در تمام سیستم های عامل بر اساس هسته لینوکس، فایروال داخلی ساخته شده است، کنترل و فیلتر کردن ترافیک ورودی و خروجی، بر اساس قوانین مشخص شده یا پلت فرم وجود دارد. در توزیع CentOS 7، ابزار iptables چنین عملکرد را انجام می دهد و با فایروال ساخته شده در Netfilter ساخته شده است. گاهی اوقات مدیر سیستم یا مدیر شبکه باید عملیات این جزء را پیکربندی کند، قوانین مربوطه را تجویز کند. به عنوان بخشی از مقاله امروز، ما می خواهیم در مورد اصول پیکربندی iptables در سیستم عامل فوق صحبت کنیم.
پیکربندی iptables در Centos 7
ابزار خود را بلافاصله پس از نصب CentOS 7 تکمیل شده است، اما نیاز به نصب برخی از خدمات، که ما در مورد آن صحبت خواهیم کرد. در پلت فرم مورد نظر یکی دیگر از ابزار داخلی ساخته شده است که عملکرد فایروال به نام فایروال را انجام می دهد. برای جلوگیری از درگیری ها، با کار بیشتر، ما توصیه می کنیم این جزء را غیرفعال کنید. دستورالعمل های گسترده در این موضوع را در یک ماده دیگر در لینک زیر مشاهده کنید.ادامه مطلب: فایروال را در Centos 7 غیرفعال کنید
همانطور که می دانید، پروتکل های IPv4 و IPv6 را می توان در سیستم اعمال کرد. امروز ما بر روی مثال IPv4 تمرکز خواهیم کرد، اما اگر می خواهید برای یک پروتکل دیگر پیکربندی کنید، به جای یک تیم نیاز خواهید داشت. iptables در استفاده کنسول ip6tables.
نصب iptables
این باید اولویت سیستم اجزای اضافی از ابزار مورد نیاز امروز باشد. آنها در تنظیم قوانین و پارامترهای دیگر کمک خواهند کرد. بارگیری از مخزن رسمی انجام می شود، بنابراین زمان زیادی را صرف نمی کند.
- تمام اقدامات بیشتر در کنسول کلاسیک انجام می شود، بنابراین هر روش مناسب آن را اجرا کنید.
- فرمان Sudo Yum نصب Iptables-Services Command مسئول نصب خدمات است. آن را وارد کنید و کلید Enter را فشار دهید.
- حساب Superuser را با مشخص کردن رمز عبور از آن تأیید کنید. لطفا توجه داشته باشید که وقتی پرس و جو sudo، شخصیت های وارد شده در ردیف هرگز نمایش داده نمی شود.
- این پیشنهاد خواهد شد برای اضافه کردن یک بسته به سیستم، این عمل را با انتخاب نسخه Y تایید کنید.
- پس از اتمام نصب، نسخه فعلی ابزار را بررسی کنید: Sudo Iptables --Version.
- نتیجه در رشته جدید ظاهر می شود.
در حال حاضر سیستم عامل به طور کامل برای پیکربندی بیشتر فایروال از طریق ابزار iptables آماده است. ما پیشنهاد می کنیم خود را با پیکربندی در مورد آیتم ها آشنا کنید، با شروع خدمات مدیریت.
توقف و راه اندازی خدمات iptables
مدیریت حالت iptables در مواردی که باید عمل قوانین خاصی را بررسی کنید یا به سادگی مولفه را دوباره راه اندازی کنید، مورد نیاز است. این کار با استفاده از دستورات جاسازی شده انجام می شود.
- SUDO SERVICE IPTABLES STOP را وارد کنید و برای متوقف کردن خدمات، روی کلید Enter کلیک کنید.
- برای تأیید این روش، رمز عبور Superuser را مشخص کنید.
- اگر روند موفقیت آمیز باشد، یک رشته جدید نمایش داده می شود، نشان دهنده تغییرات در فایل پیکربندی است.
