Ako nakonfigurovať firewall v Linuxe pomocou IPtables

Pablinux

6 minút

iptable linux

Aj keď sa niekedy sám dotknem Windowsu a v mnohých iných ma nútia (marditoh rodoreh), keď musím robiť veci mimo svojich počítačov, pre mňa je rozprávanie o Windowse ako niečo, čo zostalo ďaleko v čase. Keď som ho používal ako svoj hlavný systém (nemal som žiadny iný), snažil som sa ho chrániť softvérom, ako je antivírus od Kaspersky a príležitostný firewall, medzi mnohými ďalšími bezpečnostnými nástrojmi. V Linuxe sme nikdy neboli tak exponovaní ako vo Windowse, no existuje aj softvér, ktorý nám pomáha byť pokojnejší, ako napr IPtables, firewall alebo firewall.

Firewall je bezpečnostný systém, ktorý je zodpovedný za kontrolu sieťovej prevádzky, ktorá vstupuje do operačného systému a opúšťa ho. Jeden z najrozšírenejších v Linuxe je už spomínaný IPtables do tej miery, že pravdepodobne a bez toho, aby ste o tom vedeli, je už nainštalovaný vo vašom operačnom systéme, odkedy ste ho vydali. To, čo sa pokúsime urobiť v tomto článku, je vysvetliť ako nakonfigurovať firewall v linuxe s IPtables.

IPtables na Linuxe, čo potrebujete vedieť

Konfigurácia brány firewall môže byť komplikovanéa viac v operačnom systéme ako Linux, v ktorom sa to najlepšie dosiahne dotykom terminálu. Pred začatím je vhodné vedieť niečo o sieťových a bezpečnostných otázkach alebo aspoň pochopiť, že keď sme pripojení, komunikujeme s inými zariadeniami a tieto zariadenia alebo ich majitelia môžu mať dobré alebo zlé úmysly. Z tohto dôvodu sa v závislosti od používania nášho počítača oplatí kontrolovať všetko, čo vychádza a všetko, čo doň vstupuje.

Okrem toho, a čo sa môže stať, ak máme na našom systéme Linux ďalší firewall a chystáme sa začať vylaďovať veci v IPtables, stojí za to vytvoriť záložnú kópiu našej súčasnej konfigurácie firewallu. Keď je toto všetko jasné, začneme plne hovoriť o konfigurácii IPtables.

  1. Prvá vec, ktorú musíme urobiť, je nainštalovať balík. Väčšina linuxových distribúcií ho má štandardne nainštalovaný, ale nie vždy to tak je. Aby sme zistili, či máme v operačnom systéme nainštalované IPtables, otvoríme terminál a zapíšeme iptables -v. V mojom prípade a v čase písania tohto článku mi môj terminál vracia iptable v1.8.8. V prípade, že nie je nainštalovaný, možno ho nainštalovať pomocou:

Ubuntu/Debian alebo deriváty:

sudo apt install iptables

Fedora/Redhat alebo deriváty:

sudo yum nainštalujte iptables

Arch Linux a deriváty

sudo pacman -Siptables

Po inštalácii sa aktivuje pomocou:

sudo systemctl povoliť iptables sudo systemctl spustiť iptables

A môžete vidieť jeho stav pomocou:

sudo systemctl status iptables
  1. Ak je firewall už nainštalovaný, musíte nakonfigurovať jeho pravidlá. Pravidlá IPtables sa delia na tabuľky (o ktorých si povieme podrobnejšie neskôr v tomto článku): filter, nat a mangle, ku ktorým musíme pridať raw a security. Tabuľka filtrov sa používa na kontrolu prichádzajúcej a odchádzajúcej prevádzky, tabuľka nat sa používa na NAT (Network Address Translation) a tabuľka mangle sa používa na úpravu paketu IP. Na konfiguráciu pravidiel tabuľky filtrov sa používajú nasledujúce príkazy:
  • iptables -A INPUT -j ACCEPT (povoliť všetku prichádzajúcu komunikáciu).
  • iptables -A OUTPUT -j ACCEPT (povoliť všetku odchádzajúce prenosy).
  • iptables -A FORWARD -j ACCEPT (povoliť všetku smerovaciu prevádzku). Táto konfigurácia však umožňuje všetku premávku a neodporúča sa pre produkčný systém. Je dôležité špecifikovať pravidlá brány firewall na základe špecifických potrieb systému. Napríklad, ak chcete blokovať prichádzajúcu komunikáciu na porte 22 (SSH), môžete použiť príkaz:
iptables -A INPUT -p tcp --dport 22 -j DROP
  1. Ďalšou dôležitou vecou je uložiť nastavenia, aby ste ich nestratili pri reštarte systému. Na Ubuntu a Debiane sa príkaz „iptables-save“ používa na uloženie aktuálnych konfigurácií do súboru. Na Red Hat a Fedore sa na uloženie konfigurácií používa príkaz „service iptables save“. Ak máte pochybnosti, ktorý z nich použiť, príkazy Ubuntu/Debian zvyčajne fungujú na viacerých distribúciách.

