En todos los sistemas operativos basados en el kernel de Linux, hay un firewall incorporado, realizando un control y filtrado de tráfico entrante y saliente, según las reglas especificadas o en la plataforma. En la distribución de Centros 7, la utilidad IPTables realiza tal función, interactuando con el firewall de NetFilter incorporado. A veces, el administrador del sistema o el administrador de red tienen que configurar el funcionamiento de este componente, prescribiendo las reglas relevantes. Como parte del artículo de hoy, nos gustaría hablar sobre los conceptos básicos de la configuración de IPTables en el sistema operativo mencionado anteriormente.
Configurar IPTables en Centlos 7
La herramienta en sí es accesible para trabajar inmediatamente después de que se complete la instalación de Centos 7, pero además deberá instalar algunos servicios, de los que hablaremos. En la plataforma en consideración, hay otra herramienta incorporada que realiza la función de firewall llamada Firewalld. Para evitar conflictos, con un trabajo adicional, recomendamos desactivar este componente. Instrucciones ampliadas sobre este tema Leer en otro material en el siguiente enlace.Leer más: Desactivar Firewalld en Centlos 7
Como usted sabe, los protocolos IPv4 y IPv6 se pueden aplicar en el sistema. Hoy nos centraremos en el ejemplo de IPv4, pero si desea configurar otro protocolo, necesitará en lugar de un equipo. Iptables en uso de la consola IP6 Tables.
Instalación de IPTables
Debe ser prioritario para los componentes adicionales del sistema de la utilidad en consideración hoy. Ayudarán a establecer las reglas y otros parámetros. La carga se realiza desde el repositorio oficial, por lo que no se necesita mucho tiempo.
- Todas las acciones posteriores se realizarán en la consola clásica, así que corre por cualquier método conveniente.
- El Sudo yum Instale IPTables-Services Command es responsable de la instalación de los servicios. Ingrese y presione la tecla ENTER.
- Confirme la cuenta del superusuario especificando la contraseña de ella. Tenga en cuenta que cuando se presionan sudo, los caracteres introducidos en la fila nunca se muestran.
- Se propondrá que agregue un paquete al sistema, confirme esta acción seleccionando la versión y.
- Al finalizar la instalación, verifique la versión actual de la herramienta: Sudo IPTables --version.
- El resultado aparecerá en la nueva cadena.
Ahora, el sistema operativo está completamente listo para la configuración adicional del firewall a través de la utilidad IPTables. Sugerimos familiarizarse con la configuración en artículos, comenzando con los servicios de administración.
Detener y lanzar servicios de IPTables.
Se requiere administración de modo IPTables en los casos en que necesite verificar la acción de ciertas reglas o simplemente reinicie el componente. Esto se hace utilizando comandos incrustados.
- Ingrese al Sudo Service IPTables Donte y haga clic en la tecla Intro para detener los servicios.
- Para confirmar este procedimiento, especifique la contraseña del superusuario.
- Si el proceso tiene éxito, se mostrará una nueva cadena, indicando cambios en el archivo de configuración.
- El lanzamiento de los servicios se realiza casi de la misma manera, solo la línea adquiere la vista de inicio de Sudo Sirve IPTables.
Un reinicio similar, iniciando o deteniendo la utilidad está disponible en cualquier momento, no olvide solo para devolver el valor inverso cuando estará en demanda.
Ver y eliminar reglas
Como se mencionó anteriormente, el control del firewall se realiza mediante reglas manuales o automáticamente. Por ejemplo, algunas aplicaciones adicionales pueden acceder a la herramienta, cambiando ciertas políticas. Sin embargo, la mayoría de estas acciones aún se realizan manualmente. La visualización de una lista de todas las reglas actuales está disponible a través del comando sudo iptables -l.
En el resultado mostrado, habrá información sobre tres cadenas: "Entrada", "Salida" y "Adelante": el tráfico entrante, saliente y reenvío, respectivamente.
Puede definir el estado de todas las cadenas ingresando a sudo IPTables -s.
Si las reglas vistas no están satisfechas contigo, simplemente simplemente se eliminan. Toda la lista se borra así: sudo iptables -f. Después de la activación, la regla se borrará absolutamente para las tres cadenas.
Cuando necesita afectar solo las políticas de alguna cadena única, se agrega un argumento adicional a la línea:
Sudo iptables -f entrada
Sudo iptables -f
Sudo iptables -f adelante
La ausencia de todas las reglas significa que no se usan configuraciones de filtrado de tráfico en ninguna parte. A continuación, el administrador del sistema especificará de forma independiente nuevos parámetros utilizando la misma consola, el comando y varios argumentos.
Recibiendo y dejando caer el tráfico en cadenas.
