan derivatif anda juga boleh menggunakan alat simpan iptables dan iptables-restore ...
Dasar yang paling melampau adalah menyekat segalanya, benar-benar semua lalu lintas, tetapi ini akan menjadikan kita terpencil, dengan:
iptables -P INPUT DROP
Untuk menerima semuanya:
iptables -P INPUT ACCEPT
Sekiranya kita mahukan itu semua trafik keluar dari pasukan kami diterima:
iptables -P OUTPUT ACEPT
La tindakan radikal lain adalah untuk menghapus semua dasar dari iptables dengan:
iptables -F
Mari kita pergi ke peraturan yang lebih konkritBayangkan anda mempunyai pelayan web dan oleh itu lalu lintas melalui port 80 mesti dibenarkan:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
Dan jika sebagai tambahan kepada peraturan sebelumnya, kami mahukan pasukan dengan iptables hanya dapat dilihat oleh komputer di subnet kami dan itu tidak disedari oleh rangkaian luaran:
iptables -A INPUT -p tcp -s 192.168.30.0/24 --dport 80 -j ACCEPT
Pada baris sebelumnya, apa yang kita katakan kepada iptables adalah menambahkan peraturan -A, supaya input INPUT, dan protokol TCP, melalui port 80, diterima. Sekarang bayangkan anda mahu saya melayari laman web ditolak untuk mesin tempatan yang melalui mesin yang menjalankan iptables:
iptables -t filter -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 DROP
Saya rasa penggunaannya mudah, dengan mengambil kira setiap parameter iptables, kita dapat menambahkan peraturan mudah. Anda boleh melakukan semua kombinasi dan peraturan yang kita bayangkan ... Agar saya tidak memperbesar diri, tambahkan satu perkara lagi, dan itu adalah jika mesin dihidupkan semula, dasar yang dibuat akan dihapuskan. Jadual dimulakan semula dan akan tetap seperti sebelumnya, oleh itu, setelah anda menentukan peraturan, jika anda mahu menjadikannya kekal, anda mesti membuatnya dilancarkan dari /etc/rc.local atau jika anda mempunyai Debian atau derivatif menggunakan alat yang kami diberikan (iptables-save, iptables-restore dan iptables-apply).
Ini adalah artikel pertama yang saya lihat di IPTABLES bahawa, walaupun padat -memerlukan pengetahuan tahap sederhana-, PERGI KE GRAIN LANGSUNG.
Saya mengesyorkan kepada semua orang untuk menggunakannya sebagai "manual rujukan cepat" kerana sangat ringkas dan dijelaskan. 8-)
Saya ingin anda membicarakan di artikel yang akan datang mengenai sama ada perubahan sistemd pada sebilangan besar pengedaran linux, akan mempengaruhi keselamatan linux secara umum, dan jika perubahan ini adalah untuk pengedaran linux masa depan dan linux yang lebih baik atau buruk. Saya juga ingin mengetahui apa yang diketahui mengenai masa depan devuan (debian tanpa systemd).
Terima kasih banyak anda membuat artikel yang sangat baik.
Bolehkah anda membuat artikel yang menerangkan jadual mangle?
Sekat Facebook sahaja?