Agordi Iptables en Centos 7

En ĉiuj operaciumoj bazitaj sur la Linuksa kerno, estas enmetita fajroŝirmilo, plenumante kontrolon kaj filtradon de alvenanta kaj eksiĝinta trafiko, bazita sur la reguloj specifitaj aŭ la platformo. En la Centos 7-distribuo, la iptable-utileco plenumas tian funkcion, interagante kun la enmetita netfiltra fajroŝirmilo. Foje la administranto de la sistemo aŭ ret-administranto devas agordi la funkciadon de ĉi tiu komponanto, preskribi la koncernajn regulojn. Kiel parto de la hodiaŭa artikolo, ni ŝatus paroli pri la bazaj elementoj de la konfiguracio iPtables en la supre menciita OS.

Agordi iptables en Centos 7

La ilo mem estas alirebla por labori tuj post la instalado de Centos 7 estas finita, sed plu bezonos instali iujn servojn, pri kiuj ni parolos. En la platformo sub konsidero estas alia enmetita ilo, kiu plenumas la firewall-funkcion nomitan Firewald. Por eviti konfliktojn, kun plia laboro, ni rekomendas malebligi ĉi tiun komponanton. Pligrandigitaj instrukcioj pri ĉi tiu temo legis en alia materialo pri la sekva ligilo.

Legu pli: Malebligu FireWalld en Centos 7

Kiel vi scias, la protokoloj IPv4 kaj IPv6 povas esti aplikitaj en la sistemo. Hodiaŭ ni temigos la ekzemplon de IPv4, sed se vi volas agordi por alia protokolo, vi bezonos anstataŭe de teamo. Iptables. En konzolo uzo IP6tables.

Instalado de iptables

I devus esti prioritato al la sistemo aldonaj komponantoj de la ilo sub konsidero hodiaŭ. Ili helpos agordi la regulojn kaj aliajn parametrojn. Ŝargado estas efektivigita de la oficiala deponejo, do ĝi ne bezonas multan tempon.

Ĉiuj pliaj agoj estos faritaj en la klasika konzolo, do kuru ĝin per iu konvena metodo.

Komenci la terminalon por agordi la iptable-utilecon en Centos 7

La Sudo Yum Instali Iptables-Services Command respondecas pri instalado de la servoj. Enigu ĝin kaj premu la enigan ŝlosilon.

Konfirmu la konton de Superuzanto per specifado de la pasvorto de ĝi. Bonvolu noti, ke kiam demandoj sudo, la enmetitaj karakteroj en la vico neniam aperas.

Enigu la pasvorton por instali iptables en Centos 7 tra la terminalo

I estos proponita aldoni unu pakon al la sistemo, konfirmu ĉi tiun agon elektante la Y-version.

Konfirmo aldoni novajn iptables-servajn pakaĵojn en Centos 7

Post kompletigo de la instalado, kontrolu la aktualan version de la ilo: sudo iptables - Aporado.

Kontrolante la version de la iptable-utileco en Centos 7 tra la terminalo

La rezulto aperos en la nova ŝnuro.

Montrante la aktualan version de la iptable-utileco en Centos 7 tra la terminalo

Nun la OS estas plene preta por la plia agordo de la fajroŝirmilo tra la iptable-utileco. Ni sugestas konatiĝi kun la agordo pri aĵoj, komencante per administraj servoj.

Halti kaj lanĉi servojn iptables

Mode-administrado de iptables necesas en kazoj, kie vi bezonas kontroli la agadon de certaj reguloj aŭ simple rekomenci la komponanton. Ĉi tio estas farita per enigita komandoj.

Enigu la Sudo-Servon Iptables Halti kaj alklaku la Eniga Ŝlosilo por halti la servojn.

Ĉesigante servojn de iptables it en Centos 7 tra la terminalo

Por konfirmi ĉi tiun procedon, specifi la superus-pasvorton.

Pasvorto enigo por halti iptables-servilojn en Centos 7

Se la procezo sukcesas, nova ŝnuro montriĝos, indikante ŝanĝojn en la agorda dosiero.

Sciigo pri halto de servaĵoj iptables en Centos 7

La lanĉo de la servoj estas plenumita preskaŭ sammaniere, nur la linio akiras la Sudo-servon iptables Start View.

