في جميع أنظمة التشغيل على أساس نواة لينكس، هناك المدمج في جدار الحماية، وأداء الرقابة وتصفية حركة المرور الواردة والصادرة، استنادا إلى قواعد المحددة أو النظام الأساسي. في توزيع سينت أو إس 7، و[إيبتبلس ينفذ فائدة هذه الوظيفة، والتفاعل مع المدمج في جدار الحماية نت فيلتر. أحيانا مسؤول النظام أو مدير الشبكة أن تكوين تشغيل هذا المكون، تفرض القواعد ذات الصلة. كجزء من مقال اليوم، نود أن نتحدث عن أساسيات تكوين إيبتبلس في نظام التشغيل المذكورة أعلاه.
تكوين إيبتبلس] في سينت أو إس 7
الأداة نفسها يمكن الوصول إلى العمل فورا بعد الانتهاء من تركيب سينت أو إس 7، ولكن المزيد من الإرادة تحتاج إلى تثبيت بعض الخدمات، والتي سوف نتحدث عنها. في منصة قيد النظر وهناك آخر المدمج في الأداة التي ينفذ وظيفة جدار حماية دعت Firewalld. للصراعات تجنب، مع مزيد من العمل، ونحن نوصي تعطيل هذا المكون. تعليمات موسع حول هذا الموضوع قراءة في مادة أخرى على الرابط التالي.إقرأ المزيد: تعطيل Firewalld في سينت أو إس 7
كما تعلمون، يمكن تطبيق بروتوكولات IPv4 و IPv6 في النظام. اليوم سنركز على سبيل المثال عناوين IPv4، ولكن إذا كنت ترغب في تكوين لبروتوكول آخر، وسوف تحتاج بدلا من الفريق. إيبتبلس. في استخدام وحدة التحكم Ip6Tables.
تثبيت إيبتبلس]
يجب أن تكون الأولوية لمكونات إضافية نظام من الأداة قيد النظر اليوم. أنها سوف تساعد في وضع القواعد وغيرها من المعالم. يتم تحميل الخروج من المستودع الرسمي، وذلك لأنها لا تأخذ الكثير من الوقت.
- وسوف تتاح جميع الإجراءات الأخرى في وحدة التحكم الكلاسيكية، بحيث يتم تشغيله من قبل أي وسيلة مريحة.
- وسودو يم تثبيت القيادة إيبتبلس الخدمات هو المسؤول عن تثبيت الخدمات. أدخله واضغط المفتاح ENTER.
- تأكيد حساب المستخدم الخارق لتحديد كلمة المرور من ذلك. يرجى ملاحظة أنه عند سودو الاستفسارات، يتم عرض الأحرف التي تم إدخالها في الصف أبدا.
- سيتم يقترح إضافة حزمة واحدة للنظام، تؤكد هذا العمل عن طريق اختيار النسخة Y.
- عند الانتهاء من تركيب، والتحقق من الإصدار الحالي من الأداة: سودو إيبتبلس --Version.
- سوف تظهر النتيجة في سلسلة جديدة.
الآن نظام التشغيل جاهز بالكامل لتكوين جدار الحماية الإضافي من خلال الأداة المساعدة iptables. نقترح التعرف على التكوين على العناصر، بدءا من إدارة الخدمات.
وقف وإطلاق خدمات iptables
مطلوب إدارة وضع iPtables في الحالات التي تحتاج فيها للتحقق من عمل بعض القواعد أو مجرد إعادة تشغيل المكون. يتم ذلك باستخدام أوامر مضمنة.
- أدخل Sudo Service Iptables توقف وانقر فوق مفتاح ENTER لإيقاف الخدمات.
- لتأكيد هذا الإجراء، حدد كلمة مرور Superuser.
- إذا كانت العملية ناجحة، فسيتم عرض سلسلة جديدة، مما يشير إلى التغييرات في ملف التكوين.
- يتم إجراء إطلاق الخدمات بنفس الطريقة تقريبا، فقط الخط يكتسب خدمة سودو iptables تبدأ العرض.
