લિનક્સ કર્નલ પર આધારિત બધી ઑપરેટિંગ સિસ્ટમ્સમાં, બિલ્ટ-ઇન ફાયરવૉલ છે, જે ઉલ્લેખિત અથવા આઉટગોઇંગ ટ્રાફિકનું નિયંત્રણ અને ફિલ્ટરિંગ કરે છે, જે ઉલ્લેખિત નિયમો અથવા પ્લેટફોર્મ પર આધારિત છે. સેન્ટોસ 7 વિતરણમાં, iptables ઉપયોગિતા આ પ્રકારનું કાર્ય કરે છે, બિલ્ટ-ઇન નેટફિલ્ટર ફાયરવૉલ સાથે વાર્તાલાપ કરે છે. કેટલીકવાર સિસ્ટમ એડમિનિસ્ટ્રેટર અથવા નેટવર્ક મેનેજરને આ ઘટકની ઑપરેશનને સંબંધિત નિયમોનું સૂચન કરવું છે. આજના લેખના ભાગરૂપે, અમે ઉપરોક્ત ઓએસમાં iptables ગોઠવણીની મૂળભૂત બાબતો વિશે વાત કરવા માંગીએ છીએ.
સેન્ટોસ 7 માં iptables ને ગોઠવો
સેંટૉસ 7 ની સ્થાપન પૂર્ણ થયા પછી તાત્કાલિક કામ કરવા માટે સાધન પોતે જ ઍક્સેસિબલ છે, પરંતુ વધુમાં કેટલીક સેવાઓ ઇન્સ્ટોલ કરવાની જરૂર પડશે, જે આપણે વિશે વાત કરીશું. પ્લેટફોર્મમાં વિચારણા હેઠળ બીજો બિલ્ટ-ઇન ટૂલ છે જે ફાયરવૉલ્ડ નામના ફાયરવૉલ ફંક્શન કરે છે. તકરારને ટાળવા માટે, વધુ કાર્ય સાથે, અમે આ ઘટકને અક્ષમ કરવાની ભલામણ કરીએ છીએ. આ વિષય પર વિસ્તૃત સૂચનો નીચેની લિંક પરની બીજી સામગ્રીમાં વાંચી.વધુ વાંચો: સેન્ટોસ 7 માં ફાયરવૉલ્ડને અક્ષમ કરો
જેમ તમે જાણો છો, IPv4 અને IPv6 પ્રોટોકોલ્સ સિસ્ટમમાં લાગુ કરી શકાય છે. આજે આપણે IPv4 ઉદાહરણ પર ધ્યાન કેન્દ્રિત કરીશું, પરંતુ જો તમે બીજા પ્રોટોકોલ માટે રૂપરેખાંકિત કરવા માંગો છો, તો તમારે એક ટીમની જગ્યાએ જરૂર પડશે. Iptables. કન્સોલ ઉપયોગમાં Ip6tables.
Iptables ઇન્સ્ટોલ કરી રહ્યું છે
તે સિસ્ટમ માટે આજે વિચારણા હેઠળ સિસ્ટમના વધારાના ઘટકો માટે અગ્રતા હોવી જોઈએ. તેઓ નિયમો અને અન્ય પરિમાણોને સેટ કરવામાં મદદ કરશે. લોડિંગ સત્તાવાર રીપોઝીટરીમાંથી કરવામાં આવે છે, તેથી તેમાં વધુ સમય લાગતો નથી.
- બધી વધુ ક્રિયાઓ શાસ્ત્રીય કન્સોલમાં કરવામાં આવશે, તેથી તેને કોઈપણ અનુકૂળ પદ્ધતિ દ્વારા ચલાવો.
- સુડો યમ ઇન્સ્ટોલ iptables- સેવાઓ આદેશ સેવાઓ ઇન્સ્ટોલ કરવા માટે જવાબદાર છે. તેને દાખલ કરો અને Enter કી દબાવો.
- તેનાથી પાસવર્ડને સ્પષ્ટ કરીને સુપરસર એકાઉન્ટની પુષ્ટિ કરો. મહેરબાની કરીને નોંધ કરો કે જ્યારે સુડો ક્વેરીઝ, પંક્તિમાં દાખલ થયેલા અક્ષરો ક્યારેય પ્રદર્શિત થતા નથી.
- તે સિસ્ટમમાં એક પેકેજ ઉમેરવાનું સૂચન કરવામાં આવશે, આ ક્રિયાને વાય સંસ્કરણ પસંદ કરીને પુષ્ટિ કરો.
- ઇન્સ્ટોલેશન પૂર્ણ થયા પછી, ટૂલનું વર્તમાન સંસ્કરણ તપાસો: સુડો iptables --version.