Cada cadena se configura por separado para recibir o bloquear el tráfico. Al establecer un cierto sentido, se puede lograr que, por ejemplo, se bloqueará todo el tráfico entrante. Para ello, el comando debe ser sudo iptables --policy entrada gota, donde la entrada es el nombre de la cadena, y la gota es un valor de descarga.
Exactamente los mismos parámetros se establecen para otros circuitos, por ejemplo, la salida Sudo iptables --policy gota. Si necesita establecer un valor a recibir tráfico, a continuación, los cambios de caída en Aceptar y resulta sudo iptables acepta la entrada --policy.
Resolución puerto y bloqueo
Como usted sabe, todas las aplicaciones y procesos de red funcionan a través de un puerto determinado. Al bloquear o resolver ciertas direcciones, puede controlar el acceso de todos los efectos de red. Vamos a analizar el puerto adelante para el ejemplo 80. En la terminal, que será suficiente para entrar en el -P TCP --dport 80 -j ACCEPT del sistema, donde -a ENTRADA Sudo iptables - añadir una nueva regla, la entrada - Consejo de la cadena, -p - definición del protocolo En este caso, TCP, a dport es un puerto de destino.
Exactamente el mismo comando también se aplica al puerto 22, que es utilizado por el servicio SSH: sudo iptables -P ENTRADA TCP --dport 22 -j ACCEPT.
Para bloquear el puerto especificado, la cadena se utiliza exactamente el mismo tipo, sólo al final de los acepta cambios gota. Como resultado de ello, resulta, por ejemplo, Sudo iptables -P ENTRADA TCP --dport 2450 -J DROP.
Todas estas normas se introducen en el archivo de configuración y se pueden ver en cualquier momento. Le recordamos, se realiza a través de sudo iptables -L. Si tiene que permitir que una dirección IP de red con el puerto junto con el puerto, la cadena se modifica ligeramente - TPC después se añade -s y la dirección de sí mismo. Sudo iptables -A INPUT -p TCP -S 12.12.12.12/32 dport 22 -J aceptar, en su 12.12.12.12/32 es la dirección IP necesaria.
El bloqueo se produce en el mismo principio mediante el cambio en el extremo el valor de Aceptar en la gota. Entonces resulta que, por ejemplo, Sudo iptables -p TCP de entrada -S 12.12.12.0/224 dport 22 -J DROP.
El bloqueo de ICMP
ICMP (Protocolo de mensajes de control de Internet) - un protocolo que se incluye en TCP / IP y está implicado en la transmisión de mensajes de error y las situaciones de emergencia cuando se trabaja con el tráfico. Por ejemplo, cuando el servidor solicitado no está disponible, esta herramienta realiza funciones de servicio. La utilidad IPTABLES le permite bloquear a través del cortafuegos, y se puede hacer usando el comando -P ICMP --icmp-8 Tipo -J caída de la producción Sudo iptables. Que bloqueará las peticiones de tu y a su servidor.
Las solicitudes entrantes se bloquean un poco diferente. Luego hay que entrar en el Sudo IPTABLES -I ENTRADA -P ICMP --icmp-8 Tipo -J gota. Después de la activación de estas reglas, el servidor no responderá a las solicitudes de ping.
Evitar acciones no autorizadas en el servidor.
A veces, los servidores están sujetos a ataques DDOS u otras acciones no autorizadas de intrusos. El ajuste correcto del firewall le permitirá protegerse de este tipo de piratería. Para empezar, recomendamos establecer tales reglas:
- Escribimos en el límite de IPTables -a inport -p -p TCP --DPort 80 -M - Limit 20 / Minutro - Limit-Burst 100 -J Aceptar, donde --Limit 20 / minuto es un límite en la frecuencia de resultados positivos . Puede especificar una unidad de medida usted mismo, por ejemplo, / segundo, / minuto, / hora, / día. - Limit Número de estallido - Límite en el número de paquetes faltantes. Todos los valores se exhiben individualmente de acuerdo con las preferencias del administrador.
- A continuación, puede prohibir el escaneo de puertos abiertos para eliminar una de las posibles causas de piratería. Ingrese el primer comando sudo iptables -n bloque-escaneo.
- Luego, especifique el sudo IPTables -a Block-Scan -P TCP -TCP-SYN, ACK, FIN, RST -M Límite de Límite -Limit 1 / S -J Retorno.
- El último tercer comando es: sudo IPTables -a Block-Scan -J DROP. Expresión de escaneo de bloques en estos casos: el nombre del circuito utilizado.
La configuración que se muestra hoy es solo la base para el trabajo en el instrumento de control del firewall. En la documentación oficial de la utilidad, encontrará una descripción de todos los argumentos y opciones disponibles y puede configurar el firewall específicamente bajo sus solicitudes. Por encima de las reglas de seguridad estándar, que se aplican con mayor frecuencia y en la mayoría de los casos.