Kõigis Linuxi kernelis asuvate operatsioonisüsteemide puhul on sisseehitatud tulemüür, kes täidab sissetuleva ja väljamineva liikluse kontrolli ja filtreerimist kindlaksmääratud või platvormi eeskirjade alusel. Centos 7 jaotus, Iptables Utility täidab sellist funktsiooni, mis suhtleb sisseehitatud Netfilteri tulemüüriga. Mõnikord peab süsteemi administraator või võrguhaldur selle komponendi toimimise seadistama asjakohaste eeskirjade väljakirjutamisel. Tänane artikli osana tahaksime rääkida Implables konfiguratsiooni põhitõedest ülalmainitud operatsioonisüsteemis.
Konfigureerige Iptables Centos 7
Tööriist ise on tööle kättesaadav kohe pärast CentOS 7 paigaldamise lõpetamist, kuid lisaks on vaja installida mõned teenused, mida me räägime. Vaatlusaluse platvormil on veel üks sisseehitatud vahend, mis täidab tulemüüri funktsiooni, mida nimetatakse tulemüüriks. Konfliktide vältimiseks soovitame täiendada tööd, soovitame seda komponenti keelata. Laiendatud juhised sellel teemal lugeda teises materjalis järgmisel lingil.Loe lähemalt: keelake tulemüüri sentos 7
Nagu te teate, saab süsteemis rakendada IPv4 ja IPv6 protokolle. Täna keskendume IPv4 näitele, kuid kui soovite mõne teise protokolli konfigureerida, siis on vaja meeskonna asemel. Iptables. Konsooli kasutamisel IP6lables.
Iptablables'i installimine
See peaks olema täna vaatlusaluse süsteemi süsteemi täiendavate komponentide prioriteet. Nad aitavad kehtestada reeglid ja muud parameetrid. Laadimine toimub ametliku hoidla, nii et see ei võta palju aega.
- Kõik täiendavad meetmed tehakse klassikalises konsoolis, nii et käivitage see ükskõik millise mugava meetodi abil.
- Sudo Yum install Iptables-Services käsk vastutab teenuste installimise eest. Sisestage see ja vajutage sisestusklahvi.
- Kinnitage superuseri konto, täpsustades selle parooli. Pange tähele, et kui Päringuid Sudo, sisestatud tähemärki järjest ei kuvata kunagi.
- Tehakse ettepanek lisada ühe paketi süsteemi, kinnitada see toiming valides Y versiooni.
- Pärast paigaldamise lõpetamist kontrollige tööriista praegust versiooni: Sudo Iptables --Version.
- Tulemuseks ilmub uues stringis.
Nüüd on OS-i valmis tulemüüri edasiseks konfiguratsiooniks IPTAS-i kasulikkuse kaudu. Soovitame tutvuda üksuste konfiguratsiooniga, alustades juhtimisteenuseid.
Iptables teenuste peatamine ja käivitamine
Iptables režiimi juhtimine on vajalik juhtudel, kui teil on vaja kontrollida teatud reeglite toimingut või lihtsalt taaskäivitage komponent. Seda tehakse sisseehitatud käskude abil.
- Sisestage Sudo Service Iptables Stop ja klõpsake teenuse peatamiseks sisestusklahvi.
- Selle protseduuri kinnitamiseks määrake superuseri parool.
- Kui protsess on edukas, kuvatakse uus string, mis näitab konfiguratsioonifaili muutusi.
- Teenuste käivitamine toimub peaaegu samamoodi, ainult rida omandab Sudo Service Iptables Alusta vaadet.
Sarnane taaskäivitamine, alustamise või peatamise utiliidi peatamine on igal ajal saadaval, ärge unustage ainult tagurpidi väärtus, kui see on nõudluse korral.
Reeglite vaatamine ja kustutamine
Nagu varem mainitud, kontrolli tulemüüri teostatakse käsitsi või automaatselt lisades reegleid. Näiteks mõned täiendavad rakendused saavad juurdepääsu tööriista, muutes teatud poliitika. Kuid enamik selliseid tegevusi tehakse veel käsitsi. Kõigi kehtivate reeglite loendi vaatamine on saadaval SUDO IPTAS-i kaudu.
Näidatud tulemusel on teavet kolme ahela kohta: "sisend", "väljund" ja "edasi" - sissetulev, väljuv ja edastamisliiklus.
Saate määratleda kõigi ahelate oleku staatuse, sisestades Sudo Iptables -S.
Kui näinud reeglid ei ole teiega rahul, kustutatakse nad lihtsalt lihtsalt. Kogu nimekiri kustutatakse sellisele: Sudo Iptables -f. Pärast aktiveerimist kustutatakse reegel absoluutselt kõigi kolme ahela jaoks.
Kui teil on vaja mõjutada ainult mõne ühe ahela poliitikat, lisatakse liinile täiendava argumendi:
Sudo Iptables -F-sisend
Sudo Iptables -F väljund
Sudo iptables -f edasi
Kõikide reeglite puudumine tähendab, et liikluse filtreerimise seadeid ei kasutata mingil osale. Järgmisena määrab süsteemi administraator iseseisvalt uued parameetrid, kasutades sama konsooli, käsku ja erinevaid argumente.
