הגדרת iptables ב סנטוס 7

בכל מערכות ההפעלה המבוססות על ליבה לינוקס, קיימת חומת אש מובנית, ביצוע שליטה וסינון של תנועה נכנסת ויוצאת, בהתבסס על הכללים שצוינו או הפלטפורמה. בהפצה של סנטוס 7, כלי השירות iPtables מבצע פונקציה כזו, אינטראקציה עם חומת האש המובנית של Netfilter. לפעמים מנהל המערכת או מנהל הרשת צריך להגדיר את הפעולה של רכיב זה, רשם את הכללים הרלוונטיים. במסגרת המאמר של היום, ברצוננו לדבר על היסודות של תצורת iPtables בהפעלה הנ"ל.

הגדר iptables ב סנטוס 7

הכלי עצמו נגיש לעבודה מיד לאחר ההתקנה של Centos 7 הושלמה, אבל עוד יצטרך להתקין כמה שירותים, אשר נדבר על. בפלטפורמה תחת שיקול יש כלי מובנה נוסף שמבצע את פונקציית האש שנקרא Firewalld. כדי למנוע קונפליקטים, עם עבודה נוספת, אנו ממליצים על מושבת רכיב זה. הוראות מורחבות בנושא זה קרא בחומר אחר בקישור הבא.

קרא עוד: השבת חומת אש ב סנטוס 7

כפי שאתה יודע, את הפרוטוקולים IPv4 ו- IPv6 ניתן להחיל במערכת. היום נתמקד בדוגמה IPv4, אבל אם אתה רוצה להגדיר עבור פרוטוקול אחר, תצטרך במקום צוות. Iptables. בשימוש קונסולת IP6Tables.

התקנת IPTABLES.

זה צריך להיות עדיפות למערכת רכיבים נוספים של כלי השירות הנדון כיום. הם יעזרו בקביעת הכללים ולפרמטרים אחרים. טעינה מתבצעת מן המאגר הרשמי, אז זה לא לוקח הרבה זמן.

כל הפעולות הנוספות ייעשו במסוף הקלאסי, כך להפעיל אותו בכל שיטה נוחה.

הפעלת הטרמינל כדי להגדיר את השירות iptables ב סנטוס 7

ה- Sudo Yum להתקין את הפקודה שירותי IPTables אחראי להתקנת השירותים. הזן אותו ולחץ על מקש Enter.

אשר את חשבון Superuser על ידי ציון הסיסמה ממנו. לידיעתך, כאשר שאילתות Sudo, תווים שהוזנו בשורה אינם מוצגים.

הזן את הסיסמה כדי להתקין iptables ב סנטוס 7 דרך הטרמינל

זה יהיה מוצע להוסיף חבילה אחת למערכת, לאשר פעולה זו על ידי בחירת גירסת Y.

אישור של הוספת חבילות שירות iptables חדש centos 7

עם השלמת ההתקנה, בדוק את הגירסה הנוכחית של הכלי: Sudo iptables - Oversion.

בדיקת הגירסה של השירות iptables ב סנטוס 7 דרך הטרמינל

התוצאה תופיע במחרוזת החדשה.

הצגת הגרסה הנוכחית של כלי השירות iptables ב סנטוס 7 דרך הטרמינל

עכשיו מערכת ההפעלה היא לגמרי מוכן לתצורה נוספת של חומת האש באמצעות השירות iptables. אנו מציעים להכיר את עצמך עם התצורה על פריטים, החל עם ניהול שירותים.

עצירת ושיגור שירותים iptables

IPTables מצב ניהול נדרש במקרים שבהם אתה צריך לבדוק את הפעולה של כללים מסוימים או פשוט להפעיל מחדש את הרכיב. זה נעשה באמצעות פקודות מוטבע.

הזן את Sudo Service Itables עצור ולחץ על מקש Enter כדי לעצור את השירותים.

עצירת שירותי השירות iptables ב סנטוס 7 דרך הטרמינל

כדי לאשר הליך זה, ציין את סיסמת Superuser.

כניסה סיסמה כדי לעצור iptables שירותים ב סנטוס 7

אם התהליך מוצלח, יוצג מחרוזת חדשה, מצביע על שינויים בקובץ התצורה.

