Sa i-configure ang isang firewall o firewall sa Linux, maaari tayong gumamit ng mga iptable, isang malakas na tool na tila nakalimutan ng maraming mga gumagamit. Bagaman may iba pang mga pamamaraan, tulad ng ebtables at arptables upang ma-filter ang trapiko sa antas ng link, o Squid sa antas ng aplikasyon, ang mga iptable ay maaaring maging napaka kapaki-pakinabang sa karamihan ng mga kaso, pagpapatupad ng mahusay na seguridad sa aming system sa antas ng trapiko at transportasyon ng net.
Nagpapatupad ang kernel ng Linux ng mga iptable, isang bahagi na nag-aalaga ng mga filter ng packet at sa artikulong ito tinuturo namin sa iyo na mag-configure sa isang simpleng paraan. Sa madaling salita, kinikilala ng mga iptable kung anong impormasyon ang maaaring at hindi makapasok, na ihiwalay ang iyong koponan mula sa mga potensyal na banta. At bagaman may iba pang mga proyekto tulad ng Firehol, Firestarter, atbp., Marami sa mga programang ito sa firewall ang gumagamit ng mga iptable ...
Well, Humayo tayo sa trabaho, sa mga halimbawang mauunawaan mo nang mas mabuti ang lahat (para sa mga kasong ito kinakailangan na magkaroon ng mga pribilehiyo, kaya gumamit ng sudo sa harap ng utos o maging ugat):
Ang pangkalahatang paraan upang magamit ang mga iptable upang lumikha ng isang patakaran sa filter ay:
IPTABLES -ARGUMENTS I / O ACTION
Nasaan ang -ARGUMENT ang argumentong gagamitin namin, karaniwang -P upang maitaguyod ang default na patakaran, bagaman mayroong iba tulad ng -L upang makita ang mga patakaran na na-configure namin, -F upang tanggalin ang isang nilikha na patakaran, -Z upang i-reset ang mga byte at packet counter, atbp. Ang isa pang pagpipilian ay -A upang magdagdag ng isang patakaran (hindi sa pamamagitan ng default), -ako upang magsingit ng isang panuntunan sa isang tukoy na posisyon, at -D upang tanggalin ang isang naibigay na panuntunan. Magkakaroon din ng iba pang mga argumento upang ituro sa -p mga protokol, –sport na mapagkukunan ng port, –dport para sa patutunguhan port, -i papasok na interface, -o papalabas na interface, -s mapagkukunang IP address at -d patutunguhang IP address.
Bukod dito ako ay kumakatawan kung politika inilalapat ito sa input ng INPUT, sa output na OUTPUT o ito ay isang FORWARD na pag-redirect ng trapiko (may iba pa tulad ng PREROUTING, POSTROUTING, ngunit hindi namin gagamitin ang mga ito). Panghuli, ang tinawag kong ACTION ay maaaring tumagal ng halagang TANGGAPIN kung tatanggapin natin, Tanggihan kung tatanggihan o TUMUTOL kami kung tatanggalin namin. Ang pagkakaiba sa pagitan ng DROP at REJECT ay kapag ang isang packet ay tinanggihan ng REJECT, malalaman ng makina na nagmula na ito ay tinanggihan, ngunit sa DROP ay tahimik itong kumikilos at hindi malalaman ng umaatake o pinagmulan kung ano ang nangyari, at hindi alam kung mayroon kaming isang firewall o ang koneksyon ay nabigo lamang. Mayroon ding iba tulad ng LOG, na nagpapadala ng isang follow-up ng syslog ...
Upang baguhin ang mga panuntunan, maaari nating mai-edit ang iptables file kasama ang aming ginustong text editor, nano, gedit, ... o lumikha ng mga script na may mga panuntunan (kung nais mong i-override ang mga ito, magagawa mo ito sa pamamagitan ng paglalagay ng # sa harap ng linya upang ito ay hindi pinapansin bilang isang komento) sa pamamagitan ng console na may mga utos dahil ipapaliwanag namin ito dito. Sa Debian at mga derivatives maaari mo ring gamitin ang mga tool na iptable-save at iptables-restore ...
Ang pinaka matinding patakaran ay upang harangan ang lahat, ganap na lahat ng trapiko, ngunit iiwan kami ng nakahiwalay, kasama ang:
iptables -P INPUT DROP
Upang tanggapin ang lahat:
iptables -P INPUT ACCEPT
Kung gusto natin yan ang lahat ng papalabas na trapiko mula sa aming koponan ay tinatanggap:
iptables -P OUTPUT ACEPT
La isa pang radikal na aksyon ay ang burahin ang lahat ng mga patakaran mula sa iptables na may:
iptables -F
Pumunta tayo sa higit pang mga konkretong patakaranIsipin na mayroon kang isang web server at samakatuwid ang trapiko sa pamamagitan ng port 80 ay dapat payagan:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
At kung bilang karagdagan sa nakaraang panuntunan, nais namin ang isang koponan na may iptables makikita lamang ng mga computer sa aming subnet at napapansin iyon ng isang panlabas na network:
iptables -A INPUT -p tcp -s 192.168.30.0/24 --dport 80 -j ACCEPT
Sa nakaraang linya, kung ano ang sinasabi namin sa iptables ay upang magdagdag ng isang panuntunan -A, upang ang mga input ng INPUT, at ang TCP protocol, sa pamamagitan ng port 80, ay tatanggapin. Ngayon isipin mo gusto mo ako tinanggihan ang web browsing para sa mga lokal na makina na dumadaan sa makina na tumatakbo iptables:
iptables -t filter -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 DROP
Sa palagay ko ang paggamit ay simple, isinasaalang-alang kung para saan ang bawat parameter ng iptables, maaari kaming magdagdag ng mga simpleng panuntunan. Maaari mong gawin ang lahat ng mga kumbinasyon at panuntunan na naiisip namin ... Upang hindi na mapalawak pa ang sarili ko, magdagdag lamang ng isa pang bagay, at iyon ay kung mai-restart ang makina, tatanggalin ang mga patakarang nilikha. Ang mga talahanayan ay na-reset at mananatili tulad ng dati, samakatuwid, sa sandaling natukoy mo nang mabuti ang mga patakaran kung nais mong gawin silang permanente, dapat mong ilunsad ang mga ito mula sa /etc/rc.local o kung mayroon kang isang Debian o derivatives na gumagamit ng mga tool na binigyan kami (iptables-save, iptables-restore at iptables-apply).
Ito ang unang artikulong nakikita ko sa mga IPTABLES na, kahit na siksik - nangangailangan ng isang katamtamang antas ng kaalaman-, PUMUNTA SA GRAIN DIREKTO.
Inirerekumenda ko ang lahat na gamitin ito bilang isang "mabilis na sanggunian sa sanggunian" dahil napakahusay nito ang pagkumpuni at ipinaliwanag. 8-)
Nais kong makipag-usap sa isang hinaharap na artikulo tungkol sa kung ang pagbabago sa systemd sa karamihan ng mga pamamahagi ng linux, nakakaapekto sa ilang paraan ang seguridad ng linux sa pangkalahatan, at kung ang pagbabagong ito ay para sa mas mabuti o mas masahol pa sa hinaharap at pamamahagi ng linux. Nais ko ring malaman kung ano ang nalalaman tungkol sa hinaharap ng devuan (debian na walang systemd).
Maraming salamat sa iyong gumawa ng napakahusay na mga artikulo.
Maaari ka bang gumawa ng isang artikulo na nagpapaliwanag sa talahanayan ng mangle?
I-block lang ang Facebook?