në konfiguroni një firewall ose firewall në Linux, ne mund të përdorim iptables, një mjet i fuqishëm që duket i harruar nga shumë përdorues. Megjithëse ekzistojnë metoda të tjera, të tilla si tabelat e ebtable dhe arptables për të filtruar trafikun në nivelin e lidhjes, ose Squid në nivelin e aplikimit, iptabelët mund të jenë shumë të dobishëm në shumicën e rasteve, duke zbatuar një siguri të mirë në sistemin tonë në nivelin e trafikut dhe transportit të rrjetës.
Kerneli Linux zbaton iptables, një pjesë që kujdeset për filtrimin e paketave dhe se në këtë artikull ne ju mësojmë të konfiguroni në një mënyrë të thjeshtë. Ta themi thjesht, iptables identifikon atë që informacioni mund dhe nuk mund të futë, duke izoluar ekipin tuaj nga kërcënimet e mundshme. Dhe megjithëse ka projekte të tjera si Firehol, Firestarter, etj., Shumë prej këtyre programeve të firewall përdorin iptables ...
E pra, Le të fillojmë punën, me shembuj do të kuptoni gjithçka më mirë (për këto raste është e nevojshme të keni privilegje, prandaj përdorni sudo përpara komandës ose bëhuni root):
Mënyra e përgjithshme për të përdorur iptables për të krijuar një politikë filtri është:
AKTIVITETET AKTUALE -ARGARIMET VEPRIMI I / O
Ku është -ARGUMENTI argumentin që do të përdorim, normalisht -P për të vendosur politikën e paracaktuar, megjithëse ka edhe të tjera si -L për të parë politikat që kemi konfiguruar, -F për të fshirë një politikë të krijuar, -Z për të rivendosur bajtët dhe sportelet e paketave, etj. Një tjetër mundësi është -A për të shtuar një politikë (jo e paracaktuar), -I për të futur një rregull në një pozicion specifik, dhe -D për të fshirë një rregull të dhënë. Do të ketë gjithashtu argumente të tjerë për protokollet e pikës -p,-portin e burimit të sportit, -portin për portin e destinacionit, -i ndërfaqja hyrëse, -o ndërfaqja dalëse, -s burimi i adresës IP dhe -d adresa e destinacionit IP.
Për më tepër I / O do të përfaqësoja nëse politika vlen për hyrjen INPUT, për daljen OUTPUT ose është një ridrejtim i trafikut PWRPARA (ka edhe të tjera si PREROUTING, POSTROUTING, por ne nuk do t'i përdorim ato) Më në fund, ajo që unë e kam quajtur VEPRIM mund të marrë vlerën PRANOJ nëse pranojmë, REFUZO nëse refuzojmë ose RRETH nëse eliminojmë. Dallimi midis DROP dhe REJECT është se kur një paketë refuzohet me REJECT, makina që e ka origjinën do ta dijë se është refuzuar, por me DROP ajo vepron në heshtje dhe sulmuesi ose origjina nuk do të dijë se çfarë ka ndodhur, dhe nuk do të e di nëse kemi një firewall apo lidhja sapo ka dështuar. Ka edhe të tjerë si LOG, të cilët dërgojnë një ndjekje të syslog ...
Për të modifikuar rregullat, ne mund të modifikojmë skedarin iptables me redaktuesin tonë të preferuar të tekstit, nano, gedit, ... ose të krijojmë skripta me rregulla (nëse doni t'i tejkaloni ato, mund ta bëni duke vendosur një # përpara vijës në mënyrë që të jetë injorohet si koment) përmes konsolës me komanda siç do ta shpjegojmë këtu. Në Debian dhe derivatet mund të përdorni gjithashtu mjetet e ruajtjes së iptables dhe rivendosjes së iptables ...
Politika më ekstreme është bllokimi i gjithçkaje, absolutisht i gjithë trafiku, por kjo do të na lërë të izoluar, me:
iptables -P INPUT DROP
Për t’i pranuar të gjitha:
iptables -P INPUT ACCEPT
Nëse e duam atë pranohet i gjithë trafiku në largim nga ekipi ynë:
iptables -P OUTPUT ACEPT
La një veprim tjetër radikal do të ishte fshirja e të gjitha politikave nga iptables me:
iptables -F
Le të shkojmë te rregullat më konkreteImagjinoni që keni një server në internet dhe për këtë arsye trafiku përmes portit 80 duhet të lejohet:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
Dhe nëse përveç rregullit të mëparshëm, ne duam një ekip me pajisje të përshtatshme mund të shihet vetëm nga kompjuterët në nënrrjetin tonë dhe kjo kalon pa u vërejtur nga një rrjet i jashtëm:
iptables -A INPUT -p tcp -s 192.168.30.0/24 --dport 80 -j ACCEPT
Në rreshtin e mëparshëm, ajo që ne u themi iptables është të shtojmë një rregull -A, në mënyrë që hyrjet INPUT dhe protokolli TCP, përmes portës 80, të pranohen. Tani imagjinoni ju doni mua për të shfletimi i faqes në internet është refuzuar për makinat lokale që kalojnë nëpër makineri duke ekzekutuar iptables:
iptables -t filter -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 DROP
Unë mendoj se përdorimi është i thjeshtë, duke marrë parasysh se për çfarë shërben secili parametër i iptables, ne mund të shtojmë rregulla të thjeshta. Ju mund të bëni të gjitha kombinimet dhe rregullat që ne imagjinojmë ... Për të mos u zgjatur më shumë, thjesht shtoni edhe një gjë, dhe kjo është se nëse makina rindizet, politikat e krijuara do të fshihen. Tabelat janë rifilluar dhe do të mbeten si më parë, prandaj, pasi të keni përcaktuar mirë rregullat, nëse doni t'i bëni ato të përhershme, ju duhet t'i bëni ato të nisen nga /etc/rc.local ose nëse keni një Debian ose derivativë përdorni mjetet që na janë dhënë (aplikojnë iptables-save, iptables-restore dhe iptables-aplikojnë).
Ky është artikulli i parë që shoh në IPTABLES që, megjithëse i dendur - kërkon një nivel të mesëm njohurish -, SHKON DREJTCTSISHT N TO kokërr.
Unë i rekomandoj të gjithëve që ta përdorin atë si një "manual të shpejtë referimi" pasi është kondensuar dhe shpjeguar shumë mirë. 8-)
Unë do të doja që ju të flisni në një artikull të ardhshëm nëse ndryshimi në systemd në shumicën e shpërndarjeve linux, ndikon në një farë mënyre në sigurinë e linux në përgjithësi, dhe nëse ky ndryshim është për të mirë ose më keq të shpërndarjeve të së ardhmes dhe linux. Unë gjithashtu do të doja të dija se çfarë dihet për të ardhmen e devuan (debian pa systemd).
Faleminderit shumë që bëni artikuj shumë të mirë.
A mund të bëni një artikull që shpjegon tabelën e mangulës?
Bllokoni vetëm Facebook-un?