Kuru iptables servilojn servoj en Centos 7 en terminalo

Simila reboot, ekde aŭ halti la utilecon disponeblas iam ajn, ne forgesu nur redoni la inversan valoron kiam ĝi estos postulata.

Rigardu kaj forigu regulojn

Kiel menciite pli frue, la kontrolo de la fajroŝirmilo estas farita per manlibro aŭ aŭtomate aldonante regulojn. Ekzemple, iuj pliaj aplikoj povas aliri la ilon, ŝanĝante iujn politikojn. Tamen, plej multaj tiaj agoj estas ankoraŭ faritaj permane. Vidante liston de ĉiuj aktualaj reguloj disponeblas per la komando sudo iptable -l.

Montri liston de ĉiuj aktualaj iptables-utilaj reguloj en Centos 7

En la montrata rezulto estos informoj pri tri ĉenoj: "enigo", "eligo" kaj "antaŭen" - alvenanta, eksiĝinta kaj plusenda trafiko, respektive.

Vido de la listo de ĉiuj reguloj iptables en Centos 7

Vi povas difini la staton de ĉiuj ĉenoj enirantaj sudo-iptables -s.

Montrante la liston de la iptables-servilaj cirkvitoj en Centos 7

Se la reguloj vidataj ne kontentas pri vi, ili simple estas nur forigitaj. La tuta listo estas klarigita tiel: sudo iptables -f. Post aktivigo, la regulo estos forigita absolute por ĉiuj tri ĉenoj.

Klara listo de ĉiuj reguloj iptables utilecoj en Centos 7

Kiam vi devas influi nur la politikojn de iu sola ĉeno, aldona argumento aldonas al la linio:

Sudo iptable -f enigo

Sudo iptable -f eligo

Sudo iptables -f antaŭen

Malplenigi la liston de reguloj por specifa iptable-ĉeno en Centos 7

La foresto de ĉiuj reguloj signifas, ke neniu trafika filtrado ne estas uzata en iu ajn parto. Poste, la sistemo-administranto sendepende specifigos novajn parametrojn per la sama konzolo, la komando kaj diversaj argumentoj.

Ricevanta kaj faligi trafikon en ĉenoj

Ĉiu ĉeno estas agordita aparte por ricevi aŭ bloki trafikon. Fiksante certan signifon, oni povas atingi tion, ekzemple, ĉiu venonta trafiko estos blokita. Por fari ĉi tion, la komando devas esti sudo iptables --policy enigo guto, kie enigo estas la nomo de la ĉeno, kaj guto estas malŝarĝo valoro.

Restarigi alvenantajn demandojn en la iptable-utileco en Centos 7

Precize la samaj parametroj estas fiksitaj por aliaj cirkvitoj, ekzemple, sudo iptables --policy eligo guto. Se vi bezonas agordi valoron por ricevi trafikon, tiam la guto ŝanĝas akcepti kaj rezultas sudo iptables --policy enigo akcepti.

Havena rezolucio kaj ŝlosilo

Kiel vi scias, ĉiuj retaj aplikoj kaj procezoj laboras tra certa haveno. Per blokado aŭ solvo de iuj adresoj, vi povas kontroli aliron de ĉiuj retaj celoj. Ni analizu la havenon antaŭen ekzemple 80. En la terminalo, ĝi sufiĉos por eniri la sudo-iptables -a enigo -p tcp - aport 80 -j akcepti komandon, kie -a - aldonante novan regulon, enigo - sugesto de La ĉeno, -P - protokolo-difino en ĉi tiu kazo, TCP, - --Dport estas destina haveno.

Regulo por malfermo de Haveno 80 en la iptable-utilo en Centos 7

Precize la sama komando ankaŭ validas por Port 22, kiu estas uzata de la SSH-servo: sudo-iptables -a enigo -p tcp - aport 22 -j akceptas.

Regulo por malfermo de Haveno 22 en iptable-utileco en Centos 7

Por bloki la specifitan havenon, la ŝnuro estas uzata precize la saman tipon, nur ĉe la fino de la akcepti ŝanĝojn por faligi. Rezulte, ĝi rezultas, ekzemple, sudo-iptables -a enigo -p tcp - aport 2450 -j guto.

