בכל מערכות ההפעלה המבוססות על ליבה לינוקס, קיימת חומת אש מובנית, ביצוע שליטה וסינון של תנועה נכנסת ויוצאת, בהתבסס על הכללים שצוינו או הפלטפורמה. בהפצה של סנטוס 7, כלי השירות iPtables מבצע פונקציה כזו, אינטראקציה עם חומת האש המובנית של Netfilter. לפעמים מנהל המערכת או מנהל הרשת צריך להגדיר את הפעולה של רכיב זה, רשם את הכללים הרלוונטיים. במסגרת המאמר של היום, ברצוננו לדבר על היסודות של תצורת iPtables בהפעלה הנ"ל.
הגדר iptables ב סנטוס 7
הכלי עצמו נגיש לעבודה מיד לאחר ההתקנה של Centos 7 הושלמה, אבל עוד יצטרך להתקין כמה שירותים, אשר נדבר על. בפלטפורמה תחת שיקול יש כלי מובנה נוסף שמבצע את פונקציית האש שנקרא Firewalld. כדי למנוע קונפליקטים, עם עבודה נוספת, אנו ממליצים על מושבת רכיב זה. הוראות מורחבות בנושא זה קרא בחומר אחר בקישור הבא.קרא עוד: השבת חומת אש ב סנטוס 7
כפי שאתה יודע, את הפרוטוקולים IPv4 ו- IPv6 ניתן להחיל במערכת. היום נתמקד בדוגמה IPv4, אבל אם אתה רוצה להגדיר עבור פרוטוקול אחר, תצטרך במקום צוות. Iptables. בשימוש קונסולת IP6Tables.
התקנת IPTABLES.
זה צריך להיות עדיפות למערכת רכיבים נוספים של כלי השירות הנדון כיום. הם יעזרו בקביעת הכללים ולפרמטרים אחרים. טעינה מתבצעת מן המאגר הרשמי, אז זה לא לוקח הרבה זמן.
- כל הפעולות הנוספות ייעשו במסוף הקלאסי, כך להפעיל אותו בכל שיטה נוחה.
- ה- Sudo Yum להתקין את הפקודה שירותי IPTables אחראי להתקנת השירותים. הזן אותו ולחץ על מקש Enter.
- אשר את חשבון Superuser על ידי ציון הסיסמה ממנו. לידיעתך, כאשר שאילתות Sudo, תווים שהוזנו בשורה אינם מוצגים.
- זה יהיה מוצע להוסיף חבילה אחת למערכת, לאשר פעולה זו על ידי בחירת גירסת Y.
- עם השלמת ההתקנה, בדוק את הגירסה הנוכחית של הכלי: Sudo iptables - Oversion.
- התוצאה תופיע במחרוזת החדשה.
עכשיו מערכת ההפעלה היא לגמרי מוכן לתצורה נוספת של חומת האש באמצעות השירות iptables. אנו מציעים להכיר את עצמך עם התצורה על פריטים, החל עם ניהול שירותים.
עצירת ושיגור שירותים iptables
IPTables מצב ניהול נדרש במקרים שבהם אתה צריך לבדוק את הפעולה של כללים מסוימים או פשוט להפעיל מחדש את הרכיב. זה נעשה באמצעות פקודות מוטבע.
- הזן את Sudo Service Itables עצור ולחץ על מקש Enter כדי לעצור את השירותים.
- כדי לאשר הליך זה, ציין את סיסמת Superuser.
- אם התהליך מוצלח, יוצג מחרוזת חדשה, מצביע על שינויים בקובץ התצורה.
- ההשקה של השירותים מבוצעת כמעט באותו אופן, רק הקו רוכש את Sudo Super Weatables התחל.
אתחול דומה, החל או לעצור את השירות זמין בכל עת, אל תשכח רק כדי להחזיר את הערך הפוך כאשר זה יהיה ביקוש.
להציג ולמחוק כללים
כפי שהוזכר קודם לכן, השליטה של חומת האש מבוצעת על ידי הוראות או הוספת כללים באופן אוטומטי. לדוגמה, כמה יישומים נוספים יכולים לגשת לכלי, לשנות מדיניות מסוימת. עם זאת, רוב הפעולות האלה עדיין נעשה באופן ידני. הצגת רשימה של כל הכללים הנוכחיים זמינים באמצעות הפקודה Sudo Iptables -L.
בתוצאה המוצגת יהיו מידע על שלושה שרשראות: "קלט", "פלט" ו "קדימה" - תנועה נכנסת, יוצאת והעברה, בהתאמה.
אתה יכול להגדיר את הסטטוס של כל השרשראות על ידי הזנת סודו iptabless.
אם הכללים נראים אינם מרוצים ממך, הם פשוט נמחקים. הרשימה כולה נמוכה ככה: סודו iptables -f. לאחר ההפעלה, הכלל יימחק לחלוטין עבור כל שלושת השרשראות.
כאשר אתה צריך להשפיע רק על המדיניות של שרשרת אחת, ויכוח נוסף מתווסף לקו:
Sudo iptables -F קלט
Sudo iptables -F פלט
סודו iptables -F קדימה
היעדר כל הכללים פירושו שאין בהגדרות סינון תנועה ללא כל חלק. לאחר מכן, מנהל המערכת יציין באופן עצמאי פרמטרים חדשים באמצעות אותו קונסולה, הפקודה וטיעונים שונים.
