Kaikissa Linux-ytimessä perustuvissa käyttöjärjestelmissä on sisäänrakennettu palomuuri, suorittamalla tulevan ja lähtevän liikenteen hallinta ja suodatus, joka perustuu määritettyihin sääntöihin tai alustalle. CENTOS 7 -jakaumassa IPtable-apuohjelma suorittaa tällaisen toiminnon, vuorovaikutuksessa sisäänrakennetun NetFilter-palomuurin kanssa. Joskus järjestelmänvalvojan tai verkkopäällikön on määritettävä tämän komponentin toiminta, joka määrää asiaankuuluvat säännöt. Osana tämän päivän artikkelia haluamme puhua Iptables Configuration perusasioista edellä mainitussa käyttöjärjestelmässä.
Määritä Iptablates Centos 7: ssä
Työkalu itse pääsee toimimaan välittömästi Centos 7: n asennuksen jälkeen, mutta lisäksi on asennettava joitakin palveluja, joista puhumme. Tarkasteltavan alustassa on toinen sisäänrakennettu työkalu, joka suorittaa palomuurin toiminnon nimeltä Firewall. Ristiriitojen välttämiseksi lisää työtä, suosittelemme tätä osaa. Laajennetut ohjeet tästä aiheesta Lue toinen materiaali seuraavassa linkissä.Lue lisää: Poista palomuuri Centos 7: ssä
Kuten tiedätte, IPv4- ja IPv6-protokollia voidaan käyttää järjestelmässä. Tänään keskitymme IPv4-esimerkkiin, mutta jos haluat määrittää toisen protokollan, tarvitset tiimin sijaan. Iptables. Konsolissa IP6Tables.
Iptablesin asentaminen
Olisi ensisijaista tarkennettavien hyödyllisyysjärjestelmän lisäkomponentteja tänään. Ne auttavat asettamaan sääntöjä ja muita parametreja. Lastaus suoritetaan virallisesta arkistosta, joten se ei vie paljon aikaa.
- Kaikki lisätoimet tehdään klassisessa konsolissa, joten käytä sitä millä tahansa kätevällä menetelmällä.
- Sudo yum asentaa Iptables-Services -komento vastaa palveluiden asentamisesta. Syötä se ja paina Enter-näppäintä.
- Vahvista Superuser-tilin määrittämällä sen salasana. Huomioithan, että kun kysely Sudo, peräkkäin syötetyt merkit eivät koskaan näytetä.
- Yksi paketti lisätään järjestelmään, vahvista tämä toiminta valitsemalla Y-version.
- Asennuksen päätyttyä Tarkista työkalun nykyinen versio: sudo iptables -versio.
- Tulos tulee näkyviin uudessa merkkijonossa.
Nyt käyttöjärjestelmä on täysin valmis palomuurin edelleen kokoonpanoon iptables-apuohjelman kautta. Suosittelemme tutustumaan kohteiden kokoonpanoon, aloittaen palveluiden hallintaa.
Iptables-palveluiden pysäyttäminen ja käynnistäminen
Iptables Mode Management tarvitaan tapauksissa, joissa sinun on tarkistettava tiettyjen sääntöjen toiminta tai yksinkertaisesti käynnistä osa uudelleen. Tämä tehdään käyttämällä sulautettuja komentoja.
- Syötä sudo Service Iptables Stop ja napsauta Enter-näppäintä lopettaaksesi palvelut.
- Jos haluat vahvistaa tämän toimenpiteen, määritä Superuer-salasana.
- Jos prosessi onnistuu, näytetään uusi merkkijono, mikä osoittaa muutokset konfigurointitiedostossa.
- Palvelujen käynnistäminen suoritetaan lähes samalla tavoin, vain linja hankkii sudo-palvelun Iptables Aloitusnäkymän.
Samanlainen uudelleenkäynnistys, käynnistäminen tai pysäyttäminen apuohjelma on saatavilla milloin tahansa, älä unohda vain palauttaa käänteisarvo, kun se on kysyntää.
Näytä ja poista säännöt
Kuten aiemmin mainittiin, palomuurin hallinta suoritetaan manuaalisesti tai lisäämällä sääntöjä automaattisesti. Esimerkiksi jotkin lisäohjelmat voivat käyttää työkalua, muuttaa tiettyjä käytäntöjä. Useimmat tällaiset toimet kuitenkin tehdään manuaalisesti. Kaikkien nykyisten sääntöjen luettelon tarkasteleminen on saatavilla sudo iptables -l-komennolla.
Näytetyssä tuloksessa on tietoa kolmesta ketjasta: "tulo", "lähtö" ja "eteenpäin" - saapuva, lähtevä ja lähetysliikenne vastaavasti.
Voit määrittää kaikkien ketjujen tilan syöttämällä sudo iptables -s.
Jos sääntöjä ei ole tyytyväisiä sinuun, ne vain poistetaan. Koko luettelo tyhjennetään näin: sudo iptables -f. Aktivoinnin jälkeen sääntö poistetaan ehdottomasti kaikille kolmelle ketjulle.
Kun sinun on vaikuttanut vain yksittäisen ketjun käytäntöihin, linjaan lisätään ylimääräinen argumentti:
Sudo iptables -f-tulo
Sudo iptables -f tuotos
Sudo iptables -f eteenpäin
Kaikkien sääntöjen puuttuminen tarkoittaa, että liikenteen suodatusasetuksia ei käytetä missään osassa. Seuraavaksi järjestelmänvalvoja määrittelee itsenäisesti uudet parametrit käyttäen samaa konsolia, komentoa ja erilaisia argumentteja.