- પરિણામ નવી શબ્દમાળામાં દેખાશે.
હવે iptables ઉપયોગિતા દ્વારા ફાયરવૉલની આગળની ગોઠવણી માટે ઓએસ સંપૂર્ણપણે તૈયાર છે. અમે મેનેજિંગ સેવાઓથી શરૂ કરીને વસ્તુઓ પર ગોઠવણી સાથે પોતાને પરિચિત કરીએ છીએ.
Iptables સેવાઓ રોકી અને લોન્ચિંગ
Iptables મોડ મેનેજમેન્ટ આવશ્યક છે કે જ્યાં તમારે ચોક્કસ નિયમોની ક્રિયા તપાસવાની જરૂર છે અથવા ફક્ત ઘટકને ફરીથી પ્રારંભ કરો. આ એમ્બેડેડ આદેશોનો ઉપયોગ કરીને કરવામાં આવે છે.
- સુડો સેવા iptables દાખલ કરો બંધ કરો અને સેવાઓ રોકવા માટે Enter કી પર ક્લિક કરો.
- આ પ્રક્રિયાની પુષ્ટિ કરવા માટે, સુપરઝર પાસવર્ડનો ઉલ્લેખ કરો.
- જો પ્રક્રિયા સફળ થાય, તો નવી શબ્દમાળા પ્રદર્શિત થશે, રૂપરેખાંકન ફાઇલમાં ફેરફારો સૂચવે છે.
- સેવાઓનો લોન્ચ લગભગ સમાન રીતે કરવામાં આવે છે, ફક્ત આ વાક્ય સુડો સેવા iptables પ્રારંભ દૃશ્ય પ્રાપ્ત કરે છે.
ઉપયોગિતાને પ્રારંભ કરવા અથવા અટકાવવા, સમાન રીબૂટ કોઈપણ સમયે ઉપલબ્ધ છે, જ્યારે તે માંગમાં હશે ત્યારે વિપરીત મૂલ્યને પાછું લાવવાનું ભૂલશો નહીં.
નિયમો જુઓ અને કાઢી નાખો
અગાઉ ઉલ્લેખ કર્યો છે તેમ, ફાયરવૉલનું નિયંત્રણ મેન્યુઅલ દ્વારા અથવા આપમેળે નિયમો ઉમેરવાથી કરવામાં આવે છે. ઉદાહરણ તરીકે, કેટલીક વધારાની એપ્લિકેશંસ અમુક નીતિઓને બદલીને ટૂલને ઍક્સેસ કરી શકે છે. જો કે, મોટાભાગની કેટલીક ક્રિયાઓ હજી પણ મેન્યુઅલી કરવામાં આવે છે. બધા વર્તમાન નિયમોની સૂચિ જોવી સુડો iptables-l આદેશ દ્વારા ઉપલબ્ધ છે.
પ્રદર્શિત પરિણામોમાં ત્રણ સાંકળો પરની માહિતી હશે: "ઇનપુટ", "આઉટપુટ" અને "ફોરવર્ડ" - ઇનકમિંગ, આઉટગોઇંગ અને ફોરવર્ડિંગ ટ્રાફિક અનુક્રમે.
તમે સુડો iptables-s દાખલ કરીને બધી સાંકળોની સ્થિતિને વ્યાખ્યાયિત કરી શકો છો.
જો નિયમો જોવામાં આવેલા નિયમો તમારાથી સંતુષ્ટ નથી, તો તેઓ ફક્ત કાઢી નાખવામાં આવે છે. આખી સૂચિ આની જેમ સાફ થઈ ગઈ છે: સુડો iptables -f. સક્રિયકરણ પછી, આખા ત્રણ સાંકળો માટે નિયમ સંપૂર્ણપણે ભૂંસી નાખવામાં આવશે.
જ્યારે તમારે ફક્ત કેટલીક સાંકળમાંથી ફક્ત નીતિઓને અસર કરવાની જરૂર હોય ત્યારે, વધારાની દલીલ રેખામાં ઉમેરવામાં આવે છે:
સુડો iptables- એફ ઇનપુટ
સુડો iptables -f આઉટપુટ
સુડો iptables -f આગળ
બધા નિયમોની ગેરહાજરીનો અર્થ એ છે કે કોઈપણ ભાગમાં કોઈ ટ્રાફિક ફિલ્ટરિંગ સેટિંગ્સનો ઉપયોગ થતો નથી. આગળ, સિસ્ટમ સંચાલક સ્વતંત્ર રીતે સમાન કન્સોલ, આદેશ અને વિવિધ દલીલોનો ઉપયોગ કરીને નવા પરિમાણોને સ્વતંત્ર રીતે સ્પષ્ટ કરશે.
