na nakonfigurovať bránu firewall alebo bránu firewall v systéme Linux, môžeme použiť tabuľky iptables, mocný nástroj, ktorý, zdá sa, zabudol mnoho používateľov. Aj keď existujú ďalšie metódy, ako napríklad tabuľky ebtable a arptables na filtrovanie prenosu na úrovni odkazu alebo Squid na úrovni aplikácie, iptables môžu byť vo väčšine prípadov veľmi užitočné, pretože v našom systéme implementujú dobrú bezpečnosť na úrovni prenosu a prepravy.
Linuxové jadro implementuje iptables, časť, ktorá stará sa o filtrovanie paketov a že v tomto článku vás naučíme konfigurovať jednoduchým spôsobom. Zjednodušene povedané, iptables identifikuje, do ktorých informácií môžu a nemôžu vstúpiť, a tým izoluje váš tím od potenciálnych hrozieb. A hoci existujú aj ďalšie projekty ako Firehol, Firestarter atď., Veľa z týchto programov brány firewall používa iptables ...
Tiež, Pusťme sa do práce a na príkladoch budete všetkému lepšie rozumieť (v týchto prípadoch je potrebné mať privilégiá, takže pred príkazom použite sudo alebo sa stanete rootom):
Všeobecný spôsob použitia tabuliek iptables vytvorenie politiky filtra je:
IPTABLES -ARGUMENTY I / O AKCIA
Kde je -ARGUMENT argument, ktorý použijeme, normálne -P na stanovenie predvolenej politiky, aj keď existujú aj iné, ako napríklad -L, aby ste videli politiky, ktoré sme nakonfigurovali, -F na odstránenie vytvorenej politiky, -Z na vynulovanie počítadiel bajtov a paketov atď. Ďalšou možnosťou je -A pridať zásadu (nie predvolene), -I vložiť pravidlo na konkrétnu pozíciu, a -D príslušné pravidlo odstrániť. Budú existovať aj ďalšie argumenty smerujúce na -p protokoly, –športový zdrojový port, –dport pre cieľový port, -i prichádzajúce rozhranie, -o odchádzajúce rozhranie, -s zdrojová adresa IP a -d cieľová adresa IP.
Ďalej by I / O predstavovalo, keby politika Aplikuje sa na vstup INPUT, na výstup OUTPUT alebo ide o presmerovanie dopravy VPRED (existujú aj iné ako PREROUTING, POSTROUTING, ale nebudeme ich používať). Nakoniec, to, čo som nazval AKCIA, môže mať hodnotu AKCEPTOVAŤ, ak prijmeme, ODMIETNÚŤ, ak odmietneme, alebo DROP, ak vylúčime. Rozdiel medzi DROP a REJECT je v tom, že keď je paket odmietnutý pomocou REJECT, stroj, ktorý ho vytvoril, bude vedieť, že bol odmietnutý, ale s DROP koná ticho a útočník alebo pôvod nebude vedieť, čo sa stalo, a nebude vedieť, či máme bránu firewall alebo sa pripojenie práve nepodarilo. Existujú aj ďalšie, ako napríklad LOG, ktoré posielajú správu o syslogu ...
Upraviť pravidlá, môžeme upraviť súbor iptables pomocou nášho preferovaného textového editora, nano, gedit, ... alebo vytvoriť skripty s pravidlami (ak ich chcete prepísať, môžete to urobiť tak, že pred riadok uvediete #, aby ignorované ako komentár) prostredníctvom konzoly s príkazmi, ako si to vysvetlíme tu. V Debiane a derivátoch môžete tiež použiť nástroje iptables-save a iptables-restore ...
Najextrémnejšou politikou je všetko zablokovať, absolútne všetka premávka, ale to nás ponechá izolovaných, s:
iptables -P INPUT DROP
Všetko prijať:
iptables -P INPUT ACCEPT
Ak to chceme všetka odchádzajúca prevádzka z nášho tímu je akceptovaná:
iptables -P OUTPUT ACEPT
La ďalšou radikálnou činnosťou by bolo vymazanie všetkých politík z iptables s:
iptables -F
Poďme na konkrétnejšie pravidláPredstavte si, že máte webový server, a preto musí byť povolený prenos cez port 80:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
A ak okrem predchádzajúceho pravidla chceme tím s iptables byť viditeľné iba počítačmi v našej podsieti a to si externá sieť všimne:
iptables -A INPUT -p tcp -s 192.168.30.0/24 --dport 80 -j ACCEPT
V predchádzajúcom riadku, čo hovoríme na iptables, je pridať pravidlo -A, aby boli akceptované vstupy INPUT a protokol TCP cez port 80. Teraz si predstavte, že to chcete prehliadanie webu je odmietnuté pre miestne stroje prechádzajúce cez stroj bežiaci s iptables:
iptables -t filter -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 DROP
Myslím si, že použitie je jednoduché, keď vezmeme do úvahy, na čo slúži každý parameter iptables, môžeme pridať jednoduché pravidlá. Môžete urobiť všetky kombinácie a pravidlá, ktoré si predstavíme ... Aby som sa nerozšíril viac, stačí pridať ešte jednu vec, a to, že ak sa počítač reštartuje, vytvorené politiky sa odstránia. Tabuľky sa reštartujú a zostanú rovnaké ako predtým. Preto po správnom definovaní pravidiel ak ich chcete zmeniť na trvalé, musíte ich spustiť z /etc/rc.local, alebo ak máte Debian alebo deriváty, použite nástroje, ktoré sme dostali (iptables-save, iptables-restore a iptables-apply).
Toto je prvý článok, ktorý vidím na IPTABLES, ktorý, hoci je hustý - vyžaduje strednú úroveň vedomostí -, JE PRIAMO K ZRNU.
Odporúčam všetkým, aby ho používali ako „príručku s rýchlym odkazom“, pretože sú veľmi dobre zhustené a vysvetlené. 8-)
Bol by som rád, keby ste v budúcom článku hovorili o tom, či zmena systému systemd vo väčšine linuxových distribúcií nejakým spôsobom ovplyvňuje bezpečnosť linuxu všeobecne a či je táto zmena lepšia alebo horšia pre budúcnosť a linuxové distribúcie. Tiež by ma zaujímalo, čo je známe o budúcnosti devuanu (debian bez systému).
Ďakujem pekne, že robíte veľmi dobré články.
Mohli by ste vytvoriť článok s vysvetlením tabuľky mandlí?
Blokovať iba Facebook?