הודעה על הפסקת שירות שירות iptables ב סנטוס 7

ההשקה של השירותים מבוצעת כמעט באותו אופן, רק הקו רוכש את Sudo Super Weatables התחל.

הפעל iptables שירות שירותים centos 7 בטרמינל

אתחול דומה, החל או לעצור את השירות זמין בכל עת, אל תשכח רק כדי להחזיר את הערך הפוך כאשר זה יהיה ביקוש.

להציג ולמחוק כללים

כפי שהוזכר קודם לכן, השליטה של חומת האש מבוצעת על ידי הוראות או הוספת כללים באופן אוטומטי. לדוגמה, כמה יישומים נוספים יכולים לגשת לכלי, לשנות מדיניות מסוימת. עם זאת, רוב הפעולות האלה עדיין נעשה באופן ידני. הצגת רשימה של כל הכללים הנוכחיים זמינים באמצעות הפקודה Sudo Iptables -L.

הצגת רשימה של כל חוקי השירות Iptables הנוכחי ב Centos 7

בתוצאה המוצגת יהיו מידע על שלושה שרשראות: "קלט", "פלט" ו "קדימה" - תנועה נכנסת, יוצאת והעברה, בהתאמה.

תצוגה של רשימת כל הכללים iptables ב סנטוס 7

אתה יכול להגדיר את הסטטוס של כל השרשראות על ידי הזנת סודו iptabless.

הצגת רשימת מעגלי השירות iPtables ב סנטוס 7

אם הכללים נראים אינם מרוצים ממך, הם פשוט נמחקים. הרשימה כולה נמוכה ככה: סודו iptables -f. לאחר ההפעלה, הכלל יימחק לחלוטין עבור כל שלושת השרשראות.

ברור רשימה של כל הכללים iptables Utilities ב סנטוס 7

כאשר אתה צריך להשפיע רק על המדיניות של שרשרת אחת, ויכוח נוסף מתווסף לקו:

Sudo iptables -F קלט

Sudo iptables -F פלט

סודו iptables -F קדימה

נקה את רשימת הכללים עבור שרשרת iptables ספציפיים ב סנטוס 7

היעדר כל הכללים פירושו שאין בהגדרות סינון תנועה ללא כל חלק. לאחר מכן, מנהל המערכת יציין באופן עצמאי פרמטרים חדשים באמצעות אותו קונסולה, הפקודה וטיעונים שונים.

קבלת ושחרור התנועה בשרשראות

כל שרשרת מוגדרת בנפרד לקבלת או חסימת תנועה. על ידי קביעת משמעות מסוימת, ניתן להשיג זאת, למשל, כל התנועה הנכנסת ייחסמו. לשם כך, הפקודה צריכה להיות סודו iptables - ירידה קלט, שם קלט הוא שם השרשרת, ושחרר הוא ערך פריקה.

אפס שאילתות נכנסות בתועלת iPtables ב סנטוס 7

בדיוק אותם פרמטרים מוגדרים עבור מעגלים אחרים, למשל, sudo iptables - ירידה של פלט פתול. אם אתה צריך להגדיר ערך לקבלת תנועה, אז שינויים ירידה על קבל ומתברר sudo iptables - קלט supolicy לקבל.

רזולוציה נמל ולנעול

כפי שאתה יודע, כל יישומי רשת ותהליכים לעבוד דרך יציאה מסוימת. על ידי חסימת או פתרונות מסוימים, באפשרותך לעקוב אחר הגישה של כל מטרות הרשת. בואו לנתח את היציאה קדימה למשל 80. בטרמינל, זה יהיה מספיק כדי להיכנס sudo iptables - קלט -P TCP --DPORT 80 -J לקבל פקודה, שבו - הוספת כלל חדש, קלט - הצעה של ההגדרה, -P - פרוטוקול במקרה זה, TCP, A - Dport היא יציאת יעד.

כלל לפתיחת נמל 80 ב Iptables השירות ב סנטוס 7

בדיוק אותה פקודה חל גם על יציאה 22, המשמשת את שירות SSH: Sudo Iptables -A קלט -P TCP --DPORT 22 -J לקבל.

כלל לפתיחת נמל 22 ב Iptables השירות ב סנטוס 7

כדי לחסום את הנמל שצוין, המחרוזת משמשת בדיוק באותו סוג, רק בסוף השינויים לקבל. כתוצאה מכך, מתברר, לדוגמה, sudo iptables -a קלט -p tcp - dport 2450 -j ירידה.

