Хотя иногда я до сих пор прикасаюсь к Windows сам, а во многих других они заставляют меня (marditoh rodoreh), когда мне приходится делать что-то вдали от компьютеров, для меня разговоры о Windows подобны чему-то, что осталось далеко позади во времени. Когда я использовал его в качестве основной системы (другой у меня не было), я пытался защитить его с помощью программного обеспечения, такого как антивирус Касперского и случайный брандмауэр, среди многих других инструментов безопасности. В Linux мы никогда не были так уязвимы, как в Windows, но есть также программное обеспечение, которое помогает нам быть спокойнее, например IPtables, брандмауэр или брандмауэр.
Брандмауэр — это система безопасности, отвечающая за контроль сетевого трафика, входящего и исходящего из операционной системы. Одной из самых распространенных в Linux является вышеупомянутая IPtables, до такой степени, что, вероятно, и без вашего ведома, она уже установлена в вашей операционной системе с тех пор, как вы ее выпустили. В этой статье мы попытаемся объяснить как настроить брандмауэр в линукс с IP-таблицами.
IPtables в Linux, что вам нужно знать
Настройка брандмауэра может быть сложным, и многое другое в такой операционной системе, как Linux, в которой лучшее достигается одним прикосновением к терминалу. Перед началом желательно немного узнать о сети и вопросах безопасности или хотя бы понять, что, когда мы подключены, мы общаемся с другим оборудованием, и у этих устройств или их владельцев могут быть хорошие или плохие намерения. По этой причине, в зависимости от того, как мы используем наш компьютер, стоит контролировать все, что выходит, и все, что на него входит.
Кроме того, и на случай, если у нас есть другой брандмауэр в нашей системе Linux, и мы собираемся начать настройку в IPtables, стоит сделать резервную копию нашей текущей конфигурации брандмауэра. Со всем этим ясно, мы начинаем полностью говорить о настройке IPtables.
- Первое, что нам нужно сделать, это установить пакет. В большинстве дистрибутивов Linux он установлен по умолчанию, но это не всегда так. Чтобы узнать, установлены ли в нашей операционной системе IPtables, мы открываем терминал и пишем
iptables -v. В моем случае и на момент написания этой статьи мой терминал возвращает мне iptable v1.8.8. Если он не установлен, его можно установить с помощью:
Ubuntu/Debian или производные:
sudo apt установить iptables
Fedora/Redhat или производные:
sudo yum установить iptables
Arch Linux и производные
sudo pacman -Siptables
После установки он будет включен с помощью:
sudo systemctl включить iptables sudo systemctl запустить iptables
И вы можете увидеть его статус с помощью:
sudo systemctl статус iptables
- Если брандмауэр уже установлен, вам необходимо настроить его правила. Правила IPtables разбиты на таблицы (о которых мы поговорим более подробно далее в этой статье): filter, nat и mangle, к которым мы должны добавить raw и security. Таблица фильтров используется для управления входящим и исходящим трафиком, таблица nat используется для выполнения NAT (трансляции сетевых адресов), а таблица mangle используется для модификации IP-пакетов. Для настройки правил таблицы фильтров используются следующие команды:
- iptables -A INPUT -j ACCEPT (разрешить весь входящий трафик).
- iptables -A OUTPUT -j ACCEPT (разрешить весь исходящий трафик).
- iptables -A FORWARD -j ACCEPT (разрешить весь маршрутизируемый трафик). Однако эта конфигурация разрешает весь трафик и не рекомендуется для производственной системы. Важно указать правила брандмауэра, исходя из конкретных потребностей системы. Например, если вы хотите заблокировать входящий трафик на порт 22 (SSH), вы можете использовать команду:
iptables -A ВХОД -p tcp --dport 22 -j DROP
- Еще важно сохранить настройки, чтобы не потерять их при перезагрузке системы. В Ubuntu и Debian команда «iptables-save» используется для сохранения текущих конфигураций в файл. В Red Hat и Fedora для сохранения конфигураций используется команда «service iptables save». Если вы сомневаетесь, какой из них использовать, команды Ubuntu/Debian, как правило, работают на большем количестве дистрибутивов.
Загрузить конфигурации после перезагрузки
к загрузить сохраненные настройки, используются те же команды, что и для их сохранения, но с действием «восстановить» вместо «сохранить». В Ubuntu и Debian команда «iptables-restore» используется для загрузки сохраненных конфигураций из файла. В Red Hat и Fedora команда «service iptables restore» используется для загрузки сохраненных конфигураций. Еще раз, если вы сомневаетесь, какую команду использовать, команды Ubuntu/Debian обычно работают лучше всего.
Важно отметить, что если в настройки брандмауэра внесены изменения, их необходимо сохранить и перезагрузить, чтобы изменения вступили в силу. Это способ перезаписать конфигурационный файл новыми данными, и если этого не сделать, то изменения не сохранятся.
Таблицы в IPtables
Существуют типы 5 рисовать в IPTables, и к каждому применяются разные правила:
- фильтр : это основная таблица и таблица по умолчанию при использовании IPTables. Это означает, что если при применении правил не указана конкретная таблица, правила будут применяться к таблице фильтра. Как следует из названия, роль таблицы фильтров заключается в том, чтобы решить, разрешить ли пакетам достичь пункта назначения или отклонить их запрос.
- натуральный (Преобразование сетевых адресов): как следует из названия, эта таблица позволяет пользователям определять преобразование сетевых адресов. Роль этой таблицы состоит в том, чтобы определить, следует ли и как изменять адрес источника и адресата пакета.
- калечить: Эта таблица позволяет нам изменять заголовки IP пакетов. Например, можно настроить TTL, чтобы увеличить или сократить количество сетевых переходов, которые может поддерживать пакет. Аналогичным образом другие заголовки IP также могут быть изменены в соответствии с вашими предпочтениями.
- сырье: Эта таблица в основном используется для отслеживания соединений, поскольку она обеспечивает механизм маркировки пакетов для просмотра пакетов как части текущего сеанса.
- безопасность: Используя таблицу безопасности, пользователи могут применять внутренние флаги контекста безопасности SELinux к сетевым пакетам.
Последние две таблицы почти не используются, до такой степени, что большая часть документации говорит только о filter, nat и mangle.
В файле справки мы можем найти примеры того, как управлять IPtables. Чтобы увидеть это, мы откроем терминал и наберем iptables -h.
Хотя iptables — один из лучших вариантов для Linux, если вы предпочитаете что-то более простое с графическим интерфейсом, вы можете взглянуть на Firewalld.