Ym mhob system weithredu yn seiliedig ar y cnewyllyn Linux, mae wal dân wedi'i hadeiladu i mewn, rheoli a hidlo traffig sy'n dod i mewn ac allan, yn seiliedig ar y rheolau a bennir neu'r llwyfan. Yn y dosbarthiad centos 7, mae'r cyfleustodau ipables yn perfformio swyddogaeth o'r fath, yn rhyngweithio â'r wal dân netfilter adeiledig. Weithiau mae'n rhaid i'r gweinyddwr system neu'r rheolwr rhwydwaith ffurfweddu gweithrediad y gydran hon, rhagnodi'r rheolau perthnasol. Fel rhan o erthygl heddiw, hoffem siarad am hanfodion cyfluniad Iptables yn yr OS uchod.
Ffurfweddu ipables yn Centas 7
Mae'r offeryn ei hun yn hygyrch i weithio yn syth ar ôl gosod CentaS 7 yn cael ei gwblhau, ond bydd angen i osod rhai gwasanaethau, y byddwn yn siarad amdanynt. Yn y llwyfan dan ystyriaeth mae offeryn adeiledig arall sy'n perfformio'r swyddogaeth wal dân o'r enw Firewalld. Er mwyn osgoi gwrthdaro, gyda gwaith pellach, rydym yn argymell yn anabl yr elfen hon. Cyfarwyddiadau estynedig ar y pwnc hwn Darllenwch mewn deunydd arall ar y ddolen ganlynol.Darllenwch fwy: Analluogi Firywalld yn Centos 7
Fel y gwyddoch, gellir cymhwyso'r protocolau IPV4 a'r IPV6 yn y system. Heddiw byddwn yn canolbwyntio ar yr enghraifft IPV4, ond os ydych am ffurfweddu ar gyfer protocol arall, bydd angen i chi yn hytrach na thîm. Ipables. Mewn defnydd consol Ip6tables.
Gosod Iptables
Dylai fod yn flaenoriaeth i'r system elfennau ychwanegol o'r cyfleustodau dan ystyriaeth heddiw. Byddant yn helpu i osod y rheolau a pharamedrau eraill. Mae llwytho yn cael ei wneud o'r ystorfa swyddogol, felly nid yw'n cymryd llawer o amser.
- Bydd yr holl gamau gweithredu pellach yn cael eu gwneud yn y consol clasurol, felly rhowch ef yn ôl unrhyw ddull cyfleus.
- Mae'r Sudo Yum yn Gosod Gorchymyn Iptables-Wasanaethau yn gyfrifol am osod y gwasanaethau. Ewch i mewn a phwyswch yr allwedd Enter.
- Cadarnhewch y cyfrif Superuser trwy nodi'r cyfrinair ohono. Nodwch pan fydd ymholiadau sudo, y cymeriadau a gofnodwyd yn y rhes byth yn cael eu harddangos.
- Bwriedir ychwanegu un pecyn at y system, cadarnhau'r weithred hon trwy ddewis y fersiwn Y.
- Ar ôl cwblhau'r gosodiad, gwiriwch fersiwn cyfredol yr offeryn: sudo ipables --version.
- Bydd y canlyniad yn ymddangos yn y llinyn newydd.
Nawr mae'r OS yn gwbl barod ar gyfer cyfluniad pellach y wal dân drwy'r cyfleustodau ipables. Rydym yn awgrymu ymgyfarwyddo'ch hun gyda'r cyfluniad ar eitemau, gan ddechrau gyda rheoli gwasanaethau.
Stopio a lansio gwasanaethau iptables
Mae angen rheoli modd Iptables mewn achosion lle mae angen i chi wirio gweithrediadau penodol neu ailgychwyn y gydran. Gwneir hyn gan ddefnyddio gorchmynion gwreiddio.
- Rhowch y Gwasanaeth Sudo Iptables stopio a chlicio ar yr allwedd Enter i atal y gwasanaethau.
- I gadarnhau'r weithdrefn hon, nodwch y cyfrinair Superuser.
- Os yw'r broses yn llwyddiannus, bydd llinyn newydd yn cael ei arddangos, gan nodi newidiadau yn y ffeil cyfluniad.
- Mae lansiad y gwasanaethau yn cael ei berfformio bron yr un ffordd, dim ond y llinell sy'n caffael gwasanaeth Sudo Iptables Start View.