સાંકળોમાં ટ્રાફિક પ્રાપ્ત કરવી અને ડ્રોપ કરવું
દરેક ચેઇન ટ્રાફિક મેળવવા અથવા અવરોધિત કરવા માટે અલગથી ગોઠવેલું છે. ચોક્કસ અર્થ સેટ કરીને, તે પ્રાપ્ત કરી શકાય છે, ઉદાહરણ તરીકે, બધા આવનારા ટ્રાફિકને અવરોધિત કરવામાં આવશે. આ કરવા માટે, આદેશ સુડો iptables --policy ઇનપુટ ડ્રોપ હોવું આવશ્યક છે, જ્યાં ઇનપુટ સાંકળનું નામ છે, અને ડ્રોપ એ ડિસ્ચાર્જ મૂલ્ય છે.
બરાબર એ જ પરિમાણો અન્ય સર્કિટ્સ માટે સેટ કરવામાં આવે છે, ઉદાહરણ તરીકે, સુડો iptables --policy આઉટપુટ ડ્રોપ. જો તમારે ટ્રાફિક પ્રાપ્ત કરવા માટે મૂલ્ય સેટ કરવાની જરૂર છે, તો પછી ડ્રોપ ફેરફારો સ્વીકારો અને તે સુડો iptables --policy ઇનપુટ સ્વીકારે છે.
પોર્ટ રિઝોલ્યુશન અને લૉક
જેમ તમે જાણો છો, બધા નેટવર્ક એપ્લિકેશન્સ અને પ્રક્રિયાઓ ચોક્કસ પોર્ટ દ્વારા કાર્ય કરે છે. ચોક્કસ સરનામાંને અવરોધિત અથવા ઉકેલવાથી, તમે બધા નેટવર્ક હેતુઓની ઍક્સેસની દેખરેખ રાખી શકો છો. ચાલો પહેલા પોર્ટ ફોર ફોર ફોર ફોર ફોર ફોર ફોર ફોર ફોર ફોરવર્ડ કરીએ. ટર્મિનલમાં, તે સુડો iptables દાખલ કરવા માટે પૂરતું હશે - એક ઇનપુટ -p tcp --dport 80 -J સ્વીકારવામાં આવે છે, જ્યાં - એક નવો નિયમ, ઇનપુટ - સૂચન ચેઇન, -પી - પ્રોટોકોલ વ્યાખ્યા આ કિસ્સામાં, ટીસીપી, એ - ડિસ્કોર્ટ એ ગંતવ્ય પોર્ટ છે.
બરાબર આ જ આદેશ પોર્ટ 22 પર પણ લાગુ પડે છે, જેનો ઉપયોગ એસએસએચ સર્વિસ દ્વારા થાય છે: સુડો IPTables- એ ઇનપુટ-પી TCP --dport 22-એ સ્વીકારો.
ઉલ્લેખિત પોર્ટને અવરોધિત કરવા માટે, સ્ટ્રિંગનો ઉપયોગ બરાબર એક જ પ્રકારનો ઉપયોગ થાય છે, ફક્ત સ્વીકૃત ફેરફારોના અંતમાં ડ્રોપમાં બદલાવો. પરિણામે, તે તારણ આપે છે, ઉદાહરણ તરીકે, સુડો iptables -a ઇનપુટ -p tcp --dport 2450 -j ડ્રોપ.
આ બધા નિયમો ગોઠવણી ફાઇલમાં દાખલ થયા છે અને તમે તેમને કોઈપણ સમયે જોઈ શકો છો. અમે તમને યાદ કરાવીએ છીએ, તે સુડો iptables-l દ્વારા કરવામાં આવે છે. જો તમારે પોર્ટ સાથે પોર્ટ સાથે નેટવર્ક IP સરનામાંને એકસાથે મંજૂરી આપવાની જરૂર હોય, તો સ્ટ્રિંગ સહેજ સુધારેલ છે - ટી.પી.સી. ઉમેરવામાં આવે છે અને સરનામું પોતે જ છે. સુડો iptables-A ઇનપુટ -p tcp -s 12.12.12.12/32 --dport 22 -j સ્વીકારો, જ્યાં 12.12.12.12/32 એ આવશ્યક IP સરનામું છે.
બ્લોકિંગ એ જ સિદ્ધાંત પર થાય છે જે અંતમાં બદલાવના મૂલ્યને ઘટાડે છે. પછી તે તારણ આપે છે, ઉદાહરણ તરીકે, સુડો iptables-A ઇનપુટ -p tcp -s 12.12.12.0/224 --dport 22 -j ડ્રોપ.