تتوفر إعادة تشغيل مماثلة، بدءا أو إيقاف الأداة المساعدة في أي وقت، لا تنسى فقط لإرجاع القيمة العكسي عندما يكون في الطلب.
عرض وحذف القواعد
كما ذكرنا سابقا، يتم تنفيذ عنصر التحكم في جدار الحماية يدويا أو إضافة قواعد تلقائيا. على سبيل المثال، يمكن لبعض التطبيقات الإضافية الوصول إلى الأداة وتغيير بعض السياسات. ومع ذلك، لا تزال معظم هذه الإجراءات يدويا. يتوفر عرض قائمة بجميع القواعد الحالية عبر أمر Sudo iptables -l.
في النتيجة المعروضة، ستكون هناك معلومات حول ثلاثة سلاسل: "الإدخال"، "الإخراج" و "إلى الأمام" - حركة المرور الواردة، المنتهية ولايته، على التوالي.
يمكنك تحديد حالة جميع السلاسل عن طريق إدخال سودو iptables -s.
إذا لم تكن القواعد التي شوهدت راضيا معك، فسيتم حذفها ببساطة. يتم مسح القائمة بأكملها مثل هذا: سودو iptables -f. بعد التنشيط، سيتم مسح القاعدة على الإطلاق لجميع السلاسل الثلاثة.
عندما تحتاج إلى التأثير على السياسات فقط من سلسلة واحدة، تتم إضافة حجة إضافية إلى الخط:
سودو iptables -f المدخلات
سودو iptables -f الناتج
سودو iptables -f إلى الأمام
عدم وجود جميع القواعد يعني أنه لا يتم استخدام إعدادات تصفية المرور في أي جزء. بعد ذلك، سيقوم مسؤول النظام بتحديد المعلمات الجديدة بشكل مستقل باستخدام وحدة التحكم نفسها، والأمر والحجج المختلفة.
تلقي وإسقاط حركة المرور في سلاسل
يتم تكوين كل سلسلة بشكل منفصل عن تلقي أو عرقلة حركة المرور. من خلال تحديد معنى معين، ويمكن تحقيق ذلك، على سبيل المثال، سيتم حظر كل حركة المرور الواردة. للقيام بذلك، يجب أن يكون الأمر سودو إيبتبلس --policy الإدخال قطرة، حيث الإدخال هو اسم السلسلة، وإسقاط هي قيمة التفريغ.
بالضبط يتم تعيين نفس المعلمات للدوائر أخرى، على سبيل المثال، سودو إيبتبلس --policy الناتج قطرة. إذا كنت بحاجة إلى تعيين قيمة إلى تلقي حركة المرور، ثم التغييرات انخفاض على قبول واتضح سودو إيبتبلس المدخلات --policy قبول.
ميناء قرار وقفل
كما تعلمون، كل تطبيقات الشبكة والعمليات تعمل من خلال منفذ معين. من خلال منع أو حل بعض العناوين، يمكنك مراقبة وصول جميع الأغراض الشبكة. دعونا نحلل الميناء إلى الأمام على سبيل المثال 80. في محطة، وسوف يكون كافيا لدخول INPUT سودو إيبتبلس -A ف TCP --DPort 80 -J قبول الأوامر، حيث -a - إضافة مادة جديدة، الإدخال - اقتراح من السلسلة، -p - تعريف بروتوكول في هذه الحالة، TCP، A --DPORT هو منفذ الوجهة.
بالضبط ينطبق نفس الأمر أيضا إلى المنفذ 22، والذي يستخدم من قبل خدمة SSH: سودو إيبتبلس -A INPUT ف TCP --DPORT 22 -J قبول.
لمنع ميناء المحدد، يتم استخدام سلسلة بالضبط نفس النوع، فقط في نهاية قبول التغييرات قطرة. ونتيجة لذلك، كما تبين، على سبيل المثال، سودو إيبتبلس -A INPUT ف TCP --DPORT 2450 -J DROP.