Ketjujen vastaanottaminen ja pudottaminen
Jokainen ketju on määritetty erikseen liikenteen vastaanottamiseksi tai estämiseksi. Asettamalla tietyn merkityksen, voidaan saavuttaa, että esimerkiksi kaikki saapuvat liikenne estetään. Tehdä tämä, komennon on oltava sudo iptables --policy Input Drop, jossa tulo on ketjun nimi ja pudotus on vastuuvapausarvo.
Aivan samat parametrit asetetaan muille piireille, esimerkiksi sudo iptables --poliikkipisara. Jos sinun on asetettava arvo liikenteen vastaanottamiseen, niin pudotusmuutokset hyväksyvät ja osoittautuu sudo iptables --policy-tulon hyväksymisen.
Portin tarkkuus ja lukitus
Kuten tiedätte, kaikki verkkosovellukset ja prosessit toimivat tietyn sataman kautta. Estämällä tai ratkaisemalla tiettyjä osoitteita voit seurata kaikkien verkkotarkoitusten käyttöä. Analysoidaan portti eteenpäin esimerkiksi 80. Terminaalissa riittävästi SUDO IPTBATIONS -A Syöttö -P TCP --Dport 80 -J hyväksyä komento, jossa -A - uuden säännön lisääminen - ehdotus Ketju, -P - protokollan määritelmä tässä tapauksessa TCP, A --Dport on kohdeportti.
Täsmälleen sama komento koskee myös porttia 22, jota SSH-palvelu käyttää: sudo iptables -A Input -p TCP --Dport 22 -J hyväksyä.
Määritetyn portin estämiseksi merkkijonoa käytetään täsmälleen saman tyyppiä, vain hyväksytyn pudotuksen lopussa. Tämän seurauksena se osoittautuu esimerkiksi sudo iptables -a Input -p TCP --dport 2450 -j. Pudotus.
Kaikki nämä säännöt syötetään konfigurointitiedostoon ja voit tarkastella niitä milloin tahansa. Muistutamme teitä, se tehdään sudo iptables -l. Jos haluat sallia verkko-IP-osoite portin kanssa yhdessä portin kanssa, merkkijono on hieman muunnettu - sen jälkeen, kun TPC on lisätty - ja itse osoite. Sudo iptables -A Input -p TCP -S 12.12.12.12/32 --Dport 22 -J Hyväksy, missä 12.12.12.12/32 on välttämätön IP-osoite.
Estäminen tapahtuu samassa periaatteessa muuttamalla lopulta hyväksytyn arvon pudotuksen. Sitten se osoittautuu esimerkiksi sudo iptables -a Input -p TCP -S 12.12.12.0/224 --dport 22 -j.
ICMP: n esto
ICMP (Internet-ohjausviestiprotokolla) - protokolla, joka sisältyy TCP / IP: hen ja on mukana virheilmoitusten lähettämisessä ja hätätilanteissa liikenteen yhteydessä. Esimerkiksi, kun pyydetty palvelin ei ole käytettävissä, tämä työkalu suorittaa palvelutoiminnot. IPables-apuohjelmien avulla voit estää sen palomuurin läpi, ja voit tehdä sen käyttämällä sudo iptables -A lähtö -P ICMP -CICMP-tyypin 8 -J-pudotuskomentoa. Se estää pyyntöjä ja palvelimellesi.
Saapuvat pyynnöt estetään hieman erilainen. Sitten sinun täytyy syöttää sudo iptables -i syöttö -p ICMP --cmp -tyyppinen 8 -J-pudotus. Näiden sääntöjen aktivoinnin jälkeen palvelin ei vastaa PING-pyyntöihin.
Estä luvattomat toimet palvelimelle
Joskus palvelimia altistetaan DDOS-hyökkäyksille tai muille luvattomista toimista tunkeilijoista. Palomuurin oikea säätö mahdollistaa itsesi suojella tällaista hakkerointia. Aluksi suosittelemme tällaisten sääntöjen asettamista:
- Me kirjoitamme Iptables -A Input -p TCP --Dport 80 -M Raja --Limit 20 / minuutti --Limit-Burst 100 -J Hyväksy, missä - 20 / minuutti on raja positiivisten tulosten . Voit määrittää mittayksikön itse, esimerkiksi / toinen, / minuutti, / tunti, / päivä. - Limit-Burstinumero - rajoittaa puuttuvien pakettien määrän. Kaikki arvot on esillä erikseen järjestelmänvalvojan asetusten mukaan.
- Seuraavaksi voit kieltää avoimien porttien skannauksen poistaaksesi jonkin mahdollisista hakkerointimääristä. Anna ensimmäinen sudo iptables -n-lohko-skannauskomento.
- Määritä sitten sudo iptables -A block-scan -p TCP -TCP-Flags Syn, ACK, FIN, RST -M Limit -Limit 1 / S -j palaa.
- Viimeinen kolmas komento on: sudo iptables -A block-scan -j pudota. Estä skannaus ilmaisu näissä tapauksissa - käytetyn piirin nimi.
Tänään esitetyt asetukset ovat vain palomuurin ohjausinstrumentin perusta. Apuohjelman virallisessa dokumentoinnissa löydät kuvauksen kaikista käytettävissä olevista argumenteista ja vaihtoehdosta ja voit määrittää palomuurin nimenomaan pyyntösi alla. Vakioturvasääntöjen yläpuolella, joita useimmiten sovelletaan ja useimmissa tapauksissa vaaditaan.