Mae ailgychwyn tebyg, gan ddechrau neu stopio'r cyfleustodau ar gael ar unrhyw adeg, peidiwch ag anghofio dim ond i ddychwelyd y gwerth cefn pan fydd yn y galw.
Gweld a Dileu Rheolau
Fel y soniwyd yn gynharach, mae rheolaeth y wal dân yn cael ei pherfformio trwy lawlyfr neu ychwanegu rheolau yn awtomatig. Er enghraifft, gall rhai ceisiadau ychwanegol gael mynediad i'r offeryn, gan newid rhai polisïau. Fodd bynnag, mae'r rhan fwyaf o gamau o'r fath yn dal i gael eu gwneud â llaw. Mae gwylio rhestr o'r holl reolau cyfredol ar gael drwy'r gorchymyn sudo ipables -l.
Yn y canlyniad a ddangosir, bydd gwybodaeth am dri chadwyn: "Mewnbwn", "Allbwn" a "Ymlaen" - traffig sy'n dod i mewn, sy'n mynd allan ac yn anfon ymlaen, yn y drefn honno.
Gallwch ddiffinio statws yr holl gadwyni trwy fynd i mewn i sudo iptables -s.
Os nad yw'r rheolau a welir yn fodlon â chi, dim ond eu dileu. Mae'r rhestr gyfan yn cael ei chlirio fel hyn: sudo iptables -f. Ar ôl actifadu, bydd y rheol yn cael ei ddileu yn llwyr ar gyfer y tri chadwyn.
Pan fydd angen i chi effeithio ar dim ond y polisïau o rai cadwyn sengl, mae dadl ychwanegol yn cael ei hychwanegu at y llinell:
Sudo i iptables -f mewnbwn
Allbwn Sudo Iptables -F
Sudo iptables -f ymlaen
Mae absenoldeb pob rheol yn golygu na ddefnyddir unrhyw leoliadau hidlo traffig mewn unrhyw ran. Nesaf, bydd gweinyddwr y system yn nodi paramedrau newydd yn annibynnol gan ddefnyddio'r un consol, y gorchymyn a gwahanol ddadleuon.
Derbyn a gollwng traffig mewn cadwyni
Mae pob gadwyn wedi'i ffurfweddu ar wahân ar gyfer derbyn neu flocio traffig. Trwy osod ystyr penodol, gellir ei gyflawni, er enghraifft, bydd pob traffig sy'n dod i mewn yn cael ei rwystro. I wneud hyn, rhaid i'r gorchymyn fod yn sudo iptables --policy mewnbwn cwymp, lle mae mewnbwn yn enw'r gadwyn, ac mae gostyngiad yn werth rhyddhau.
Gosodir yr un paramedrau yn union ar gyfer cylchedau eraill, er enghraifft, Sudo Iptables - Gostyngiad AllbwnPolicy. Os oes angen i chi osod gwerth i dderbyn traffig, yna mae'r gostyngiad yn y newidiadau ar dderbyn ac mae'n troi allan sudo iptables --policy mewnbwn derbyn.
Penderfyniad Port a Lock
Fel y gwyddoch, mae pob cais a phroses rhwydwaith yn gweithio trwy borthladd penodol. Drwy flocio neu ddatrys rhai cyfeiriadau, gallwch fonitro mynediad i bob diben y rhwydwaith. Gadewch i ni ddadansoddi'r porthladd ymlaen er enghraifft 80. Yn y derfynell, bydd yn ddigon i fynd i mewn i'r sudo Iptables -a -A TCP - ADPP 80 -J Derbyn Ardal Reoli, lle -a - ychwanegu rheol newydd, mewnbwn - awgrym - awgrym o Mae'r gadwyn, -p - diffiniad protocol yn yr achos hwn, TCP, a - yn borthladd cyrchfan.
Yn union yr un gorchymyn hefyd yn berthnasol i Port 22, sy'n cael ei ddefnyddio gan y gwasanaeth SSH: Sudo Iptables -a -A -P TCP -DPORT 22 -J Derbyn.
I rwystro'r porthladd penodedig, defnyddir y llinyn yn union yr un fath, dim ond ar ddiwedd y newidiadau sy'n derbyn i alw heibio. O ganlyniad, mae'n ymddangos, er enghraifft, yn sudo iptables -a -p TCP -DPORT 2450 -J gostyngiad.
