লিনাক্স কার্নেলের উপর ভিত্তি করে সব অপারেটিং সিস্টেম, একটি বিল্ট-ইন ফায়ারওয়াল, নিয়ন্ত্রণ করণ এবং ইনকামিং এবং আউটগোয়িং ট্রাফিক ফিল্টার নিয়ম নির্দিষ্ট প্ল্যাটফর্ম উপর ভিত্তি করে। CentOS 7 বন্টনে, iptables ইউটিলিটি সঞ্চালিত যেমন একটি ফাংশন, সঙ্গে বিল্ট-ইন Netfilter ফায়ারওয়াল আলাপচারিতার। কখনও কখনও সিস্টেম প্রশাসক বা নেটওয়ার্ক ম্যানেজার এই উপাদানটি অপারেশন কনফিগার করতে, প্রাসঙ্গিক নিয়ম নির্ধারণ হয়েছে। আজকের প্রবন্ধের অংশ হিসেবে, আমরা উল্লিখিত OS এ iptables কনফিগারেশন বেসিক সম্পর্কে কথা বলতে চাই।
সেন্টওএস কনফিগার iptables 7
টুল নিজেই কাজ অবিলম্বে পরে সেন্টওএস 7 ইনস্টলেশনের সম্পন্ন হয়, কিন্তু কিছু সেবা, যা আমরা সম্পর্কে কথা বলতে হবে ইনস্টল করতে আরও ইচ্ছার প্রয়োজন কাছেই অ্যাক্সেসযোগ্য। বিবেচনা অধীন প্ল্যাটফর্মে অন্য বিল্ট-ইন সরঞ্জাম যা সঞ্চালিত ফায়ারওয়াল ফাংশন Firewalld নামক নেই। এড়ানোর দ্বন্দ্ব, আরও কাজ, আমরা এই উপাদান অক্ষম সুপারিশ করছি। এই বিষয়ে সম্প্রসারিত নির্দেশাবলী নিম্নলিখিত লিঙ্কে অন্য উপাদানে পড়ুন।সেন্টওএস 7 অক্ষম Firewalld: আরও পড়ুন
যেহেতু আপনি জানেন, IPv4 ও IPv6 প্রোটোকল সিস্টেমের মধ্যে প্রয়োগ করা যায়। আজ আমরা IPv4- র উদাহরণ উপর ফোকাস করা, কিন্তু যদি আপনি অন্য প্রোটোকল জন্য কনফিগার করতে চান, আপনি একটি দল পরিবর্তে প্রয়োজন হবে। Iptables। কনসোল ব্যবহারে Ip6Tables.
iptables ইনস্টল
এটা তোলে বিবেচনা অধীন ইউটিলিটি আজকের সিস্টেম অতিরিক্ত উপাদান অগ্রাধিকার হওয়া উচিত। তারা নিয়ম এবং অন্যান্য আবশ্যক পরামিতি উল্লেখ সেটিং সাহায্য করবে। লোড হচ্ছে, সরকারি সংগ্রহস্থল থেকে বাহিত হয়, তাই এটি অনেক সময় নেয় না।
- সকল আরও ক্রিয়া শাস্ত্রীয় কনসোলে তৈরি করা হবে, তাই কোন সুবিধাজনক পদ্ধতি দ্বারা এটি চালানোর জন্য।
- উবুন্টু জন্য yum ইনস্টল করুন iptables-সার্ভিস কমান্ড পরিষেবাগুলি ইনস্টল জন্য দায়ী। এটা লিখুন এবং Enter কী চাপুন।
- তা থেকে পাসওয়ার্ড নির্দিষ্ট করে সুপার-ইউজার অ্যাকাউন্ট নিশ্চিত করুন। দয়া করে মনে রাখবেন যখন প্রশ্নের sudo, সারি লেখা কয়েকটি অক্ষর প্রদর্শিত হয় না।
- এটা তোলে ওয়াই সংস্করণ নির্বাচন করে সিস্টেমে এক প্যাকেজ যোগ করার জন্য, এই ক্রিয়াটি নিশ্চিত প্রস্তাবিত করা হবে না।
- ইনস্টলেশন সমাপ্তির পরে, চেক টুল এর বর্তমান সংস্করণ: Sudo iptables --version।
- ফলে নতুন স্ট্রিং উপস্থিত হবে।
