Linux kernel əsasında bütün əməliyyat sistemi, daxili firewall nəzarət həyata və müəyyən qaydalar və ya platforma əsasında, daxil olan və çıxan trafik filtreleme var. CentOS 7 paylanması, iptables kommunal həyata belə bir funksiyası daxili Netfilter firewall ilə əlaqə. Bəzən sistem administratoru və ya şəbəkə meneceri müvafiq qaydaları nəzərdə tutan, bu komponent əməliyyat konfiqurasiya var. Bugünkü maddənin bir hissəsi kimi, biz yuxarıda göstərilən OS IPTABLES konfiqurasiya əsasları haqqında danışmaq istəyirəm.
CentOS 7 Yapılandır iptables
alət özü CentOS 7 quraşdırılması başa dərhal sonra iş, lakin biz haqqında danışmaq ki, bəzi xidmətlər, yüklemek üçün daha iradə ehtiyac erişilebilir. nəzərdən platforma həyata Firewall funksiyası Firewalld adlı başqa bir daxili alət var. qarşısını münaqişələrin daha işləri ilə, biz bu komponent aradan gəlir. bu mövzuda geniş Təlimatlar Aşağıdakı linki başqa maddi oxuyun.Daha ətraflı: Disable Firewalld CentOS 7
Bildiyiniz kimi, IPv4 və IPv6 protokolları sistemində tətbiq oluna bilər. Bu gün biz IPv4 Məsələn müzakirə olunacaq, lakin başqa bir protokol konfiqurasiya istəyirsinizsə, əvəzinə bir sıra lazımdır. IPTABLES. konsol istifadə Ip6Tables.
iptables quraşdırılması
Bu nəzərdən kommunal bu gün sistem əlavə komponentləri prioritet olmalıdır. Onlar qaydaları və digər parametrləri qəbulu kömək edəcək. bu, çox vaxt deyil, belə ki, Yükleniyor, rəsmi depo həyata keçirilir.
- Bütün daha tədbirlər hər hansı bir rahat üsulu ilə run, klassik konsol ediləcək.
- Sudo Yum iptables-Services komanda xidmətlər yüklemek üçün məsuliyyət daşıyır edin. daxil edin və əsas ENTER düyməsini basın.
- bu parol ifadə edərək superuser hesab təsdiq edin. sorğu sudo zaman sıra daxil simvol göstərilir heç vaxt unutmayın.
- Bu Y versiyası seçerek bu hərəkəti sisteminə bir paketi əlavə təsdiq etmək təklif olunacaq.
- quraşdırma başa çatdıqdan sonra, alət cari versiyasını kontrol: Sudo --Version iptables.
- Nəticədə yeni simli görünür.
İndi OS, OPTable proqramı vasitəsi ilə firewallın daha da konfiqurasiyasına tam hazırdır. İdarəetmə xidmətləridən başlayaraq, əşyalardakı konfiqurasiya ilə tanış olmağı təklif edirik.
UPTable xidmətlərinin dayandırılması və işə salınması
Müəyyən qaydaların hərəkətini yoxlamaq və ya sadəcə komponenti yenidən başlatmaq lazım olan hallarda ITTSables rejimi idarəetmə tələb olunur. Bu, quraşdırılmış əmrlərdən istifadə etməklə edilir.
- Sudo xidmətində iTtable Stop və xidmətləri dayandırmaq üçün Enter düyməsini vurun.
- Bu proseduru təsdiqləmək üçün superuser şifrəsini göstərin.
- Proses uğurlu olarsa, konfiqurasiya sənədindəki dəyişiklikləri göstərən yeni bir simli göstərilir.
- Xidmətlərin başlanması demək olar ki, eyni şəkildə həyata keçirilir, yalnız xətt sudo xidməti iTtable görüntüsünü əldə edir.
Bənzər bir yenidən başladın, kommunallığı başladığı və ya dayandırın, istənilən vaxt mövcuddur, yalnız tələb olunduqda tərs dəyərini qaytarmağı unutmayın.
Qaydalara baxın və silmək
Yuxarıda qeyd olunduğu kimi, firewall nəzarət manual və ya avtomatik olaraq əlavə qaydaları ilə həyata keçirilir. Məsələn, bəzi əlavə tətbiqetmələr müəyyən siyasət dəyişdirərək alətə daxil ola bilər. Lakin, ən belə hərəkətlər hələ əl edilir. Bütün cari qaydaların siyahısına baxmaq sudo IPTable-Command vasitəsilə mövcuddur.
- daxil olan, göndərilən və müvafiq olaraq, trafik forwarding "INPUT", "ÇIXDI" və "FORWARD" nümayiş nəticəsində üç zəncirlər haqqında məlumat olacaq.
Siz Sudo iptables -S daxil bütün zəncirlər statusu müəyyən edə bilərsiniz.
Görülən qaydalar sizinlə razı deyilsə, sadəcə silinir. Bütün siyahı bu kimi təmizlənir: sudo iptables -f. aktivləşdirmə sonra, qayda üç zəncirlər üçün tamamilə silinəcək.
Yalnız bir zəncirdən yalnız siyasətə təsir etməyiniz lazım olduqda, xəttə əlavə bir arqument əlavə olunur:
Sudo iptables -f giriş
Sudo iptables -f çıxışı
Sudo iptables -f irəli
bütün olmaması parametrləri filtreleme heç bir yol hər hansı bir hissəsi istifadə edir ki, deməkdir qaydaları. Sonrakı, sistem administratoru eyni konsol, əmr və müxtəlif arqumentlərdən istifadə edərək yeni parametrləri müstəqil göstərəcəkdir.
