En todos os sistemas operativos baseados no kernel de Linux, hai un firewall integrado, realizando control e filtrado de tráfico entrante e saínte, en función das regras especificadas ou a plataforma. Na distribución CENTOS 7, a utilidade Iptables realiza esa función, interactuando co firewall de Netfilter incorporado. Ás veces, o administrador do sistema ou o xestor de rede ten que configurar o funcionamento deste compoñente, prescribindo as regras relevantes. Como parte do artigo de hoxe, queremos falar sobre os conceptos básicos da configuración Iptables no sistema operativo mencionado anteriormente.
Configurar Iptables en CentOS 7
A ferramenta en si é accesible para traballar inmediatamente despois de completar a instalación de CentOS 7, pero tamén terá que instalar algúns servizos que falaremos. Na plataforma en consideración hai outra ferramenta integrada que realiza a función de firewall chamada Firewalld. Para evitar conflitos, con máis traballo, recomendamos desactivar este compoñente. Instrucións expandidas sobre este tema que len noutro material na seguinte ligazón.Ler máis: Desactivar Firewalld en CentOS 7
Como sabes, os protocolos IPv4 e IPv6 poden ser aplicados no sistema. Hoxe centrarémonos no exemplo de IPv4, pero se queres configurar por outro protocolo, necesitarás en lugar dun equipo. Iptables. No uso da consola Ip6tables..
Instalación de iptables
Debe ser prioritario ao sistema compoñentes adicionais da utilidade en consideración hoxe. Axudarán a establecer as regras e outros parámetros. A carga realízase desde o repositorio oficial, polo que non leva moito tempo.
- Todas as accións máis se farán na consola clásica, polo que a execute por calquera método conveniente.
- O comando SUDO YUM instalar iptables-Services é responsable de instalar os servizos. Introduce e prema a tecla Intro.
- Confirma a conta de Superuser especificando o contrasinal. Ten en conta que cando as consultas sudo, os caracteres introducidos da liña nunca se amosan.
- Proponse engadir un paquete ao sistema, confirmar esta acción seleccionando a versión Y.
- Tras a conclusión da instalación, comproba a versión actual da ferramenta: sudo iptables --version.
- O resultado aparecerá na nova cadea.
Agora o SO está totalmente preparado para a configuración adicional do firewall a través da utilidade Iptables. Suxerímoslle a familiarizarse coa configuración dos elementos, a partir de servizos de xestión.
Parar e lanzar servizos Iptables
A xestión de modo Iptables é necesaria nos casos nos que precisa comprobar a acción de determinadas regras ou simplemente reiniciar o compoñente. Isto faise usando comandos embutidos.
- Introduza o servizo SUDO iptables parar e facer clic na tecla Intro para deter os servizos.
- Para confirmar este procedemento, especifique o contrasinal de superusuario.
- Se o proceso ten éxito, mostrarase unha nova cadea, indicando cambios no ficheiro de configuración.
- O lanzamento dos servizos realízase case do mesmo xeito, só a liña adquire o servizo SUDO iptables comezar a ver.
Un reinicio similar, iniciando ou detendo a utilidade está dispoñible en calquera momento, non se esqueza só de devolver o valor inverso cando estará na demanda.
Ver e eliminar regras
Como mencionado anteriormente, o control do firewall é realizado por regras manuais ou automaticamente engadindo. Por exemplo, algunhas aplicacións adicionais poden acceder á ferramenta, cambiando certas políticas. Non obstante, a maioría das accións aínda se fan manualmente. Ver unha lista de todas as regras actuais está dispoñible a través do comando sudo iptables -l.
No resultado mostrado haberá información sobre tres cadeas: "Entrada", "Saída" e "Reenviar": tráfico entrante, saínte e reenvío, respectivamente.
Pode definir o estado de todas as cadeas introducindo sudo iptables -s.
Se as regras que se ven non están satisfeitas contigo, simplemente simplemente elimináronse. A lista completa é eliminada así: sudo iptables -f. Despois da activación, a regra será borrada absolutamente para as tres cadeas.
Cando ten que afectar só as políticas dunha única cadea, engádese un argumento adicional á liña:
Sudo iptables -f entrada
SUDO Iptables -F saída
Sudo iptables -f adiante
A ausencia de todas as regras significa que ningunha configuración de filtrado de tráfico non se usan en ningunha parte. A continuación, o administrador do sistema especificará de forma independente novos parámetros usando a mesma consola, o comando e varios argumentos.
