Bagama't minsan ay hinahawakan ko pa rin ang Windows nang mag-isa at sa marami pang iba ay pinipilit nila ako (marditoh rodoreh) kapag kailangan kong gawin ang mga bagay na malayo sa aking mga computer, para sa akin ang pag-uusap tungkol sa Windows ay parang isang bagay na malayong naiwan sa panahon. Noong ginamit ko ito bilang aking pangunahing sistema (wala akong iba), sinubukan kong protektahan ito ng software tulad ng antivirus ng Kaspersky at ang paminsan-minsang firewall, bukod sa maraming iba pang mga tool sa seguridad. Sa Linux hindi pa kami nalantad tulad ng sa Windows, ngunit mayroon ding software na tumutulong sa amin na maging mas kalmado, tulad ng Mga IPtable, isang firewall o firewall.
Ang firewall ay isang sistema ng seguridad na responsable para sa pagkontrol sa trapiko ng network na pumapasok at umaalis sa isang operating system. Isa sa pinakalaganap sa Linux ay ang mga nabanggit na IPtables, hanggang sa punto na, malamang at hindi mo alam, na-install na ito sa iyong operating system mula nang ilabas mo ito. Ang susubukan naming gawin sa artikulong ito ay ipaliwanag paano i-configure ang firewall sa linux na may mga IPtable.
Mga IPtable sa Linux, kung ano ang kailangan mong malaman
Pag-configure ng firewall maaaring maging kumplikado, at higit pa sa isang operating system tulad ng Linux kung saan nakakamit ang pinakamahusay sa touch ng isang terminal. Bago magsimula, ipinapayong malaman ang kaunti tungkol sa mga isyu sa network at seguridad, o hindi bababa sa maunawaan na, kapag nakakonekta kami, nakikipag-ugnayan kami sa iba pang kagamitan, at ang mga device na ito o ang mga may-ari nito ay maaaring may mabuti o masamang intensyon. Para sa kadahilanang ito, depende sa paggamit ng aming PC, sulit na kontrolin ang lahat ng lumalabas at lahat ng pumapasok dito.
Gayundin, at kung ano ang maaaring mangyari, kung mayroon kaming isa pang firewall sa aming Linux system at magsisimula kaming mag-tweak ng mga bagay sa IPtables, sulit na gumawa ng backup na kopya ng aming kasalukuyang configuration ng firewall. Sa lahat ng malinaw na ito, nagsisimula kaming ganap na pag-usapan ang tungkol sa pagsasaayos ng mga IPtable.
- Ang unang bagay na kailangan nating gawin ay i-install ang package. Karamihan sa mga pamamahagi ng Linux ay naka-install ito bilang default, ngunit ito ay isang bagay na hindi palaging nangyayari. Upang malaman kung mayroon kaming mga IPtable na naka-install sa aming operating system, nagbukas kami ng terminal at sumulat
iptables -v. Sa aking kaso at sa oras ng pagsulat ng artikulong ito, ibinabalik ako ng aking terminal iptable v1.8.8. Kung sakaling hindi ito naka-install, maaari itong mai-install gamit ang:
Ubuntu/Debian o mga derivatives:
sudo apt install iptables
Fedora/Redhat o derivatives:
sudo yum i-install ang mga iptables
Arch Linux at derivatives
sudo pacman -Siptables
Pagkatapos ng pag-install, ito ay paganahin sa:
sudo systemctl paganahin ang iptables sudo systemctl simulan ang iptables
At makikita mo ang katayuan nito sa:
sudo systemctl status iptables
- Kapag naka-install na ang firewall, kailangan mong i-configure ang mga panuntunan nito. Ang mga panuntunan ng IPtables ay nahahati sa mga talahanayan (na pag-uusapan natin nang mas detalyado mamaya sa artikulong ito): filter, nat at mangle, kung saan dapat tayong magdagdag ng raw at seguridad. Ang filter na talahanayan ay ginagamit upang kontrolin ang papasok at papalabas na trapiko, ang nat table ay ginagamit upang gawin ang NAT (Network Address Translation) at ang mangle table ay ginagamit upang baguhin ang IP packet. Upang i-configure ang mga panuntunan ng talahanayan ng filter, ang mga sumusunod na command ay ginagamit:
- iptables -A INPUT -j ACCEPT (payagan ang lahat ng papasok na trapiko).
- iptables -A OUTPUT -j ACCEPT (payagan ang lahat ng papalabas na trapiko).
