En ĉiuj operaciumoj bazitaj sur la Linuksa kerno, estas enmetita fajroŝirmilo, plenumante kontrolon kaj filtradon de alvenanta kaj eksiĝinta trafiko, bazita sur la reguloj specifitaj aŭ la platformo. En la Centos 7-distribuo, la iptable-utileco plenumas tian funkcion, interagante kun la enmetita netfiltra fajroŝirmilo. Foje la administranto de la sistemo aŭ ret-administranto devas agordi la funkciadon de ĉi tiu komponanto, preskribi la koncernajn regulojn. Kiel parto de la hodiaŭa artikolo, ni ŝatus paroli pri la bazaj elementoj de la konfiguracio iPtables en la supre menciita OS.
Agordi iptables en Centos 7
La ilo mem estas alirebla por labori tuj post la instalado de Centos 7 estas finita, sed plu bezonos instali iujn servojn, pri kiuj ni parolos. En la platformo sub konsidero estas alia enmetita ilo, kiu plenumas la firewall-funkcion nomitan Firewald. Por eviti konfliktojn, kun plia laboro, ni rekomendas malebligi ĉi tiun komponanton. Pligrandigitaj instrukcioj pri ĉi tiu temo legis en alia materialo pri la sekva ligilo.Legu pli: Malebligu FireWalld en Centos 7
Kiel vi scias, la protokoloj IPv4 kaj IPv6 povas esti aplikitaj en la sistemo. Hodiaŭ ni temigos la ekzemplon de IPv4, sed se vi volas agordi por alia protokolo, vi bezonos anstataŭe de teamo. Iptables. En konzolo uzo IP6tables.
Instalado de iptables
I devus esti prioritato al la sistemo aldonaj komponantoj de la ilo sub konsidero hodiaŭ. Ili helpos agordi la regulojn kaj aliajn parametrojn. Ŝargado estas efektivigita de la oficiala deponejo, do ĝi ne bezonas multan tempon.
- Ĉiuj pliaj agoj estos faritaj en la klasika konzolo, do kuru ĝin per iu konvena metodo.
- La Sudo Yum Instali Iptables-Services Command respondecas pri instalado de la servoj. Enigu ĝin kaj premu la enigan ŝlosilon.
- Konfirmu la konton de Superuzanto per specifado de la pasvorto de ĝi. Bonvolu noti, ke kiam demandoj sudo, la enmetitaj karakteroj en la vico neniam aperas.
- I estos proponita aldoni unu pakon al la sistemo, konfirmu ĉi tiun agon elektante la Y-version.
- Post kompletigo de la instalado, kontrolu la aktualan version de la ilo: sudo iptables - Aporado.
- La rezulto aperos en la nova ŝnuro.
Nun la OS estas plene preta por la plia agordo de la fajroŝirmilo tra la iptable-utileco. Ni sugestas konatiĝi kun la agordo pri aĵoj, komencante per administraj servoj.
Halti kaj lanĉi servojn iptables
Mode-administrado de iptables necesas en kazoj, kie vi bezonas kontroli la agadon de certaj reguloj aŭ simple rekomenci la komponanton. Ĉi tio estas farita per enigita komandoj.
- Enigu la Sudo-Servon Iptables Halti kaj alklaku la Eniga Ŝlosilo por halti la servojn.
- Por konfirmi ĉi tiun procedon, specifi la superus-pasvorton.
- Se la procezo sukcesas, nova ŝnuro montriĝos, indikante ŝanĝojn en la agorda dosiero.
- La lanĉo de la servoj estas plenumita preskaŭ sammaniere, nur la linio akiras la Sudo-servon iptables Start View.
Simila reboot, ekde aŭ halti la utilecon disponeblas iam ajn, ne forgesu nur redoni la inversan valoron kiam ĝi estos postulata.
Rigardu kaj forigu regulojn
Kiel menciite pli frue, la kontrolo de la fajroŝirmilo estas farita per manlibro aŭ aŭtomate aldonante regulojn. Ekzemple, iuj pliaj aplikoj povas aliri la ilon, ŝanĝante iujn politikojn. Tamen, plej multaj tiaj agoj estas ankoraŭ faritaj permane. Vidante liston de ĉiuj aktualaj reguloj disponeblas per la komando sudo iptable -l.
En la montrata rezulto estos informoj pri tri ĉenoj: "enigo", "eligo" kaj "antaŭen" - alvenanta, eksiĝinta kaj plusenda trafiko, respektive.
Vi povas difini la staton de ĉiuj ĉenoj enirantaj sudo-iptables -s.
Se la reguloj vidataj ne kontentas pri vi, ili simple estas nur forigitaj. La tuta listo estas klarigita tiel: sudo iptables -f. Post aktivigo, la regulo estos forigita absolute por ĉiuj tri ĉenoj.
Kiam vi devas influi nur la politikojn de iu sola ĉeno, aldona argumento aldonas al la linio:
Sudo iptable -f enigo
Sudo iptable -f eligo
Sudo iptables -f antaŭen
La foresto de ĉiuj reguloj signifas, ke neniu trafika filtrado ne estas uzata en iu ajn parto. Poste, la sistemo-administranto sendepende specifigos novajn parametrojn per la sama konzolo, la komando kaj diversaj argumentoj.
