у конфигурирати заштитни зид или заштитни зид у Линуку, можемо користити иптаблес, моћна алатка коју многи корисници чине заборављеном. Иако постоје и друге методе, попут ебтаблес и арптаблес за филтрирање промета на нивоу везе, или Скуид на нивоу апликације, иптаблес у већини случајева могу бити врло корисни, примењујући добру сигурност у нашем систему на нивоу промета и транспорта мреже .
Линук кернел имплементира иптаблес, део који брине о филтрирању пакета и да ћемо вас у овом чланку научити да конфигуришете на једноставан начин. Једноставно речено, иптаблес идентификује које информације могу, а које не могу да уђу, изолујући ваш тим од потенцијалних претњи. И премда постоје и други пројекти попут Фирехол, Фирестартер итд., Многи од ових заштитних зидова користе иптабле ...
Па, Пређимо на посао, са примерима ћете све боље разумети (за ове случајеве је неопходно имати привилегије, зато користите судо испред команде или постаните роот):
Општи начин употребе иптаблес-а да бисте креирали политику филтера је:
ИПТАБЛЕ -АРГУМЕНТИ И / О АКЦИЈА
Где је -АРГУМЕНТ аргумент који ћемо користити, нормално -П да успостави подразумевану политику, мада постоје и друге попут -Л да виде политике које смо конфигурисали, -Ф за брисање креиране политике, -З за ресетовање бројача бајтова и пакета итд. Друга опција је -А за додавање полисе (није подразумевана), -И за уметање правила на одређеној позицији и -Д за брисање датог правила. Такође ће бити других аргумената који указују на -п протоколе, –порт изворног порта, –порт за одредишни порт, -и долазни интерфејс, -о одлазни интерфејс, -с изворну ИП адресу и -д одредишну ИП адресу.
Даље, И / О би представљао ако политике Примењује се на улаз ИНПУТ, на излаз ОУТПУТ или је преусмеравање саобраћаја НАПРЕД (постоје и други као што су ПРЕРУТИРАЊЕ, ПОСТРОУТИРАЊЕ, али их нећемо користити). Коначно, оно што сам назвао АКЦИЈА може попримити вредност ПРИХВАТИ ако прихватимо, ОДБИТИ ако одбијемо или ОДБИТИ ако елиминишемо. Разлика између ДРОП и РЕЈЕЦТ је у томе што када се пакет одбаци са РЕЈЕЦТ, машина која га је покренула знаће да је одбијен, али са ДРОП делује тихо и нападач или порекло неће знати шта се догодило и неће знамо да ли имамо заштитни зид или је веза само пропала. Постоје и други попут ЛОГ-а, који шаљу наставак сислог-а ...
Да бисте изменили правила, можемо уредити датотеку иптаблес помоћу жељеног уређивача текста, нано, гедит, ... или створити скрипте са правилима (ако их желите поништити, то можете учинити стављањем # испред реда тако да буде игнорисана као коментар) кроз конзолу са командама како ћемо овде објаснити. У Дебиану и изведеницама такође можете користити алате иптаблес-саве и иптаблес-ресторе ...
Најекстремнија политика је да се све блокира, апсолутно сав саобраћај, али ово ће нас оставити изоловане, са:
iptables -P INPUT DROP
Да све то прихватим:
iptables -P INPUT ACCEPT
Ако то желимо прихвата се сав одлазни саобраћај нашег тима:
iptables -P OUTPUT ACEPT
La друга радикална акција била би брисање свих политика из иптаблес са:
iptables -F
Идемо на конкретнија правилаЗамислите да имате веб сервер и зато саобраћај преко порта 80 мора бити дозвољен:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
И ако поред претходног правила желимо тим са иптаблес-ом могу да виде само рачунари у нашој подмрежи а то не примећује спољна мрежа:
iptables -A INPUT -p tcp -s 192.168.30.0/24 --dport 80 -j ACCEPT
У претходном реду, оно што говоримо иптаблес-у је додавање правила -А, тако да се прихвате ИНПУТ улази и ТЦП протокол, преко порта 80. Сад замисли да то желиш прегледање веба је одбијено за локалне машине које пролазе кроз машину на којој раде иптаблес:
iptables -t filter -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 DROP
Мислим да је употреба једноставна, узимајући у обзир чему служи сваки параметар иптаблес-а, можемо додати једноставна правила. Можете да урадите све комбинације и правила која ми замислимо ... Да се не бих даље ширио, додајте само још једну ствар, а то је да ће се, ако се машина поново покрене, креиране политике избрисати. Табеле се поново покрећу и остаће као и пре, дакле, након што сте добро дефинисали правила, ако желите да их учините трајним, морате их покренути из /етц/рц.лоцал или ако имате Дебиан или деривате користите алате који су нам дати (иптаблес-саве, иптаблес-ресторе и иптаблес-аппли).
Ово је први чланак који видим на ИПТАБЛЕС-у, иако је густ - захтева средњи ниво знања - ДИРЕКТНО ИДЕ ДО ЗРНА.
Свима препоручујем да га користе као „брзи приручник“, јер је врло добро сажет и објашњен. 8-)
Желео бих да у будућем чланку разговарате о томе да ли промена на системд у већини линук дистрибуција утиче на неки начин на сигурност линук-а уопште и да ли је ова промена у добру или злу у будућности и линук дистрибуцијама. Такође бих желео да знам шта се зна о будућности девуан-а (дебиан без системд-а).
Хвала вам пуно што правите врло добре чланке.
Можете ли да направите чланак који објашњава табелу мангле?
Блокирати само Фацебоок?