In allen Betriebssystemen, die auf dem Linux-Kernel basieren, gibt es eine eingebaute Firewall, die die Steuerung und Filterung des ankommenden und ausgehenden Datenverkehrs basiert, basierend auf den angegebenen Regeln oder der Plattform. In der Distribution CentOS 7 führt das UPTABLE-Dienstprogramm eine solche Funktion aus und interagiert mit der integrierten NetFilter-Firewall. Manchmal muss der Systemadministrator oder der Netzwerkmanager den Betrieb dieser Komponente konfigurieren, die die relevanten Regeln vorschrieben. Im Rahmen des heutigen Artikels möchten wir über die Grundlagen der iptabligen Konfiguration in dem oben genannten Betriebssystem sprechen.
Konfigurieren Sie iptables in CentOS 7
Das Werkzeug selbst ist unmittelbar nach der Installation von Centos 7 zugänglich, um die Installation von Centos 7 abzuschließen, muss jedoch weitere Dienste installieren, über die wir sprechen werden. In der unter Berücksichtigung der Plattform gibt es ein anderes integriertes Tool, das die Firewall-Funktion namens Firewalld ausführt. Um Konflikte zu vermeiden, empfehlen wir mit weiterer Arbeiten diese Komponente. Erweiterte Anweisungen zu diesem Thema lesen in einem anderen Material auf dem folgenden Link.Lesen Sie mehr: Deaktivieren Sie Firewalld in CentOS 7
Wie Sie wissen, können die IPv4- und IPv6-Protokolle im System angewendet werden. Heute konzentrieren wir uns auf das IPv4-Beispiel, aber wenn Sie sich für ein anderes Protokoll konfigurieren möchten, benötigen Sie anstelle eines Teams. Iptables. in der Konsolenverwendung. IP6Tables..
Iptables installieren.
Es sollte ein Priorität des Systems zusätzliche Bestandteile des von heute unter Berücksichtigung des Nutzens sein. Sie helfen bei der Festlegung der Regeln und anderer Parameter. Das Laden erfolgt aus dem offiziellen Repository, daher dauert es nicht viel Zeit.
- Alle weiteren Aktionen werden in der klassischen Konsole vorgenommen, also führen Sie sie mit jeder bequemen Methode aus.
- Der Befehl sudo yum install iptables-services ist für die Installation der Dienste verantwortlich. Geben Sie es ein und drücken Sie die Eingabetaste.
- Bestätigen Sie das Superuser-Konto, indem Sie das Kennwort davon angeben. Bitte beachten Sie, dass beim Abfragen SUDO die eingegebenen Zeichen in der Zeile niemals angezeigt werden.
- Es wird vorgeschlagen, das System ein Paket hinzuzufügen, diese Aktion bestätigen, indem Sie die Y-Version auswählen.
- Überprüfen Sie nach Abschluss der Installation die aktuelle Version des Tools: Sudo Iptables --Version.
- Das Ergebnis erscheint in der neuen Zeichenfolge.
Nun ist das Betriebssystem für die weitere Konfiguration der Firewall durch das Dienstprogramm iptables vollständig bereit. Wir empfehlen, sich mit der Konfiguration der Elemente mit den Geschäftsdienstleistungen vertraut zu machen.
Halten und Start von Iptables Services
In den Fällen, in denen Sie die Aktion bestimmter Regeln prüfen müssen, müssen Sie die Komponente erfordern, in denen Sie die Aktion bestimmter Regeln überprüfen müssen oder einfach neu starten müssen. Dies erfolgt mit eingebetteten Befehlen.
- Geben Sie den Sudo Service Iptables auf, und klicken Sie auf die Eingabetaste, um die Dienste zu stoppen.
- Geben Sie zum Bestätigen dieses Verfahrens das Superuser-Kennwort an.
- Wenn der Prozess erfolgreich ist, wird eine neue Zeichenfolge angezeigt, die Änderungen in der Konfigurationsdatei angibt.