Kettide vastuvõtmine ja väljalangemine
Iga kett on konfigureeritud eraldi liikluse vastuvõtmiseks või blokeerimiseks. Teatud tähenduse seadmisega on võimalik saavutada, et näiteks kõik sissetulevad liiklus blokeeritakse. Selleks peab käsk olema sudo iptables --Policy sisendlangus, kus sisend on ahela nimi ja langus on tühjendusväärtus.
Täpselt samad parameetrid on seadistatud muudele ahelatele, näiteks Sudo Iptables --Policy väljundlangusele. Kui teil on vaja määrata liikluse vastuvõtmise väärtuse, siis selgub, et Drop muudatused aktsepteerivad ja selgub Sudo Iptables --Policy sisend aktsepteerib.
Sadama resolutsioon ja lukk
Nagu te teate, töötavad kõik võrgurakendused ja protsessid teatud sadama kaudu. Teatavate aadresside blokeerimise või lahendamise blokeerimisel saate jälgida kõigi võrgu eesmärkide kättesaadavust. Olgem analüüsida port edasi Näiteks 80. Terminal, see on piisav, et sisestada sudo Iptables -A sisend -P TCP --Dport 80 -J aktsepteeri käsk, kus - lisades uue reegli, sisend - soovitus Ajakohol, -P - protokolli määratlus Käesolevas asjas on TCP, A --dport sihtkoha sadam.
Täpselt sama käsk kehtib ka sadama 22 suhtes, mida kasutab SSH-teenus: sudo Iptables -A sisend -P TCP --Dport 22 -j nõustub.
Määratud sadama blokeerimiseks kasutatakse stringi täpselt sama tüüpi, vaid aktsepteerivate muudatuste lõpus. Selle tulemusena selgub, näiteks Sudo Iptables -A sisend -P TCP --Dport 2450 -J tilk.
Kõik need reeglid sisestatakse konfiguratsioonifaili ja saate neid igal ajal vaadata. Me tuletame teile meelde, see toimub Sudo Iptables -Li kaudu. Kui teil on vaja lubada võrgu IP-aadressi sadamaga koos sadaga, on string veidi modifitseeritud - pärast TPC-d on lisatud-ja aadress ise. Sudo Iptables -A sisend -P TCP -S 12.12.12.12/32 --Dport 22 -j nõus, kus 12.12.12.12/32 on vajalik IP-aadress.
Blokeerimine toimub samal põhimõttel, muutes lõpuks aktsepteerimise väärtuse langus. Siis selgub näiteks Sudo Iptables -A sisend -p TCP -S 12.12.12.0/224 --dport 22 -J tilk.
ICMP blokeerimine
ICMP (Internet Control-sõnumiprotokoll) - protokoll, mis on kaasatud TCP / IP-sse ja osaleb liiklusega töötavate veateadete ja hädaolukordade edastamisel. Näiteks, kui soovitud server ei ole kättesaadav, täidab see tööriist teenuse funktsioone. Iptables utiliit võimaldab teil blokeerida selle tulemüüri kaudu ja saate selle muuta Sudo Iptablables -A Väljundi -P ICMP -CMP-tüüpi 8 -j Drop käsk. See blokeerib teie ja teie serverist päringud.
Saabuvad taotlused blokeeritakse veidi erinevad. Seejärel peate sisestama sudo iptables -i sisendi -P ICMP -ICMP-tüüpi 8 -J langusele. Pärast nende reeglite aktiveerimist ei reageeri server Pingi taotlustele.
Vältige volitamata tegevusi serveris
Mõnikord allutatakse serverid DDOS-i rünnakute või teiste sissetungijate volitamata tegevusega. Tulemüüri õige kohandamine võimaldab teil ennast sellist häkkimist kaitsta. Kõigepealt soovitame selliseid eeskirju sätestada:
- Kirjutame IPPables -A sisend -P TCP --Dport 80 -M piirang - limiit 20 / minutilise - limit-lõhkemise 100-tollise aktsepteerimine, kus - limit 20 / minut on positiivsete tulemuste sageduse piir . Võite määrata mõõtühiku ise, näiteks / teine, / minut, / tund, ööpäevas. - lines-lõhkemise number - puuduvate pakendite arvu piiramine. Kõik väärtused eksponeerivad individuaalselt vastavalt administraatori eelistustele.
- Järgmisena saate keelata avatud sadamate skaneerimisel ühe häkkimise võimalike põhjuste eemaldamiseks. Sisestage esimene Sudo Iptables -N Block-Scan Command.
- Seejärel määrake Sudo Iptables -A Block-Scan -P TCP -TCP-FLAGS SYN, ACK, FIN, RST -M LIME -LIMIT 1 / SK TAGASI.
- Viimane kolmas käsk on: sudo Iptables -A Block-Scan -J-tilk. Nendel juhtudel plokk-skaneerimise väljendus - kasutatud ahela nimi.
Täna näidatud seaded on ainult tulemüüri juhtimisvahendi töö aluseks. Utiliidi ametlikus dokumentatsioonis leiate kõigi olemasolevate argumentide ja valikute kirjelduse ning tulemüüri saate konfigureerida konkreetselt teie taotluste all. Eespool standard turvaelemendid, mis on kõige sagedamini rakendatud ja enamikul juhtudel on vaja.