এখন ওএস iptables ইউটিলিটি মাধ্যমে ফায়ারওয়াল আরও কনফিগারেশনের জন্য সম্পূর্ণরূপে প্রস্তুত। আমরা আইটেম উপর কনফিগারেশন সঙ্গে নিজেকে familiarizing প্রস্তাব দিন পরিচালনার পরিষেবা থেকে শুরু।
বাঁধন এবং iptables পরিষেবার চালু
Iptables মোড ব্যবস্থাপনা ক্ষেত্রে যেখানে আপনি নির্দিষ্ট নিয়ম কর্ম চেক করতে বা শুধু কম্পোনেন্ট পুনর্সূচনা প্রয়োজন প্রয়োজন। এই এম্বেড কমান্ড ব্যবহার করা যাবে।
- Sudo পরিষেবা iptables স্টপ লিখুন এবং পরিষেবার থামাতে Enter কী এ ক্লিক করুন।
- এই পদ্ধতি নিশ্চিত করতে, সুপার-ইউজার পাসওয়ার্ড উল্লেখ করুন।
- প্রক্রিয়া সফল হয়, তাহলে একটি নতুন স্ট্রিং প্রদর্শিত হবে কনফিগারেশন ফাইল পরিবর্তন নির্দেশ করে।
- পরিষেবার লঞ্চ প্রায় একই ভাবে শুধুমাত্র লাইন Sudo পরিষেবা iptables স্টার্ট দৃশ্য acquires সঞ্চালিত হয়।
অনুরূপ একটি পুনরায় বুট, শুরু করার পূর্বে বা উপযোগ বাঁধন যে কোন সময়ে পাওয়া যায়, শুধুমাত্র ভুলবেন বিপরীত মান ফেরত পাঠাতে যখন এটি চাহিদা থাকবে না।
নিয়ম দেখুন এবং মুছুন
আগেই উল্লেখ করা হয়েছে, ফায়ারওয়াল নিয়ন্ত্রণ ম্যানুয়াল বা স্বয়ংক্রিয়ভাবে যোগ বিধি দ্বারা সঞ্চালিত হয়। উদাহরণস্বরূপ, কিছু অতিরিক্ত অ্যাপ্লিকেশন, টুল অ্যাক্সেস করতে পারেন নির্দিষ্ট কিছু নীতির পরিবর্তন। তবে, অধিকাংশ যেমন কর্ম এখনও ম্যানুয়ালি করা হয়। সমস্ত বর্তমান নিয়ম একটি তালিকা দেখার Sudo iptables -L কমান্ড মাধ্যমে পাওয়া যায়।
- ইনকামিং, আউটগোয়িং এবং যথাক্রমে ট্রাফিক ফরওয়ার্ডিং, "ইনপুট", "আউটপুট" এবং "এগিয়ে": প্রদর্শিত ফলাফলে তিনটি চেইন উপর তথ্য থাকবে।
আপনি Sudo iptables -S লিখে সব চেইন অবস্থা নির্ধারণ করতে পারেন।
দেখা নিয়ম আপনার সাথে সন্তুষ্ট না হন, তাহলে তারা কেবল মাত্র মুছে ফেলা হয়। উবুন্টু iptables- র -f: সমগ্র তালিকা এই মত সাফ করা হয়। সক্রিয়করণ পর নিয়ম সব তিনটি চেইন জন্য একেবারে মুছে ফেলা হবে।
আপনি যখন কিছু একক শৃঙ্খল থেকে মাত্র নীতি প্রভাবিত করতে হবে, একটি অতিরিক্ত যুক্তি লাইন যোগ করা হয়:
Sudo iptables -F ইনপুট
Sudo -f আউটপুট iptables
Sudo iptables -f ফরোয়ার্ড
সব অভাবে মানে কোনো ট্রাফিক সেটিংস ফিল্টারিং কোন অংশে ব্যবহার করা হয় না নিয়ম। এর পরে, সিস্টেম প্রশাসক স্বাধীনভাবে একই কনসোল, কমান্ড এবং বিভিন্ন আর্গুমেন্ট ব্যবহার করে নতুন পরামিতি উল্লেখ করতে হবে।
গ্রহণ এবং শৃঙ্খলে ট্রাফিক ড্রপ