- Der Start der Dienste wird fast auf dieselbe Weise durchgeführt, nur die Linie erwirbt den Sudo Service Iptables Startansicht.
Ein ähnlicher Neustart, Starten oder Anhalten des Dienstprogramms ist jederzeit verfügbar, vergessen Sie nicht, den umgekehrten Wert nicht zurückzusetzen, wenn er gefragt wird.
Regeln anzeigen und löschen
Wie bereits erwähnt, wird die Steuerung der Firewall mit den manuellen oder automatischen Hinzufügen von Regeln durchgeführt. Beispielsweise können einige zusätzliche Anwendungen auf das Tool zugreifen, um bestimmte Richtlinien zu ändern. Die meisten solchen Aktionen werden jedoch immer noch manuell durchgeführt. Anzeigen einer Liste aller aktuellen Regeln finden Sie über den Befehl sudo iptables -l.
Bei dem angezeigten Ergebnis gibt es Informationen zu drei Ketten: "Input", "Ausgabe" und "Vorwärts" - eingehender, ausgehender und Weiterleitungsverkehr.
Sie können den Status aller Ketten durch Eingabe von Sudo Iptables -s definieren.
Wenn die Regeln nicht mit Ihnen zufrieden sind, werden sie einfach nur gelöscht. Die gesamte Liste wird so gelöscht: Sudo iptables -f. Nach der Aktivierung wird die Regel für alle drei Ketten absolut gelöscht.
Wenn Sie nur die Richtlinien von einer einzelnen Kette auswirken müssen, wird der Zeile ein zusätzliches Argument hinzugefügt:
Sudo iptables -f Input
Sudo iptables -f-Ausgang
Sudo iptables -f vorwärts
Das Fehlen aller Regeln bedeutet, dass in keinem Teil keine Verkehrsfiltereinstellungen verwendet werden. Als nächstes wird der Systemadministrator unabhängig voneinander neue Parameter mit derselben Konsole, dem Befehl und verschiedenen Argumenten angeben.
Verkehr in Ketten empfangen und fallen lassen
Jede Kette ist separat für den Empfang oder Blockieren des Verkehrs konfiguriert. Durch die Einstellung einer bestimmten Bedeutung kann erreicht werden, dass zum Beispiel alle eingehenden Datenverkehrs blockiert werden. Dazu muss der Befehl sudo iptables --policy-Eingangstropfen sein, wobei der Eingang der Name der Kette ist, und der Tropfen ist ein Entladewert.
Genau die gleichen Parameter sind für andere Schaltungen eingestellt, beispielsweise sudo iptables --policer-Ausgangsabfall. Wenn Sie einen Wert auf den Empfang von Traffic einstellen müssen, ändert sich der Drop-Änderungen an der Annahme und erstellt den Sudo Iptables --Policy Input akzeptieren.
Anschlussauflösung und -sperre
Wie Sie wissen, arbeiten alle Netzwerkanwendungen und Prozesse durch einen bestimmten Port. Durch das Blockieren oder Auflösen bestimmter Adressen können Sie den Zugriff auf alle Netzwerkzwecke überwachen. Lassen Sie uns den Port für Beispiel 80 analysieren. In dem Terminal reicht es aus, dass der Sudo Iptables -a-Eingang -P TCP -DPort 80 -j akzeptiert ist Die Chain-, -p-Protokolldefinition in diesem Fall ist TCP, A --DPort ein Zielport.
Genau derselbe Befehl gilt auch für den Port 22, der vom SSH-Dienst verwendet wird: Sudo Iptables -a Input -P TCP --dport 22 -j akzeptieren.
Um den angegebenen Port zu blockieren, wird die Zeichenfolge genau denselben Typ verwendet, nur am Ende der Akzeptieränderungen zum Ablegen. Infolgedessen erscheint es beispielsweise, beispielsweise Sudo Iptables -a-Eingang -P TCP --DPort 2450-JOP.