Načítajte konfigurácie po reštarte

na načítať uložené nastavenia, použijú sa rovnaké príkazy ako na ich uloženie, ale s akciou „obnoviť“ namiesto „uložiť“. Na Ubuntu a Debiane sa príkaz „iptables-restore“ používa na načítanie uložených konfigurácií zo súboru. Na Red Hat a Fedore sa na načítanie uložených konfigurácií používa príkaz „service iptables restore“. Ešte raz, ak máte pochybnosti o tom, ktorý príkaz použiť, príkazy Ubuntu/Debian zvyčajne fungujú najlepšie.

Je dôležité poznamenať, že ak sa vykonajú zmeny v nastaveniach brány firewall, je potrebné ich uložiť a znova načítať, aby sa zmeny prejavili. Je to spôsob, ako prepísať konfiguračný súbor novými údajmi, a ak sa tak nestane, zmeny sa neuložia.

Tabuľky v IPtables

Existujú 5 typy kresliť v IPTtables a pre každý z nich platia iné pravidlá:

  • filtrovať : Toto je hlavná a predvolená tabuľka pri používaní IPTables. To znamená, že ak pri aplikácii pravidiel nie je uvedená žiadna konkrétna tabuľka, pravidlá sa aplikujú na tabuľku filtrovania. Ako už názov napovedá, úlohou tabuľky filtrov je rozhodnúť, či povolí paketom dosiahnuť svoj cieľ alebo zamietne ich požiadavku.
  • nat (Preklad sieťových adries): Ako už názov napovedá, táto tabuľka umožňuje používateľom určiť preklad sieťových adries. Úlohou tejto tabuľky je určiť, či a ako upraviť zdrojovú a cieľovú adresu paketu.
  • mangeľ: Táto tabuľka nám umožňuje upraviť hlavičky IP paketov. Napríklad TTL možno upraviť tak, aby sa predĺžili alebo skrátili skoky v sieti, ktoré môže paket podporovať. Podobným spôsobom je možné upraviť aj iné hlavičky IP podľa vašich preferencií.
  • surový: Hlavné použitie tejto tabuľky je na sledovanie pripojení, pretože poskytuje mechanizmus na označovanie paketov na zobrazenie paketov ako súčasť prebiehajúcej relácie.
  • zabezpečenia: Pomocou tabuľky zabezpečenia môžu používatelia použiť na sieťové pakety interné príznaky bezpečnostného kontextu SELinux.

Posledné dve tabuľky sa takmer nepoužívajú do tej miery, že väčšina dokumentácie hovorí len o filtri, nat a mangle.

V súbore pomocníka môžeme nájsť príklady, ako spravovať IPtables. Aby sme to videli, otvoríme terminál a napíšeme iptables -h.

Hoci je iptables jednou z najlepších možností pre Linux, ak dávate prednosť niečomu jednoduchšiemu s grafickým rozhraním, môžete sa pozrieť na Firewalld.


Zanechajte svoj komentár

Vaša e-mailová adresa nebude zverejnená. Povinné položky sú označené *

*

*

  1. Za údaje zodpovedá: AB Internet Networks 2008 SL
  2. Účel údajov: Kontrolný SPAM, správa komentárov.
  3. Legitimácia: Váš súhlas
  4. Oznamovanie údajov: Údaje nebudú poskytnuté tretím stranám, iba ak to vyplýva zo zákona.
  5. Ukladanie dát: Databáza hostená spoločnosťou Occentus Networks (EU)
  6. Práva: Svoje údaje môžete kedykoľvek obmedziť, obnoviť a vymazať.