Mae'r holl reolau hyn yn cael eu cofnodi yn y ffeil cyfluniad a gallwch eu gweld ar unrhyw adeg. Rydym yn eich atgoffa, mae'n cael ei wneud trwy sudo iptables -l. Os oes angen i chi ganiatáu cyfeiriad IP rhwydwaith gyda'r porthladd ynghyd â'r porthladd, mae'r llinyn wedi'i addasu ychydig - ar ôl i TPC gael ei ychwanegu a'i gyfeiriad ei hun. Sudo Iptables -Abwn -A -P TCP -s 12.12.12.12/32 --Dport 22 -J Derbyn, lle 12.12.12.12/32 yw'r cyfeiriad IP angenrheidiol.
Mae blocio yn digwydd ar yr un egwyddor trwy newid ar y diwedd y gwerth derbyn ar y gostyngiad. Yna mae'n ymddangos, er enghraifft, sudo iptables -a -A -P TCP -s 12.12.12.0/224 --Dport 22 -J gostyngiad.
Blocio ICMP
ICMP (Protocol Negeseuon Rheoli Rhyngrwyd) - Protocol sydd wedi'i gynnwys yn TCP / IP ac mae'n ymwneud â throsglwyddo negeseuon gwallau a sefyllfaoedd brys wrth weithio gyda thraffig. Er enghraifft, pan nad yw'r gweinydd y gofynnwyd amdano ar gael, mae'r offeryn hwn yn cyflawni swyddogaethau gwasanaeth. Mae'r cyfleustodau Iptables yn eich galluogi i flocio drwy'r wal dân, a gallwch ei wneud yn defnyddio'r sudo iptables -a allbwn -A iChpmp - Math o fath 8 -J gorchymyn gollwng. Bydd yn rhwystro ceisiadau o'ch gweinydd a'ch gweinydd.
Mae ceisiadau sy'n dod i mewn yn cael eu rhwystro ychydig yn wahanol. Yna mae angen i chi fynd i mewn i'r sudo Iptables -i -i -M -P ICMP - Math o fath 8 -J cwymp. Ar ôl actifadu'r rheolau hyn, ni fydd y gweinydd yn ymateb i geisiadau Ping.
Atal gweithredoedd anawdurdodedig ar y gweinydd
Weithiau mae gweinyddwyr yn destun ymosodiadau DDOS neu weithredoedd anawdurdodedig eraill o dresbaswyr. Bydd addasiad cywir y wal dân yn eich galluogi i amddiffyn eich hun o'r math hwn o hacio. I ddechrau, rydym yn argymell gosod rheolau o'r fath:
- Rydym yn ysgrifennu yn y Iptables -A mewnbwn -P TCP - BRYDNEGION 80 -MIT (COFNODIFIT -Llimit - Bubstit-100 -J Derbyn, lle mae - limitit 20 / munud yn gyfyngiad ar amlder y canlyniadau cadarnhaol . Gallwch nodi uned fesur eich hun, er enghraifft, / ail, / munud, / awr, / diwrnod. - RHIF BUMBITIT-BUMP - Terfyn ar nifer y pecynnau coll. Mae'r holl werthoedd yn cael eu harddangos yn unigol yn ôl dewisiadau'r gweinyddwr.
- Nesaf, gallwch wahardd sganio porthladdoedd agored i gael gwared ar un o achosion posibl hacio. Rhowch y sudo cyntaf iptables -no gorchymyn bloc-sgan.
- Yna nodwch y sudo iptables -a bloc-sgan -p TCP -tcp-baneri Syn, ACK, FIN, YMLAEN -M -MLl -Llimit 1 / S -J Dychwelyd.
- Y trydydd gorchymyn olaf yw: sudo iptables -a-sgan-sgan -j. Mynegiant bloc-sgan yn yr achosion hyn - enw'r gylched a ddefnyddiwyd.
Y gosodiadau a ddangosir heddiw yw'r sail ar gyfer y gwaith yn offeryn rheoli y wal dân yn unig. Yn nogfennaeth swyddogol y cyfleustodau fe welwch ddisgrifiad o'r holl ddadleuon ac opsiynau sydd ar gael a gallwch ffurfweddu'r wal dân yn benodol o dan eich ceisiadau. Yn uwch na'r rheolau diogelwch safonol, sydd wedi'u cymhwyso amlaf ac yn y rhan fwyaf o achosion mae angen.