Recibir e deixar caer o tráfico nas cadeas
Cada cadea está configurada por separado para recibir ou bloquear o tráfico. Ao configurar un certo significado, pódese conseguir que, por exemplo, todo o tráfico entrante será bloqueado. Para iso, o comando debe ser sudo iptables --policy Entrada Drop, onde a entrada é o nome da cadea e a caída é un valor de descarga.
Exactamente os mesmos parámetros están configurados para outros circuítos, por exemplo, SUDO Iptables -Policy saída de saída. Se precisa establecer un valor para recibir o tráfico, entón a caída cambia a aceptar e resulta que o sudo iptables --policy Entrada acepta.
Resolución de portos e bloqueo
Como sabes, todas as aplicacións e procesos de rede funcionan a través dun determinado porto. Ao bloquear ou resolver certos enderezos, pode supervisar o acceso de todos os fins de rede. Analicemos o porto adiante por exemplo 80. No terminal, será suficiente para entrar no sudo iptables -a entrada de entrada -p tcp --dport 80 -j aceptar o comando, onde -a - engadindo unha nova regra, a suxestión de entrada de A cadea, -P - Definición do protocolo Neste caso, TCP, A --dport é un porto de destino.
Exactamente o mesmo comando tamén se aplica ao porto 22, que é usado polo servizo SSH: sudo iptables -a entrada -p tcp --dport 22 -j acepta.
Para bloquear o porto especificado, a cadea utilízase exactamente do mesmo tipo, só ao final dos cambios aceptados para caer. Como resultado, resulta, por exemplo, sudo iptables -a entrada -p tcp --dport 2450 -j caída.
Todas estas regras ingresan no ficheiro de configuración e podes velo en calquera momento. Recordámosvos, faise a través de sudo iptables -l. Se precisa permitir unha dirección IP da rede co porto xunto co porto, a cadea está ligeramente modificada: despois de que o TPC sexa engadido e a dirección en si. Sudo iptables -a entrada -p tcp -s 12.12.12.12/32 --dport 22 -j acepta, onde 12.12.12.12/32 é o enderezo IP necesario.
O bloqueo ocorre no mesmo principio cambiando ao final o valor de aceptar na caída. Entón resulta que, por exemplo, sudo iptables -a entrada -p tcp -s 12.12.12.12 --dpport 22 -j caída.
Bloqueo ICMP.
ICMP (Protocolo de mensaxes de control de Internet): un protocolo que está incluído en TCP / IP e está involucrado na transmisión de mensaxes de erro e situacións de emerxencia ao traballar con tráfico. Por exemplo, cando o servidor solicitado non está dispoñible, esta ferramenta realiza funcións de servizo. A utilidade iptables permite que bloquea-lo a través do firewall, e pode facelo empregando o comando -P ICMP --icmp-Type 8 J DROP OUTPUT Sudo iptables -A. Bloqueará as solicitudes do seu e ao seu servidor.
As solicitudes entrantes están bloqueadas un pouco diferentes. Entón ten que introducir o sudo iptables -i entrada -p icmp --icmp-tipo 8 -j caída. Despois de activar estas regras, o servidor non responderá ás solicitudes de ping.
Evitar accións non autorizadas no servidor
Ás veces, os servidores están suxeitos a ataques DDOS ou outras accións non autorizadas de intrusos. O axuste correcto do firewall permitirache protexerte deste tipo de hacking. Para comezar, recomendamos establecer tales regras:
- Escribimos nos Iptables -a entrada -P TCP --dport 80 -m límite --limit 20 / minuto - Limit-Burst 100 -J Aceptar, onde --limit 20 / minuto é un límite na frecuencia de resultados positivos .. Pode especificar unha unidade de medición a si mesmo, por exemplo, / segundo, / minuto, / hora, / día. - Número de estourido - Limitar sobre o número de paquetes que faltan. Todos os valores expóñense individualmente segundo as preferencias de administrador.
- A continuación, pode prohibir a dixitalización de portos abertos para eliminar unha das posibles causas do hackeo. Introduza o primeiro comando SUDO Iptables -n Block-Scan.
- A continuación, especifique o sudo iptables -a block-scan -p tcp -tcp-flags syn, ack, fin, límite de RST -M -limit 1 / s-j Return.
- O último terceiro comando é: sudo iptables -a bloque-scan -j caída. Expresión de exploración de bloques nestes casos - o nome do circuíto usado.
A configuración que se mostra hoxe só é a base do traballo no instrumento de control do firewall. Na documentación oficial da utilidade atoparás unha descrición de todos os argumentos e opcións dispoñibles e podes configurar o firewall especificamente baixo as túas solicitudes. Por riba das regras de seguridade estándar, que se aplican máis a miúdo e na maioría dos casos son necesarios.