כלל עבור איסור נמל ב Iptables השירות ב סנטוס 7

כל הכללים האלה מוזנים בקובץ התצורה ואתה יכול להציג אותם בכל עת. אנחנו מזכירים לך, זה נעשה דרך sudo iptables -L. אם עליך לאפשר כתובת IP של רשת עם היציאה יחד עם היציאה, המחרוזת שונה במקצת - לאחר TPC מתווספת והכתובת עצמה. Sudo iPtables -A קלט -P TCP -S 12.12.12.12/32 - DPORT 22 -J לקבל, כאשר 12.12.12.12/32 הוא כתובת ה- IP הנדרשת.

כלל לקבלת כתובות IP ונמל ב Iptables ב סנטוס 7

חסימה מתרחשת באותו עיקרון על ידי שינוי בסוף הערך של קבל על הירידה. לאחר מכן מתברר, לדוגמה, Sudo Iptables - קלט -P -P TCP -S 12.12.12.0/224 - DPORT 22 -J ירידה.

כלל לחסימת כתובות IP ונמל ב Iptables ב Centos 7

ICMP חסימת

ICMP (פרוטוקול של בקרת האינטרנט) - פרוטוקול הכלול ב- TCP / IP והוא מעורב בהעברת הודעות שגיאה ומצבי חירום בעת עבודה עם התנועה. לדוגמה, כאשר השרת המבוקש אינו זמין, כלי זה מבצע פונקציות שירות. כלי השירות iPtables מאפשר לך לחסום אותו דרך חומת האש, ואתה יכול לעשות את זה באמצעות סודו iptables -A פלט -P ICMP - Type-Type 8 -J Drop Command. זה יחסום בקשות שלך ושרת שלך.

הכלל הראשון לחסום את iptables חיבור centos 7

בקשות נכנסות חסומות קצת שונה. אז אתה צריך להזין את sudo iptables-i קלט -P ICMP - Type סוג 8 -J ירידה. לאחר הפעלת הכללים האלה, השרת לא יגיב לבקשות פינג.

הכלל השני כדי לנעול את החיבור iptables ב סנטוס 7

למנוע פעולות לא מורשות בשרת

לפעמים שרתים נתונים להתקפות DDOS או פעולות בלתי מורשות אחרות של פולשים. ההתאמה הנכונה של חומת האש תאפשר לך להגן על עצמך מפני פריצה מסוג זה. ראשית, אנו ממליצים על הגדרת כללים כאלה:

אנו כותבים ב- IPTABLES-APT -P TCP - DPREPT 80 -M להגביל את 20 / דקה - Burst 100 -J לקבל, שבו 20 / דקה הוא גבול על התדירות של תוצאות חיוביות . אתה יכול לציין יחידת מדידה בעצמך, למשל, / שנית, / דקה, / שעה, / יום. - מספר פרץ - להגביל על מספר החבילות החסרות. כל הערכים מוצגים בנפרד בהתאם להעדפות מנהל המערכת.

לאחר מכן, אתה יכול לאסור את סריקת יציאות פתוחות כדי להסיר את אחד הגורמים האפשריים של פריצה. הזן את הפקודה הראשונה של SUDO IPTUBLES-NACK.

הכלל הראשון לאסור יציאות iptables ב סנטוס 7

לאחר מכן ציין את sudo iptables -A בלוק סריקה -P TCP -TCP-flags syn, Ack, סנפיר, RST -M להגביל - 1 / s-gible.

הכלל השני כדי לאסור יציאות iptables ב סנטוס 7

הפקודה השלישית האחרונה היא: sudo iptables -a בלוק- scan-j ירידה. ביטוי לסרוק במקרים אלה - שם המעגל המשמש.

הכלל השלישי לחסום את נמל הסריקה של iptables ב סנטוס 7

ההגדרות המוצגות כיום הן רק את הבסיס לעבודה במכשולם הבקרה של חומת האש. בתיעוד הרשמי של כלי השירות תוכלו למצוא תיאור של כל הארגומנטים והאפשרויות הזמינים ואתה יכול להגדיר את חומת האש במיוחד תחת הבקשות שלך. מעל כללי האבטחה הרגילים, אשר מיושמים לרוב וברוב המקרים נדרשים.