આઇસીએમપી બ્લોકીંગ
આઇસીએમપી (ઇન્ટરનેટ કંટ્રોલ મેસેજ પ્રોટોકોલ) - પ્રોટોકોલ કે જે TCP / IP માં શામેલ છે અને ટ્રાફિક સાથે કામ કરતી વખતે ભૂલ સંદેશાઓ અને કટોકટીની પરિસ્થિતિઓને પ્રસારિત કરવામાં સામેલ છે. ઉદાહરણ તરીકે, જ્યારે વિનંતી કરેલ સર્વર ઉપલબ્ધ ન હોય, ત્યારે આ સાધન સેવા કાર્યો કરે છે. Iptables ઉપયોગીતા તમને ફાયરવૉલ દ્વારા તેને અવરોધિત કરવાની મંજૂરી આપે છે, અને તમે તેને સુડો iptables-A નો ઉપયોગ કરીને બનાવી શકો છો -p icmp -icmp-typer 8 -J ડ્રોપ આદેશ. તે તમારા અને તમારા સર્વરથી વિનંતીઓને અવરોધિત કરશે.
ઇનકમિંગ વિનંતીઓ થોડી અલગ અવરોધિત છે. પછી તમારે સુડો iptables-I ઇનપુટ -p icmp --icmp-પ્રકાર 8-J ડ્રોપ દાખલ કરવાની જરૂર છે. આ નિયમોને સક્રિય કર્યા પછી, સર્વર પિંગ વિનંતીઓને જવાબ આપશે નહીં.
સર્વર પર અનધિકૃત ક્રિયાઓ અટકાવો
કેટલીકવાર સર્વરો ડીએડોઓ હુમલાઓ અથવા ઘુસણખોરીથી અન્ય અનધિકૃત ક્રિયાઓને આધિન છે. ફાયરવૉલની સાચી ગોઠવણ તમને આ પ્રકારની હેકિંગથી તમારી જાતને સુરક્ષિત કરવા દેશે. પ્રારંભ કરવા માટે, અમે આવા નિયમોને સેટ કરવાની ભલામણ કરીએ છીએ:
- અમે iptables માં લખીએ છીએ - એક ઇનપુટ -p tcp --dport 80 -m મર્યાદા --limit 20 / મિનિટ --limit-burst 100 -J સ્વીકારો, જ્યાં --limit 20 / મિનિટ હકારાત્મક પરિણામોની આવર્તન પર મર્યાદા છે . તમે માપણીનો એકમ જાતે ઉલ્લેખિત કરી શકો છો, ઉદાહરણ તરીકે, / સેકંડ, / મિનિટ, / કલાક, / દિવસ. - લિમિટેડ-વિસ્ફોટ નંબર - ગુમ થયેલ પેકેજોની સંખ્યા પર મર્યાદા. બધા મૂલ્યો એડમિનિસ્ટ્રેટર પસંદગીઓ અનુસાર વ્યક્તિગત રીતે પ્રદર્શિત થાય છે.
- આગળ, તમે હેકિંગના સંભવિત કારણોમાંથી એકને દૂર કરવા માટે ખુલ્લા પોર્ટ્સની સ્કેનિંગને પ્રતિબંધિત કરી શકો છો. પ્રથમ સુડો iptables --n બ્લોક-સ્કેન કમાન્ડ દાખલ કરો.
- પછી સુડો iptables નો ઉલ્લેખ કરો - એક બ્લોક-સ્કેન-પી ટીસીપી-ટીસીપી-ફ્લેગ્સ સમન, ACK, FIN, RST-M મર્યાદા -limit 1 / s-J પરત.
- છેલ્લા ત્રીજા આદેશ એ છે: સુડો iptables- એક બ્લોક-સ્કેન -જે ડ્રોપ. આ કિસ્સાઓમાં બ્લોક-સ્કેન અભિવ્યક્તિ - સર્કિટનું નામ વપરાય છે.
આજે બતાવેલ સેટિંગ્સ ફાયરવૉલના નિયંત્રણ સાધનમાં ફક્ત તે જ આધાર છે. ઉપયોગિતાના સત્તાવાર દસ્તાવેજીકરણમાં તમને બધા ઉપલબ્ધ દલીલો અને વિકલ્પોનું વર્ણન મળશે અને તમે તમારી વિનંતીઓ હેઠળ ખાસ કરીને ફાયરવૉલને ગોઠવી શકો છો. માનક સુરક્ષા નિયમો ઉપર, જે મોટાભાગે વારંવાર લાગુ થાય છે અને મોટાભાગના કિસ્સાઓમાં આવશ્યક છે.