Til konfigurere en brannmur eller brannmur i Linux, kan vi bruke iptables, et kraftig verktøy som virker glemt av mange brukere. Selv om det finnes andre metoder, for eksempel tvivler og arptables for å filtrere trafikk på koblingsnivå, eller blekksprut på applikasjonsnivå, kan iptables være veldig nyttige i de fleste tilfeller, og implementere god sikkerhet i systemet vårt på nivå med trafikk og transport av nett .
Linux-kjernen implementerer iptables, en del som tar seg av filtrering av pakker og at vi i denne artikkelen lærer deg å konfigurere på en enkel måte. Enkelt sagt identifiserer iptables hvilken informasjon som kan komme inn og ikke, og isolerer teamet ditt fra potensielle trusler. Og selv om det er andre prosjekter som Firehol, Firestarter, etc., bruker mange av disse brannmurprogrammene iptables ...
vel, La oss komme i gang, med eksempler vil du forstå alt bedre (i disse tilfellene er det nødvendig å ha privilegier, så bruk sudo foran kommandoen eller bli rot):
Den generelle måten å bruke iptables på å opprette en filterpolicy er:
IPTABLES -ARGUMENTER I / U-HANDLING
Hvor -ARGUMENT er argumentet vi vil bruke, normalt -P for å etablere standardpolicyen, selv om det er andre som -L for å se policyene som vi har konfigurert, -F for å slette en opprettet policy, -Z for å tilbakestille byte- og pakketellerne, etc. Et annet alternativ er -A for å legge til en policy (ikke standard), -I for å sette inn en regel på en bestemt posisjon, og -D for å slette en gitt regel. Det vil også være andre argumenter for å peke på -p-protokoller, –sportkildeport, –dport for destinasjonsport, -i innkommende grensesnitt, -o utgående grensesnitt, -s kilde IP-adresse og -d destinasjon IP-adresse.
Videre vil I / O representere hvis politikk Den brukes på INPUT-inngangen, på OUTPUT-utgangen, eller det er en FORVIKRET trafikkomdirigering (det er andre som FORUTRETNING, FOLKING, men vi vil ikke bruke dem). Til slutt, det jeg har kalt ACTION kan ta verdien ACCEPT hvis vi aksepterer, REJECT hvis vi avviser eller DROP hvis vi eliminerer. Forskjellen mellom DROP og REJECT er at når en pakke avvises med REJECT, vil maskinen som stammer fra, vite at den er blitt avvist, men med DROP fungerer den stille og angriperen eller opprinnelsen vil ikke vite hva som har skjedd, og vil ikke vet om vi har en brannmur eller forbindelsen bare mislyktes. Det er også andre som LOG, som sender en oppfølging av syslog ...
For å endre regler, kan vi redigere iptables-filen med vår foretrukne tekstredigerer, nano, gedit, ... eller lage skript med regler (hvis du vil overstyre dem, kan du gjøre det ved å sette et # foran linjen slik at det er ignorert som en kommentar) gjennom konsollen med kommandoer som vi vil forklare det her. I Debian og derivater kan du også bruke verktøyene iptables-save og iptables-gjenoppretting ...
Den mest ekstreme politikken er å blokkere alt, absolutt all trafikk, men dette vil etterlate oss isolert, med:
iptables -P INPUT DROP
Å akseptere det hele:
iptables -P INPUT ACCEPT
Hvis vi vil ha det all utgående trafikk fra teamet vårt er akseptert:
iptables -P OUTPUT ACEPT
La en annen radikal handling ville være å slette all politikk fra iptables med:
iptables -F
La oss gå til mer konkrete reglerTenk deg at du har en webserver, og derfor må trafikken gjennom port 80 være tillatt:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
Og hvis vi i tillegg til den forrige regelen, vil vi ha et team med iptables bare sett av datamaskiner på delnettet vårt og det blir ubemerket av et eksternt nettverk:
iptables -A INPUT -p tcp -s 192.168.30.0/24 --dport 80 -j ACCEPT
I forrige linje er det vi sier til iptables å legge til en regel -A, slik at INPUT-inngangene og TCP-protokollen gjennom port 80 aksepteres. Tenk deg at du vil at jeg skal nettlesing avvises for lokale maskiner som går gjennom maskinen som kjører iptables:
iptables -t filter -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 DROP
Jeg tror bruken er enkel, med tanke på hva hver parameter for iptables er for, kan vi legge til enkle regler. Du kan gjøre alle kombinasjonene og reglene som vi forestiller oss ... For ikke å utvide meg selv, er det bare å legge til en ting til, og det er at hvis maskinen startes på nytt, vil de opprettede retningslinjene bli slettet. Tabellene startes på nytt og vil forbli som før, så når du har definert reglene godt, hvis du vil gjøre dem permanente, må du få dem til å starte fra /etc/rc.local, eller hvis du har en Debian eller derivater, bruker du verktøyene vi får (iptables-save, iptables-restore og iptables-apply).
Dette er den første artikkelen jeg ser på IPTABLES som, selv om det er tett - krever et middels kunnskapsnivå -, GÅR TIL KORNET DIREKT.
Jeg anbefaler alle å bruke den som en "hurtigreferansemanual", da den er veldig godt kondensert og forklart. 8-)
Jeg vil at du skal snakke i en fremtidig artikkel om endringen til systemd i de fleste linux-distribusjoner, påvirker på en eller annen måte sikkerheten til linux generelt, og om denne endringen er til det bedre eller verre av fremtiden og linux-distribusjoner. Jeg vil også vite hva som er kjent om fremtiden til devuan (debian uten systemd).
Tusen takk du lager veldig gode artikler.
Kan du lage en artikkel som forklarer mangeltabellen?
Kun blokkere Facebook?