- راه اندازی خدمات تقریبا به همان شیوه انجام می شود، تنها خط، نمایش Sudo Service iptables را به دست می آورد.
یک راه اندازی مجدد، راه اندازی مجدد، شروع یا توقف ابزار در هر زمان در دسترس است، فراموش نکنید فقط برای بازگشت به مقدار معکوس زمانی که آن را در تقاضا خواهد بود.
مشاهده و حذف قوانین
همانطور که قبلا ذکر شد، کنترل فایروال به صورت دستی انجام می شود یا به طور خودکار قوانین را اضافه می کند. به عنوان مثال، برخی از برنامه های اضافی می توانند به این ابزار دسترسی پیدا کنند و سیاست های خاصی را تغییر دهند. با این حال، بسیاری از این اقدامات هنوز به صورت دستی انجام می شود. مشاهده یک لیست از تمام قوانین کنونی از طریق فرمان sudo iptables -l در دسترس است.
در نتیجه نمایش داده شده، اطلاعات در مورد سه زنجیره ای وجود دارد: "ورودی"، "خروجی" و "به جلو" - به ترتیب ورودی، خروجی و حمل و نقل حمل و نقل.
شما می توانید وضعیت تمام زنجیره ها را با وارد کردن sudo iptables -s تعریف کنید.
اگر قوانین دیده می شود با شما راضی نیستند، آنها به سادگی فقط حذف می شوند. کل لیست مانند این پاک شده است: sudo iptables -f. پس از فعال سازی، قانون به طور کامل برای هر سه زنجیره ای پاک می شود.
هنگامی که شما نیاز به تاثیر تنها بر سیاست ها از برخی از زنجیره تنها، یک استدلال اضافی به خط اضافه شده است:
sudo iptables -f ورودی
sudo iptables -f خروجی
sudo iptables -f به جلو
عدم وجود تمام قوانین به این معنی است که هیچ تنظیمات فیلتر ترافیکی در هیچ بخشی استفاده نمی شود. بعد، مدیر سیستم به طور مستقل پارامترهای جدید را با استفاده از همان کنسول، فرمان و استدلال های مختلف مشخص می کند.
دریافت ترافیک ترافیک در زنجیر
هر زنجیره ای به طور جداگانه برای دریافت یا مسدود کردن ترافیک پیکربندی شده است. با تنظیم یک معنی خاص، می توان آن را به دست آورد، به عنوان مثال، تمام ترافیک ورودی مسدود خواهد شد. برای انجام این کار، دستور باید sudo iptables - قطره ورودی قطره ای، جایی که ورودی نام زنجیره است، و قطره یک مقدار تخلیه است.
به عنوان مثال، پارامترهای مشابه برای مدارهای دیگر تنظیم شده اند، به عنوان مثال، Sudo Iptables - قطره خروجی قطره ای. اگر شما نیاز به تنظیم یک مقدار برای دریافت ترافیک، پس از آن قطره تغییر در پذیرش و آن را به نظر می رسد sudo iptables - ورودیPolicy ورودی پذیرش.
رزولوشن بندر و قفل
همانطور که می دانید، تمام برنامه های کاربردی شبکه و فرایندها از طریق یک پورت خاص کار می کنند. با مسدود کردن یا حل کردن آدرس های خاص، می توانید دسترسی به تمام اهداف شبکه را کنترل کنید. بیایید به عنوان مثال 80 را تجزیه و تحلیل کنیم. در ترمینال، به اندازه کافی برای ورود به Sudo iptables -a ورودی -P TCP --DPORT 80 -J Comport Comport، جایی که -A - اضافه کردن یک قانون جدید، ورودی - پیشنهاد تعریف زنجیره ای، -P - پروتکل در این مورد، TCP، A --dport یک پورت مقصد است.
دقیقا همان دستور نیز به پورت 22 اعمال می شود که توسط سرویس SSH مورد استفاده قرار می گیرد: Sudo Iptables -A INPUT -P TCP --DPORT 22 -J Accept.