Alle diese Regeln werden in die Konfigurationsdatei eingegeben, und Sie können sie jederzeit anzeigen. Wir erinnern Sie daran, es erfolgt durch Sudo Iptables -l. Wenn Sie eine Netzwerk-IP-Adresse mit dem Port zusammen mit dem Anschluss zulassen müssen, ist die Zeichenfolge leicht modifiziert - nachdem TPC hinzugefügt wird - S. und die Adresse selbst. Sudo iptables -a Input -P TCP -S 12.12.12.12/32 --dport 22 -j akzeptieren, wobei 12.12.12.12/32 die notwendige IP-Adresse ist.
Die Blockierung erfolgt auf demselben Prinzip, indem Sie sich am Ende den Wert des Akzeptierens des Tropfens ändern. Dann stellt sich heraus, z. B. Sudo Iptables -a-Eingang -P TCP -S 12.12.12.0/224 --dport 22 -j Tropfen.
ICMP-Blockierung.
ICMP (Internet Control Message Protocol) - ein Protokoll, das in TCP / IP enthalten ist und bei der Arbeit mit dem Datenverkehr bei der Übertragung von Fehlermeldungen und Notfallsituationen beteiligt ist. Wenn der angeforderte Server beispielsweise nicht verfügbar ist, führt dieses Tool Dienstfunktionen aus. Mit dem IPTABLE-Dienstprogramm können Sie es über die Firewall blockieren, und Sie können es mit dem Sudo Iptables -a-AUTION -P ICMP --icmp-8 -j Drop-Befehl herstellen. Es wird Anfragen von Ihrem und an Ihren Server blockieren.
Incoming-Anforderungen sind ein wenig anders gesperrt. Dann müssen Sie den Sudo Iptables -I-Eingang -P-ICMP -ICMP-8 -j-Drop eingeben. Nach der Aktivierung dieser Regeln reagiert der Server nicht auf Ping-Anforderungen.
Verhindern Sie unbefugte Aktionen auf dem Server
Manchmal werden Server DDOs-Angriffe oder andere nicht autorisierte Aktionen von Eindringlingen unterzogen. Die korrekte Anpassung der Firewall ermöglicht es Ihnen, sich vor dieser Art von Hacking zu schützen. Um damit zu beginnen, empfehlen wir, solche Regeln festzulegen:
- Wir schreiben in den IPTSables -a-Eingang -P TCP --DPort 80 -m-Limit-Limit 20 / Minute - Limit-Burst 100 -j akzeptieren, wobei - limit 20 / min-Minute eine Grenze für die Häufigkeit positiver Ergebnisse ist . Sie können eine Messeinheit selbst angeben, z. B. / Sekunde, / Minute / Stunde, / Tag. - Limit-Burst-Nummer - Begrenzen Sie die Anzahl der fehlenden Pakete. Alle Werte werden individuell nach den Administratorpräferenzen ausgestellt.
- Als Nächstes können Sie das Scannen von offenen Ports verbieten, um eine der möglichen Ursachen des Hackings zu entfernen. Geben Sie den ersten Sudo Iptables -n Block-Scan-Befehl ein.
- Geben Sie dann den Sudo-IPTSLS-SY-SYD -P -P-TCP -TCP-Flags-SYN, ACK, FIN, RST -M-Limit -Limit 1 / s -j zurück.
- Der letzte dritte Befehl ist: sudo iptables -a block-scan -j falls. Block-Scan-Expression in diesen Fällen - Der Name der verwendeten Rufkreifer.
Die heute angegebenen Einstellungen sind nur die Grundlage für die Arbeit im Kontrollinstrument der Firewall. In der offiziellen Dokumentation des Dienstprogramms finden Sie eine Beschreibung aller verfügbaren Argumente und Optionen und Sie können die Firewall spezifisch unter Ihren Anforderungen konfigurieren. Über den standardmäßigen Sicherheitsregeln, die meistens angewendet werden und in den meisten Fällen erforderlich sind.