- iptables -A FORWARD -j ACCEPT (payagan ang lahat ng routing traffic). Gayunpaman, pinapayagan ng configuration na ito ang lahat ng trapiko, at hindi inirerekomenda para sa isang production system. Mahalagang tukuyin ang mga panuntunan sa firewall batay sa mga partikular na pangangailangan ng system. Halimbawa, kung gusto mong harangan ang papasok na trapiko sa port 22 (SSH), maaari mong gamitin ang command:
iptables -A INPUT -p tcp --dport 22 -j DROP
- Ang isa pang mahalagang bagay ay i-save ang mga setting, upang hindi mawala ang mga ito kapag nag-reboot ng system. Sa Ubuntu at Debian ang "iptables-save" na utos ay ginagamit upang i-save ang kasalukuyang mga pagsasaayos sa isang file. Sa Red Hat at Fedora, ang command na "service iptables save" ay ginagamit upang i-save ang mga configuration. Kung nagdududa ka kung alin ang gagamitin, ang mga utos ng Ubuntu/Debian ay may posibilidad na gumana sa mas maraming distribusyon.
I-load ang mga configuration pagkatapos ng reboot
Sa i-load ang mga naka-save na setting, ang parehong mga utos na ginamit upang i-save ang mga ito ay ginagamit, ngunit sa pagkilos na "ibalik" sa halip na "i-save". Sa Ubuntu at Debian, ang command na "iptables-restore" ay ginagamit upang i-load ang mga naka-save na configuration mula sa isang file. Sa Red Hat at Fedora, ang command na "service iptables restore" ay ginagamit upang i-load ang mga naka-save na configuration. Muli, kung nagdududa ka tungkol sa kung aling utos ang gagamitin, ang mga utos ng Ubuntu/Debian ay karaniwang pinakamahusay na gumagana.
Mahalagang tandaan na kung gagawin ang mga pagbabago sa mga setting ng firewall, kailangan nilang i-save at i-reload para magkabisa ang mga pagbabago. Ito ay isang paraan upang ma-overwrite ang configuration file gamit ang bagong data, at kung hindi ito gagawin sa ganitong paraan, hindi mase-save ang mga pagbabago.
Mga talahanayan sa mga IPtable
Mayroong mga uri ng 5 boards sa IPTables at bawat isa ay may iba't ibang panuntunang inilapat:
- filter : Ito ang pangunahing at default na talahanayan kapag gumagamit ng IPtables. Nangangahulugan ito na kung walang partikular na talahanayan na binanggit kapag nag-aaplay ng mga panuntunan, ilalapat ang mga panuntunan sa talahanayan ng filter. Gaya ng ipinahihiwatig ng pangalan nito, ang tungkulin ng talahanayan ng filter ay magpasya kung papayagan ang mga packet na makarating sa kanilang patutunguhan o tanggihan ang kanilang kahilingan.
- nat (Pagsasalin ng Address ng Network): Gaya ng ipinahihiwatig ng pangalan, pinapayagan ng talahanayang ito ang mga user na matukoy ang pagsasalin ng mga address ng network. Ang tungkulin ng talahanayang ito ay upang matukoy kung at kung paano baguhin ang pinagmulan at patutunguhang packet address.
- mangle: Ang talahanayang ito ay nagpapahintulot sa amin na baguhin ang mga IP header ng mga packet. Halimbawa, ang TTL ay maaaring iakma upang pahabain o paikliin ang network hops na maaaring suportahan ng packet. Sa katulad na paraan, ang iba pang mga IP header ay maaari ding baguhin ayon sa iyong kagustuhan.
- hilaw: Ang pangunahing gamit ng talahanayang ito ay upang masubaybayan ang mga koneksyon dahil nagbibigay ito ng mekanismo para sa pagmamarka ng mga packet upang tingnan ang mga packet bilang bahagi ng isang patuloy na session.
- katiwasayan: Gamit ang talahanayan ng seguridad, maaaring ilapat ng mga user ang mga panloob na flag ng konteksto ng seguridad ng SELinux sa mga network packet.
Ang huling dalawang talahanayan ay halos hindi ginagamit, hanggang sa punto na ang karamihan sa dokumentasyon ay nagsasalita lamang tungkol sa filter, nat, at mangle.
Sa help file makakahanap kami ng mga halimbawa kung paano pamahalaan ang mga IPtable. Upang makita ito, magbubukas kami ng isang terminal at mag-type iptables -h.
Bagama't ang iptables ay isa sa mga pinakamahusay na opsyon para sa Linux, kung mas gusto mo ang isang bagay na mas simple na may graphical na interface, maaari mong tingnan Firewalld.