za Če v Linuxu konfigurirate požarni zid ali požarni zid, lahko uporabimo iptables, močno orodje, ki se zdi, da ga mnogi uporabniki pozabljajo. Čeprav obstajajo tudi druge metode, na primer ebtables in arptables za filtriranje prometa na ravni povezave ali Squid na ravni aplikacije, so iptables v večini primerov lahko zelo koristni, saj v našem sistemu zagotavljajo dobro varnost na prometni in transportni ravni mreže.
Jedro Linuxa izvaja iptables, del tega skrbi za filtriranje paketov in da vas v tem članku naučimo konfigurirati na preprost način. Preprosto povedano, iptables identificira, katere informacije lahko in ne smejo vstopiti, in tako izolira vašo ekipo pred morebitnimi grožnjami. In čeprav obstajajo tudi drugi projekti, kot so Firehol, Firestarter itd., Mnogi od teh programov požarnega zidu uporabljajo iptables ...
Pa tudi, Začnimo z delom, s primeri boste vse bolje razumeli (v teh primerih morate imeti privilegije, zato uporabite sudo pred ukazom ali postanite root):
Splošni način uporabe iptables Če želite ustvariti politiko filtriranja, je:
IPTABLE -ARGUMENTI V / I AKCIJA
Kjer je -ARGUMENT argument, ki ga bomo uporabili, običajno -P, da vzpostavi privzeti pravilnik, čeprav obstajajo tudi drugi, na primer -L za ogled pravilnikov, ki smo jih konfigurirali, -F za brisanje ustvarjenega pravilnika, -Z za ponastavitev števcev bajtov in paketov itd. Druga možnost je -A za dodajanje pravilnika (ne privzeto), -I za vstavljanje pravila na določenem položaju in -D za brisanje določenega pravila. Na voljo bodo tudi drugi argumenti, ki bodo usmerjali na protokole -p, –sport izvorna vrata, –port za ciljna vrata, -i dohodni vmesnik, -o odhodni vmesnik, -s izvorni IP naslov in -d ciljni IP naslov.
Poleg tega bi V / I predstavljal, če politiko uporablja se za vhod INPUT, za izhod OUTPUT ali gre za preusmeritev prometa NAPREJ (obstajajo tudi drugi, kot so PREDIZVAJANJE, POSTROUTIRANJE, vendar jih ne bomo uporabili). Končno lahko to, kar sem poimenoval ACTION, sprejme vrednost ACCEPT, če sprejmemo, REJECT, če zavrnemo, ali DROP, če odpravimo. Razlika med DROP in REJECT je, da ko zavrne paket z REJECT, bo stroj, ki ga je ustvaril, vedel, da je bil zavrnjen, vendar z DROP deluje tiho in napadalec ali izvor ne bo vedel, kaj se je zgodilo, in ne bo vedeti, ali imamo požarni zid ali je povezava pravkar odpovedala. Obstajajo tudi drugi, kot je LOG, ki pošiljajo nadaljevanje syslog-a ...
Spreminjanje pravil, lahko datoteko iptables uredimo z našim najljubšim urejevalnikom besedil, nano, gedit, ... ali ustvarimo skripte s pravili (če jih želite preglasiti, lahko to storite tako, da pred vrstico postavite #, tako da je prezrto kot komentar) skozi konzolo z ukazi, kot bomo razložili tukaj. V Debianu in derivativih lahko uporabite tudi orodji iptables-save in iptables-restore ...
Najbolj skrajna politika je blokirati vse, absolutno ves promet, vendar bomo zaradi tega ostali izolirani z:
iptables -P INPUT DROP
Da vse to sprejmem:
iptables -P INPUT ACCEPT
Če si tega želimo ves odhodni promet naše ekipe je sprejet:
iptables -P OUTPUT ACEPT
La še en radikalen ukrep bi bil izbrisati vse politike iz iptables z:
iptables -F
Pojdimo k bolj konkretnim pravilomPredstavljajte si, da imate spletni strežnik, zato mora biti promet prek vrat 80 dovoljen:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
In če poleg prejšnjega pravila želimo še ekipo z iptables lahko vidijo samo računalniki v naši podomrežji in to ostane zunanje omrežje neopaženo:
iptables -A INPUT -p tcp -s 192.168.30.0/24 --dport 80 -j ACCEPT
V prejšnji vrstici iptables govorimo tako, da dodamo pravilo -A, tako da se sprejmejo vhodi INPUT in protokol TCP prek vrat 80. Zdaj pa si predstavljajte, da želite brskanje po spletu je zavrnjeno za lokalne stroje, ki gredo skozi stroj, ki poganja iptables:
iptables -t filter -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 DROP
Mislim, da je uporaba preprosta, ob upoštevanju, za kaj je namenjen vsak parameter iptables, lahko dodamo preprosta pravila. Izvedete lahko vse kombinacije in pravila, ki si jih predstavljamo ... Da se ne bi več podaljšal, dodajte samo še eno stvar, in sicer, da bodo ob ponovnem zagonu ustvarjeni pravilniki izbrisani. Tabele se ponastavijo in ostanejo kot prej, potem ko boste natančno določili pravila če jih želite narediti za trajne, morate jih zagnati iz /etc/rc.local ali če imate Debian ali izpeljane finančne instrumente, uporabite orodja, ki smo jih prejeli (iptables-save, iptables-restore in iptables-apply).
To je prvi članek, ki ga vidim na IPTABLES, ki, čeprav je gost - zahteva srednjo stopnjo znanja -, GRE DO ŽITA NEPOSREDNO.
Vsem priporočam, da ga uporabljajo kot "hitri priročnik", saj je zelo dobro strnjen in razložen. 8-)
Želel bi, da se v prihodnjem članku pogovorite o tem, ali sprememba sistema v večini distribucij linuxa na nek način vpliva na varnost linuxa na splošno in ali je ta sprememba v dobrem ali slabem prihodnosti in distribucijah linuxa. Prav tako bi rad vedel, kaj je znano o prihodnosti devuana (debian brez systemd).
Najlepša hvala, da naredite zelo dobre članke.
Bi lahko naredili članek, ki bi razložil tabelo mangle?
Želite blokirati samo Facebook?