প্রতিটি শৃঙ্খল গ্রহণ বা ট্রাফিক অবরুদ্ধ করার জন্য আলাদাভাবে কনফিগার করা হয়েছে। একটি নির্দিষ্ট অর্থ সেটিং, এটি অর্জন করা যেতে পারে যে, উদাহরণস্বরূপ, সব ইনকামিং ট্রাফিক অবরুদ্ধ থাকবে। এই কাজের জন্য, কমান্ড উবুন্টু iptables- র --policy ইনপুট ড্রপ, যেখানে ইনপুট শৃঙ্খল নাম হতে হবে, এবং ছাড়ুন একটি স্রাব মান।
ঠিক একই পরামিতি, অন্যান্য সার্কিট জন্য নির্ধারণ করা হয় উদাহরণস্বরূপ, Sudo iptables --policy আউটপুট ড্রপ। আপনাকে ট্রাফিক প্রাপ্তির একটি মান সেট করার প্রয়োজন হলে, তারপর ড্রপ পরিবর্তনগুলি স্বীকার করুন এবং এটি উবুন্টু --policy ইনপুট গ্রহণ iptables সক্রিয় আউট।
পোর্ট ঔজ্জ্বল্য এবং লক
যেহেতু আপনি জানেন, সমস্ত নেটওয়ার্ক অ্যাপ্লিকেশন এবং প্রসেস একটি নির্দিষ্ট পোর্টের মাধ্যমে কাজ করে। ব্লক করা বা নির্দিষ্ট ঠিকানায় সমাধানে করে, আপনি সমস্ত নেটওয়ার্ক উদ্দেশ্যে এক্সেস নজর রাখতে পারেন। একটি নতুন নিয়ম যোগ ইনপুট - এর - প্রস্তাবনা আসুন বন্দর এগিয়ে উদাহরণ 80. টার্মিনালে জন্য বিশ্লেষণ, এটা Sudo iptables -A ইনপুট -P বিভিন্ন TCP --DPort 80 -J স্বীকার করুন কমান্ড, যেখানে -a প্রবেশ করতে যথেষ্ট হবে চেন, -p - প্রোটোকল সংজ্ঞা এই ক্ষেত্রে, বিভিন্ন TCP, একটি --DPORT একটি গন্তব্য পোর্ট।
ঠিক একই কমান্ড এছাড়াও বন্দর 22, যা SSH পরিসেবা দ্বারা ব্যবহৃত হয় প্রযোজ্য: Sudo iptables -A ইনপুট -P বিভিন্ন TCP --DPORT 22 -J গ্রহণ করুন।
কোনো নির্দিষ্ট পোর্টের অবরুদ্ধ করতে চাইলে, স্ট্রিং শুধুমাত্র ড্রপ স্বীকার পরিবর্তন শেষে ঠিক একই ধরনের ব্যবহার করা হয়। ফলস্বরূপ, এটি সক্রিয় আউট, উদাহরণস্বরূপ, Sudo iptables -A ইনপুট -P বিভিন্ন TCP --DPORT 2450 -J ছাড়ুন।
এই সমস্ত নিয়ম কনফিগারেশন ফাইল প্রবেশ হয় এবং আপনি সেগুলি যে কোনো সময় দেখতে পারেন। আমরা আপনাকে মনে করিয়ে, এটা উবুন্টু iptables- র -l মাধ্যমে সম্পন্ন করা হয়। আপনি পোর্টের সাথে পোর্ট একসঙ্গে সঙ্গে একটি নেটওয়ার্ক IP ঠিকানা করার অনুমতি প্রয়োজন হয়, তাহলে স্ট্রিং সামান্য পরিবর্তিত হয় - পরে টিপিসি -s যোগ করা হয় এবং ঠিকানা নিজেই। Sudo -a ইনপুট iptables -p বিভিন্ন TCP -S 12.12.12.12/32 --DPORT 22 -J গ্রহণ, যেখানে 12.12.12.12/32 প্রয়োজনীয় আইপি ঠিকানা।
ব্লকিং শেষে ড্রপ উপর স্বীকার মান পরিবর্তন করে একই নীতির উপর ঘটে। তারপর এটি সক্রিয় আউট, উদাহরণস্বরূপ, Sudo -a ইনপুট -p বিভিন্ন TCP -S 12.12.12.0/224 --DPORT 22 -J ড্রপ iptables।
সরাসরি ICMP ব্লকিং