קבלת ושחרור התנועה בשרשראות
כל שרשרת מוגדרת בנפרד לקבלת או חסימת תנועה. על ידי קביעת משמעות מסוימת, ניתן להשיג זאת, למשל, כל התנועה הנכנסת ייחסמו. לשם כך, הפקודה צריכה להיות סודו iptables - ירידה קלט, שם קלט הוא שם השרשרת, ושחרר הוא ערך פריקה.
בדיוק אותם פרמטרים מוגדרים עבור מעגלים אחרים, למשל, sudo iptables - ירידה של פלט פתול. אם אתה צריך להגדיר ערך לקבלת תנועה, אז שינויים ירידה על קבל ומתברר sudo iptables - קלט supolicy לקבל.
רזולוציה נמל ולנעול
כפי שאתה יודע, כל יישומי רשת ותהליכים לעבוד דרך יציאה מסוימת. על ידי חסימת או פתרונות מסוימים, באפשרותך לעקוב אחר הגישה של כל מטרות הרשת. בואו לנתח את היציאה קדימה למשל 80. בטרמינל, זה יהיה מספיק כדי להיכנס sudo iptables - קלט -P TCP --DPORT 80 -J לקבל פקודה, שבו - הוספת כלל חדש, קלט - הצעה של ההגדרה, -P - פרוטוקול במקרה זה, TCP, A - Dport היא יציאת יעד.
בדיוק אותה פקודה חל גם על יציאה 22, המשמשת את שירות SSH: Sudo Iptables -A קלט -P TCP --DPORT 22 -J לקבל.
כדי לחסום את הנמל שצוין, המחרוזת משמשת בדיוק באותו סוג, רק בסוף השינויים לקבל. כתוצאה מכך, מתברר, לדוגמה, sudo iptables -a קלט -p tcp - dport 2450 -j ירידה.
כל הכללים האלה מוזנים בקובץ התצורה ואתה יכול להציג אותם בכל עת. אנחנו מזכירים לך, זה נעשה דרך sudo iptables -L. אם עליך לאפשר כתובת IP של רשת עם היציאה יחד עם היציאה, המחרוזת שונה במקצת - לאחר TPC מתווספת והכתובת עצמה. Sudo iPtables -A קלט -P TCP -S 12.12.12.12/32 - DPORT 22 -J לקבל, כאשר 12.12.12.12/32 הוא כתובת ה- IP הנדרשת.
חסימה מתרחשת באותו עיקרון על ידי שינוי בסוף הערך של קבל על הירידה. לאחר מכן מתברר, לדוגמה, Sudo Iptables - קלט -P -P TCP -S 12.12.12.0/224 - DPORT 22 -J ירידה.
ICMP חסימת
ICMP (פרוטוקול של בקרת האינטרנט) - פרוטוקול הכלול ב- TCP / IP והוא מעורב בהעברת הודעות שגיאה ומצבי חירום בעת עבודה עם התנועה. לדוגמה, כאשר השרת המבוקש אינו זמין, כלי זה מבצע פונקציות שירות. כלי השירות iPtables מאפשר לך לחסום אותו דרך חומת האש, ואתה יכול לעשות את זה באמצעות סודו iptables -A פלט -P ICMP - Type-Type 8 -J Drop Command. זה יחסום בקשות שלך ושרת שלך.
בקשות נכנסות חסומות קצת שונה. אז אתה צריך להזין את sudo iptables-i קלט -P ICMP - Type סוג 8 -J ירידה. לאחר הפעלת הכללים האלה, השרת לא יגיב לבקשות פינג.
למנוע פעולות לא מורשות בשרת
לפעמים שרתים נתונים להתקפות DDOS או פעולות בלתי מורשות אחרות של פולשים. ההתאמה הנכונה של חומת האש תאפשר לך להגן על עצמך מפני פריצה מסוג זה. ראשית, אנו ממליצים על הגדרת כללים כאלה:
- אנו כותבים ב- IPTABLES-APT -P TCP - DPREPT 80 -M להגביל את 20 / דקה - Burst 100 -J לקבל, שבו 20 / דקה הוא גבול על התדירות של תוצאות חיוביות . אתה יכול לציין יחידת מדידה בעצמך, למשל, / שנית, / דקה, / שעה, / יום. - מספר פרץ - להגביל על מספר החבילות החסרות. כל הערכים מוצגים בנפרד בהתאם להעדפות מנהל המערכת.
- לאחר מכן, אתה יכול לאסור את סריקת יציאות פתוחות כדי להסיר את אחד הגורמים האפשריים של פריצה. הזן את הפקודה הראשונה של SUDO IPTUBLES-NACK.
- לאחר מכן ציין את sudo iptables -A בלוק סריקה -P TCP -TCP-flags syn, Ack, סנפיר, RST -M להגביל - 1 / s-gible.
- הפקודה השלישית האחרונה היא: sudo iptables -a בלוק- scan-j ירידה. ביטוי לסרוק במקרים אלה - שם המעגל המשמש.
ההגדרות המוצגות כיום הן רק את הבסיס לעבודה במכשולם הבקרה של חומת האש. בתיעוד הרשמי של כלי השירות תוכלו למצוא תיאור של כל הארגומנטים והאפשרויות הזמינים ואתה יכול להגדיר את חומת האש במיוחד תחת הבקשות שלך. מעל כללי האבטחה הרגילים, אשר מיושמים לרוב וברוב המקרים נדרשים.