Qəbul və zəncir trafik düşmə
Hər zəncir qəbul və ya trafik blok üçün ayrıca yapılandırılmış. müəyyən bir məna belirleyerek, məsələn, bütün daxil olan trafik bağlanacaq ki, əldə edilə bilər. Bunu etmək üçün, komanda Input zəncirinin adı sudo iptables --policy Input Drop, olmalıdır və Drop bir axıdılması dəyəri.
Eyni parametrləri, digər sxemlər üçün, misal üçün, sudo iptables --policy Çıxdı Drop müəyyən edilir. trafik almaq üçün bir dəyər təyin etmək lazımdır, onda açılan dəyişikliklər qəbul və bu --policy input qəbul iptables sudo çıxır.
Port Resolution və Lock
Bildiyiniz kimi, bütün şəbəkə ərizə və proseslər müəyyən port vasitəsilə çalışır. blok və ya müəyyən URL həll edərək, siz bütün şəbəkə məqsədlər daxil nəzarət edə bilərsiniz. yeni qayda əlavə Input - - Bu Təklif edək irəli Terminal məsələn 80. limanı təhlil, bu sudo IPTABLES A girdi P TCP --DPort 80 -J qəbul əmri -a daxil etmək üçün kifayət qədər olacaq zəncir, -p - bu halda protokol müəyyən TCP, A --DPORT bir hedef limanıdır.
Eyni komanda da SSH xidməti tərəfindən istifadə olunur port 22 aiddir: Sudo IPTABLES -A INPUT P TCP --DPORT 22 -J qəbul edin.
Müəyyən port qarşısını almaq üçün, simli yalnız Drop üçün qəbul dəyişikliklər sonunda eyni növü istifadə olunur. Nəticədə, o, sudo IPTABLES A INPUT P TCP --DPORT 2450 -J DROP məsələn çıxır.
Bütün bu qaydalar konfiqurasiya faylı daxil edilir və hər hansı bir zamanda bilərsiniz. Biz sizə xatırlatmaq, bu sudo iptables l vasitəsilə həyata keçirilir. TPC -s əlavə sonra və ünvanı özü - Siz port port birlikdə ilə şəbəkə IP ünvan icazə lazımdır, simli bir az redaktə olunur. Sudo -a Input iptables p TCP -S 12.12.12.12/32 --DPORT 22 -J 12.12.12.12/32 lazım IP ünvanı yerləşir, qəbul edir.
Qadağa sonunda Drop qəbul dəyəri dəyişən eyni prinsip baş verir. Sonra, məsələn, sudo -a daxil p TCP -S 12.12.12.0/224 --DPORT 22 -J DAMLA iptables çıxır.
ICMP Qadağa
ICMP (Internet Control Message Protocol) - TCP / IP daxil edilir və trafik ilə iş zaman səhv messages və fövqəladə halların ötürücü ilə məşğul olan bir protokol. Məsələn, tələb server mövcud deyil zaman, bu alət həyata xidmət göstərir. IPTABLES kommunal firewall vasitəsilə qarşısını almaq üçün imkan verir, və siz sudo IPTABLES A ÇIXDI P ICMP --icmp-Type 8 -J DROP komanda istifadə edə bilərsiniz. Bu və sizin server sorğu blok olacaq.
Gələn sorğu bir az fərqli bağlanacaq. Sonra Sudo IPTABLES Mən INPUT P ICMP --icmp-Type 8 -J Drop daxil etmək lazımdır. bu qaydaları Aktivləşdirmə sonra server ping sorğuların cavab deyil.
server qarşısını icazəsiz tədbirlər
Bəzən server DDOS hücumları və ya intruders digər icazəsiz tədbirlər məruz qalır. firewall düzgün tənzimlənməsi Hacking bu cür özünüzü qorumaq üçün imkan verir. Biz belə qaydaları qəbulu görürük Ilə başlamaq üçün:
- Biz iptables -A Giriş P TCP --DPORT yazmaq 80 M Limit --Limit 20 / Minute --Limit-Burst --Limit 20 / Minute müsbət nəticələr tezliyi üzrə limit olduğu qəbul -J 100 . Siz özünüz, məsələn, / saniyə / dəqiqə / saat / gün ölçü vahidi daxil edə bilərsiniz. Sayı --Limit-Burst - limit itkin paketləri sayı. Bütün dəyərlər administrator tercihlerinizi uyğun olaraq fərdi nümayiş etdirilir.
- Sonra, Hacking mümkün səbəblərindən biri aradan qaldırılması üçün açıq port scanning qadağan edə bilər. ilk Sudo iptables N Block-Scan əmri daxil edin.
- Sonra müəyyən Sudo IPTABLES A BLOCK-SCAN P TCP -TCP-Flags Syn, Ack, FIN, RST-M Limit müraciətləri 1 / S -J qayıt.
- son üçüncü komanda: sudo iptables -A blok scan -J drop. bu hallarda BLOCK-SCAN ifadə - istifadə dövrə adı.
Bu gün göstərilən parametrləri firewall nəzarət aləti iş üçündür əsasdır. kommunal rəsmi sənədlərin bütün mövcud dəlilləri və variantları bir təsviri tapa bilərsiniz və siz sorğu altında xüsusi firewall konfiqurasiya edə bilərsiniz. ən tez-tez tətbiq edilir standart təhlükəsizlik qaydaları, yuxarıda və əksər hallarda tələb olunur.