সরাসরি ICMP (ইন্টারনেট কন্ট্রোল মেসেজ প্রোটোকল) - একটি প্রোটোকল যা TCP / IP এর মধ্যে অন্তর্ভুক্ত করা হয় এবং যখন ট্রাফিক সঙ্গে কাজ ত্রুটির বার্তা এবং জরুরি অবস্থায় প্রেরণ সাথে জড়িত আছেন। উদাহরণস্বরূপ, যখন অনুরোধ সার্ভার উপলব্ধ নয়, এই টুল সঞ্চালিত সেবা ফাংশন। Iptables উপযোগ আপনি ফায়ারওয়াল মাধ্যমে এটি ব্লক করার অনুমতি দেয়, এবং আপনি এটা Sudo iptables -A আউটপুট -P সরাসরি ICMP --icmp-প্রকার 8 -J ড্রপ কমান্ড ব্যবহার করে করতে পারেন। এটা আপনার কাছ থেকে এবং আপনার সার্ভারে অনুরোধের অবরুদ্ধ করবে।
ইনকামিং অনুরোধ একটু ভিন্ন অবরুদ্ধ করা হয়েছে। তারপর আপনি Sudo iptables -আমি ইনপুট -P সরাসরি ICMP --icmp-প্রকার 8 -J ড্রপ লিখতে হবে। এই নিয়ম আর একটিভ করার পর সার্ভার পিং অনুরোধগুলির প্রতিক্রিয়া করা হবে না।
সার্ভারে অননুমোদিত কর্মের রোধ
কখনও কখনও সার্ভার DDoS আক্রমণ বা অপরাধীদের পক্ষ থেকে অন্যান্য অননুমোদিত কর্মের অধীনে আছে। ফায়ারওয়াল যথাযথ কনফিগারেশনের নিজেকে বিরতি ইনগুলি এই ধরনের থেকে রক্ষা করতে পারবেন। আরম্ভ করার জন্য, আমরা নিম্নলিখিত নিয়মগুলি সেট করতে সুপারিশ:
- বিহিত কনসোল -A ইনপুট iptables -p TCP --dport 80 -m সীমা --limit 20 / মিনিট --limit-ফেটে 100 গ্রহণ -J, যেখানে --limit 20 / মিনিট - ইতিবাচক ফল ফ্রিকোয়েন্সি উপর বিধিনিষেধ। পরিমাপের একক, আপনি আপনার নিজের, / দ্বিতীয়, / মিনিট, / ঘন্টা, / দিন নির্দিষ্ট করতে পারেন উদাহরণস্বরূপ। --limit-ফেটে নম্বর - বাদ প্যাকেট সংখ্যার উপর একটি সীমা। সমস্ত মান প্রশাসক পছন্দ স্বতন্ত্রভাবে সেট করা হয়।
- পরবর্তী, আপনি খোলা পোর্ট জন্য স্ক্যানিং অক্ষম করতে পারেন ক্রেকিং সম্ভাব্য কারণ এক মুছে ফেলার জন্য। প্রথম কমান্ড উবুন্টু লিখুন -n ব্লক-স্ক্যান iptables।
- তারপর উবুন্টু iptables- র -A ব্লক-স্ক্যান -p TCP -tcp-পতাকা SYN, সেটি হল ACK, ডানা, RST -m সীমা -limit 1 / সেকেন্ড -J প্রত্যাবর্তন নির্বাচন করুন।
- উবুন্টু iptables- র -A ব্লক-স্ক্যান -J ড্রপ করুন: দলের গত তৃতীয় ফর্ম হয়। অভিব্যক্তি ব্লক-স্ক্যান এই ক্ষেত্রে - নাম বর্তনী দ্বারা ব্যবহৃত।
শুধুমাত্র ফায়ারওয়াল ম্যানেজমেন্ট টুল সেটিংস বুনিয়াদি আজ দেখানো হয়। সরকারী ডকুমেন্টেশন টুল, আপনি সমস্ত উপলব্ধ আর্গুমেন্ট, এবং বিকল্প একটি বিবরণ খুঁজে পেতে এবং তাদের চাহিদা জন্য বিশেষভাবে ফায়ারওয়াল কনফিগার করতে সক্ষম হতে হবে। আমরা মান নিরাপত্তা বিধি, যা প্রায়শই ব্যবহার করা হয় এবং অধিকাংশ ক্ষেত্রে প্রয়োজন হয় উপরে বিবেচনা করেছেন।