Regulo por Port-malpermeso en iptable-utilo en Centos 7

Ĉiuj ĉi tiuj reguloj estas enmetitaj en la agordan dosieron kaj vi povas vidi ilin iam ajn. Ni memorigas vin, ĝi estas farita per sudo-iptables -l. Se vi bezonas permesi retan IP-adreson kun la haveno kune kun la haveno, la ŝnuro estas iomete modifita - post kiam TPC estas aldonita kaj la adreso mem. Sudo iptables -a enigo -p tcp -s 12.12.12.12/32 - Porport 22 -j akceptas, kie 12.12.12.12/32 estas la necesa IP-adreso.

Regulo por akcepti IP-adresojn kaj havenon en iptables en Centos 7

Blokado okazas sur la sama principo ŝanĝante la finon de akcepto sur la guto. Tiam ĝi rezultas, ekzemple, sudo iptables -a enigo -p tcp -s 12.12.12.0/224 - Porporti 22 -j guto.

Regulo por bloki IP-adresojn kaj havenon en iptables en Centos 7

ICMP-blokado

ICMP (Interreta Kontrola Mesaĝa Protokolo) - Protokolo inkluzivita en TCP / IP kaj estas implikita en transdoni erarajn mesaĝojn kaj krizajn situaciojn dum laborado kun trafiko. Ekzemple, kiam la petita servilo ne haveblas, ĉi tiu ilo plenumas servajn funkciojn. La iptables-utilo permesas vin bloki ĝin tra la fajroŝirmilo, kaj vi povas fari ĝin per la sudo-iptables -a eligo -P ICMP -CMP-TIPE 8 -J DROP-komando. I blokos petojn de via kaj al via servilo.

La unua regulo por bloki la iptables ŝtopante en Centos 7

Alvenantaj petoj estas blokitaj iomete malsamaj. Tiam vi devas eniri la sudo-iptables -i enigo -P icmp -icmp-tipo 8 -j guto. Post aktivigi ĉi tiujn regulojn, la servilo ne respondos al Ping-petoj.

La dua regulo por ŝlosi la ŝtopilon en iptables en Centos 7

Malhelpi neaŭtorizitajn agojn sur la servilo

Foje serviloj estas submetitaj al DDoS-atakoj aŭ aliaj neaŭtorizitaj agoj de entruduloj. La ĝusta alĝustigo de la fajroŝirmilo permesos al vi protekti vin de ĉi tiu speco de piratado. Komence, ni rekomendas agordi tiajn regulojn:

Ni skribas en la iptables -a enigo -P-TCP -PPORT 80 -m-limo --limit 20 / minuto --Limit-Burst 100 -j akceptas, kie --limit 20 / minuto estas limo sur la frekvenco de pozitivaj rezultoj . Vi povas specifi unuo de mezurado, ekzemple, / dua, / minuto, / horo, / tago. - limigi-eksploda nombro - limo pri la nombro de mankantaj pakoj. Ĉiuj valoroj estas elmontritaj individue laŭ la administrantaj preferoj.

Sekureca regulo de DDoS en iptables en Centos 7

Poste, vi povas malpermesi la skanadon de malfermaj havenoj por forigi unu el la eblaj kaŭzoj de piratado. Enigu la Unuan Sudo-Iptable-komandon.

La unua regulo por malpermesi havenojn iptables en Centos 7

Tiam specifu la sudo-iptables -a bloko-scan -p tcp -tcp-flags syn, ack, fin, unua -m limo -Limit 1 / s -j revenas.

La dua regulo por malpermesi havenojn iptables en Centos 7

La lasta tria komando estas: sudo iptables -Al Block-scan -J-guto. Esprimo de blok-skanado en ĉi tiuj kazoj - la nomo de la cirkvito uzata.

La tria regulo por bloki la skanan havenon de iptables en Centos 7

La agordoj hodiaŭ montritaj estas nur la bazo por la laboro en la kontrola instrumento de la fajroŝirmilo. En la oficiala dokumentado de la ilo vi trovos priskribon de ĉiuj disponeblaj argumentoj kaj opcioj kaj vi povas agordi la fajroŝirmilon specife sub viaj petoj. Super la normaj sekurecaj reguloj, kiuj plej ofte aplikas kaj plej ofte necesas.