يتم إدخال جميع هذه القواعد في ملف التكوين ويمكنك الاطلاع عليها في أي وقت. نذكركم، ويتم ذلك من خلال سودو إيبتبلس -l. إذا كنت تحتاج إلى السماح عنوان IP شبكة معا مع الميناء مع ميناء، سلسلة معدلة قليلا - بعد يضاف TPC -s والعنوان نفسه. سودو إيبتبلس الإدخال -a -p TCP -S 12.12.12.12/32 --DPORT 22 -J قبول، حيث 12.12.12.12/32 هو عنوان IP ضرورية.
يحدث الحجب على نفس المبدأ من خلال تغيير في نهاية قيمة تحمل على DROP. ثم اتضح، على سبيل المثال، سودو إيبتبلس -a المدخلات -p TCP -S 12.12.12.0/224 --DPORT 22 -J DROP.
حجب ICMP
ICMP (بروتوكول الإنترنت مراقبة رسالة) - بروتوكول الذي تم تضمينه في TCP / IP، وتشارك في نقل رسائل الخطأ وحالات الطوارئ عند العمل مع حركة المرور. على سبيل المثال، عندما يكون الخادم المطلوب غير متاح، هذه الأداة وظائف الخدمة ينفذ. الأداة المساعدة إيبتبلس يسمح لك لمنع ذلك من خلال جدار الحماية، والتي يمكن أن تجعل من استخدام OUTPUT سودو إيبتبلس -A قيادة ف ICMP --icmp من نوع 8 -J DROP. فإنه سيتم منع طلبات من وإلى الخادم الخاص بك.
يتم حظر الطلبات الواردة مختلفة قليلا. فإنك تحتاج إلى إدخال سودو إيبتبلس -I INPUT ف ICMP --icmp من نوع 8 -J قطرة. بعد تفعيل هذه القواعد، سيقوم الملقم لا يستجيب لطلبات بينغ.
منع الإجراءات غير مصرح بها على الخادم
أحيانا الملقمات تحت هجمات DDoS أو إجراءات أخرى غير مصرح بها من جانب المجرمين. التكوين الصحيح من جدار الحماية يسمح لحماية نفسك من هذا النوع من اقتحام. للبدء، ونحن نوصي لوضع القواعد التالية:
- يصف حدة إيبتبلس INPUT -p -A برنامج التعاون الفني --dport --limit 80 الحد -m 20 / دقيقة --limit المتفجر 100 -j نقبل، حيث --limit 20 / دقيقة - القيود المفروضة على وتيرة النتائج الإيجابية. وحدة القياس، يمكنك تحديد الخاصة بك، على سبيل المثال، / ثانية، / دقيقة، و/ ساعة، / يوم. عدد --limit انفجر - حد على عدد من الحزم المسلمة. يتم تعيين كافة القيم بشكل فردي عن طريق تفضيلات المسؤول.
- بعد ذلك، يمكنك تعطيل المسح عن منافذ مفتوحة، لإزالة أحد الأسباب المحتملة لتصدع. أدخل سودو الأمر الأول إيبتبلس -N كتلة المسح الضوئي.
- ثم حدد سودو إيبتبلس -A كتلة مسح -p برنامج التعاون الفني -tcp الأعلام SYN، ACK، FIN، RST -m الحد -limit 1 / ق -j RETURN.
- الثلث الأخير للفريق هو من النموذج: سودو إيبتبلس -A كتلة المسح -j DROP. التعبير كتلة المسح في هذه الحالات - اسم المستخدم من قبل الدائرة.
وتظهر فقط أساسيات إعدادات أداة لإدارة جدار الحماية اليوم. في أداة وثائق رسمية، وسوف تجد وصفا لجميع الحجج المتاحة، والخيارات وتكون قادرة على تكوين جدار الحماية خصيصا لتلبية احتياجاتهم. ولقد اعتبر فوق قواعد الأمان القياسية، والتي غالبا ما تستخدم في معظم الحالات مطلوبة.