Ricevanta kaj faligi trafikon en ĉenoj
Ĉiu ĉeno estas agordita aparte por ricevi aŭ bloki trafikon. Fiksante certan signifon, oni povas atingi tion, ekzemple, ĉiu venonta trafiko estos blokita. Por fari ĉi tion, la komando devas esti sudo iptables --policy enigo guto, kie enigo estas la nomo de la ĉeno, kaj guto estas malŝarĝo valoro.
Precize la samaj parametroj estas fiksitaj por aliaj cirkvitoj, ekzemple, sudo iptables --policy eligo guto. Se vi bezonas agordi valoron por ricevi trafikon, tiam la guto ŝanĝas akcepti kaj rezultas sudo iptables --policy enigo akcepti.
Havena rezolucio kaj ŝlosilo
Kiel vi scias, ĉiuj retaj aplikoj kaj procezoj laboras tra certa haveno. Per blokado aŭ solvo de iuj adresoj, vi povas kontroli aliron de ĉiuj retaj celoj. Ni analizu la havenon antaŭen ekzemple 80. En la terminalo, ĝi sufiĉos por eniri la sudo-iptables -a enigo -p tcp - aport 80 -j akcepti komandon, kie -a - aldonante novan regulon, enigo - sugesto de La ĉeno, -P - protokolo-difino en ĉi tiu kazo, TCP, - --Dport estas destina haveno.
Precize la sama komando ankaŭ validas por Port 22, kiu estas uzata de la SSH-servo: sudo-iptables -a enigo -p tcp - aport 22 -j akceptas.
Por bloki la specifitan havenon, la ŝnuro estas uzata precize la saman tipon, nur ĉe la fino de la akcepti ŝanĝojn por faligi. Rezulte, ĝi rezultas, ekzemple, sudo-iptables -a enigo -p tcp - aport 2450 -j guto.
Ĉiuj ĉi tiuj reguloj estas enmetitaj en la agordan dosieron kaj vi povas vidi ilin iam ajn. Ni memorigas vin, ĝi estas farita per sudo-iptables -l. Se vi bezonas permesi retan IP-adreson kun la haveno kune kun la haveno, la ŝnuro estas iomete modifita - post kiam TPC estas aldonita kaj la adreso mem. Sudo iptables -a enigo -p tcp -s 12.12.12.12/32 - Porport 22 -j akceptas, kie 12.12.12.12/32 estas la necesa IP-adreso.
Blokado okazas sur la sama principo ŝanĝante la finon de akcepto sur la guto. Tiam ĝi rezultas, ekzemple, sudo iptables -a enigo -p tcp -s 12.12.12.0/224 - Porporti 22 -j guto.
ICMP-blokado
ICMP (Interreta Kontrola Mesaĝa Protokolo) - Protokolo inkluzivita en TCP / IP kaj estas implikita en transdoni erarajn mesaĝojn kaj krizajn situaciojn dum laborado kun trafiko. Ekzemple, kiam la petita servilo ne haveblas, ĉi tiu ilo plenumas servajn funkciojn. La iptables-utilo permesas vin bloki ĝin tra la fajroŝirmilo, kaj vi povas fari ĝin per la sudo-iptables -a eligo -P ICMP -CMP-TIPE 8 -J DROP-komando. I blokos petojn de via kaj al via servilo.
Alvenantaj petoj estas blokitaj iomete malsamaj. Tiam vi devas eniri la sudo-iptables -i enigo -P icmp -icmp-tipo 8 -j guto. Post aktivigi ĉi tiujn regulojn, la servilo ne respondos al Ping-petoj.
Malhelpi neaŭtorizitajn agojn sur la servilo
Foje serviloj estas submetitaj al DDoS-atakoj aŭ aliaj neaŭtorizitaj agoj de entruduloj. La ĝusta alĝustigo de la fajroŝirmilo permesos al vi protekti vin de ĉi tiu speco de piratado. Komence, ni rekomendas agordi tiajn regulojn:
- Ni skribas en la iptables -a enigo -P-TCP -PPORT 80 -m-limo --limit 20 / minuto --Limit-Burst 100 -j akceptas, kie --limit 20 / minuto estas limo sur la frekvenco de pozitivaj rezultoj . Vi povas specifi unuo de mezurado, ekzemple, / dua, / minuto, / horo, / tago. - limigi-eksploda nombro - limo pri la nombro de mankantaj pakoj. Ĉiuj valoroj estas elmontritaj individue laŭ la administrantaj preferoj.
- Poste, vi povas malpermesi la skanadon de malfermaj havenoj por forigi unu el la eblaj kaŭzoj de piratado. Enigu la Unuan Sudo-Iptable-komandon.
- Tiam specifu la sudo-iptables -a bloko-scan -p tcp -tcp-flags syn, ack, fin, unua -m limo -Limit 1 / s -j revenas.
- La lasta tria komando estas: sudo iptables -Al Block-scan -J-guto. Esprimo de blok-skanado en ĉi tiuj kazoj - la nomo de la cirkvito uzata.
La agordoj hodiaŭ montritaj estas nur la bazo por la laboro en la kontrola instrumento de la fajroŝirmilo. En la oficiala dokumentado de la ilo vi trovos priskribon de ĉiuj disponeblaj argumentoj kaj opcioj kaj vi povas agordi la fajroŝirmilon specife sub viaj petoj. Super la normaj sekurecaj reguloj, kiuj plej ofte aplikas kaj plej ofte necesas.