برای جلوگیری از پورت مشخص شده، رشته دقیقا همان نوع استفاده می شود، تنها در انتهای تغییرات پذیرش به قطره. به عنوان مثال، به عنوان مثال، به عنوان مثال، Sudo Iptables -A ورودی -P TCP --DPORT 2450 -J قطره.
همه این قوانین به فایل پیکربندی وارد می شوند و شما می توانید آنها را در هر زمان مشاهده کنید. ما به شما یادآوری می کنیم، از طریق iptables sudo انجام می شود. اگر شما نیاز به اجازه دادن به یک آدرس IP شبکه با پورت همراه با پورت، رشته کمی اصلاح شده است - پس از TPC اضافه شده و آدرس خود را. Sudo Iptables -A INPUT -P TCP -S 12.12.12.12/32 --DPORT 22 -J Accept، که در آن 12.12.12.12/32 آدرس IP ضروری است.
مسدود کردن در همان اصل با تغییر در پایان مقدار قبول پذیرش در قطره رخ می دهد. سپس به نظر می رسد، به عنوان مثال، Sudo Iptables -A INPUT -P TCP -S 12.12.12.0/224 - DPORT 22 -J قطره.
مسدود کردن ICMP
ICMP (پروتکل پیام کنترل اینترنت) - یک پروتکل است که در TCP / IP گنجانده شده است و در هنگام کار با ترافیک، پیام های خطای انتقال و شرایط اضطراری را درگیر می کند. به عنوان مثال، هنگامی که سرور درخواست شده در دسترس نیست، این ابزار عملکرد خدمات را انجام می دهد. ابزار iptables به شما اجازه می دهد تا آن را از طریق فایروال مسدود کنید، و شما می توانید آن را با استفاده از Sudo iptables -a خروجی -P ICMP - MP-STYPE 8 -J Drop Command این درخواست ها را از خود و به سرور شما متوقف خواهد کرد.
درخواست های دریافتی کمی متفاوت هستند. سپس شما باید وارد Sudo iptables -i INPUT -P ICMP - ICMP-ICMP-TYPE 8 -J قطره. پس از فعال کردن این قوانین، سرور به درخواست های پینگ پاسخ نخواهد داد.
جلوگیری از اقدامات غیر مجاز بر روی سرور
گاهی اوقات سرورها تحت حملات DDoS یا سایر اقدامات غیر مجاز از مزاحمان قرار می گیرند. تنظیم صحیح فایروال به شما این امکان را می دهد که از این نوع هک محافظت کنید. برای شروع، ما توصیه می کنیم که چنین قوانینی را تنظیم کنید:
- ما در iptables نوشتن می نویسیم . شما می توانید یک واحد اندازه گیری خود را مشخص کنید، به عنوان مثال، / ثانیه، / دقیقه، / روز، / روز. - Limit-Burst Number - محدود کردن تعداد بسته های گم شده. تمام مقادیر به صورت جداگانه بر اساس ترجیحات مدیریتی نمایش داده می شوند.
- بعد، شما می توانید اسکن پورت های باز را ممنوع کنید تا یکی از علل احتمالی هک را حذف کنید. اولین فرمان sudo iptables -n را وارد کنید.
- سپس Iptables Sudo را مشخص کنید - Block-Scan -P TCP -TCP-Flags SYN، ACK، FIN، RST -M Limit -Limit 1 / S -J بازگشت.
- دستور سوم سوم این است: sudo iptables -A بلوک-اسکن -J قطره. بیان اسکن بلوک در این موارد - نام مدار استفاده شده است.
تنظیمات نشان داده شده امروز تنها پایه ای برای کار در ابزار کنترل فایروال است. در اسناد رسمی این ابزار، توضیحات همه استدلال های موجود و گزینه ها را پیدا خواهید کرد و می توانید فایروال را به طور خاص تحت درخواست های خود پیکربندی کنید. بالاتر از قوانین استاندارد امنیتی، که اغلب اعمال می شود و در اکثر موارد مورد نیاز است.