लिनक्स कर्नेल के आधार पर सभी ऑपरेटिंग सिस्टम में, एक अंतर्निहित फ़ायरवॉल है, जो निर्दिष्ट या प्लेटफ़ॉर्म के आधार पर आने वाले और आउटगोइंग यातायात के नियंत्रण और फ़िल्टरिंग का प्रदर्शन करता है। सेंटोस 7 वितरण में, आईपीटीजीबल उपयोगिता इस तरह के एक समारोह को निष्पादित करती है, अंतर्निहित नेटफिल्टर फ़ायरवॉल के साथ बातचीत करती है। कभी-कभी सिस्टम प्रशासक या नेटवर्क प्रबंधक को प्रासंगिक नियमों को निर्धारित करने के लिए इस घटक के संचालन को कॉन्फ़िगर करना होता है। आज के लेख के हिस्से के रूप में, हम उपर्युक्त ओएस में iptables कॉन्फ़िगरेशन की मूल बातें के बारे में बात करना चाहते हैं।
Centos 7 में iptables कॉन्फ़िगर करें
सेंटोस 7 की स्थापना के तुरंत बाद टूल स्वयं ही पहुंच योग्य है, लेकिन कुछ सेवाओं को स्थापित करने की आवश्यकता होगी, जिनके बारे में हम बात करेंगे। विचाराधीन मंच में एक और अंतर्निहित उपकरण है जो फ़ायरवॉल्ड नामक फ़ायरवॉल फ़ंक्शन करता है। संघर्ष से बचने के लिए, आगे के काम के साथ, हम इस घटक को अक्षम करने की सलाह देते हैं। इस विषय पर विस्तारित निर्देश निम्नलिखित लिंक पर किसी अन्य सामग्री में पढ़ें।और पढ़ें: Centos 7 में फ़ायरवॉल को अक्षम करें
जैसा कि आप जानते हैं, आईपीवी 4 और आईपीवी 6 प्रोटोकॉल सिस्टम में लागू किए जा सकते हैं। आज हम आईपीवी 4 उदाहरण पर ध्यान केंद्रित करेंगे, लेकिन यदि आप किसी अन्य प्रोटोकॉल के लिए कॉन्फ़िगर करना चाहते हैं, तो आपको एक टीम की बजाय आवश्यकता होगी। Iptables। कंसोल उपयोग में Ip6tables.
Iptables स्थापित करना
इसे आज विचाराधीन उपयोगिता के अतिरिक्त घटकों को प्राथमिकता दी जानी चाहिए। वे नियमों और अन्य मानकों को स्थापित करने में मदद करेंगे। लोडिंग आधिकारिक भंडार से किया जाता है, इसलिए इसमें अधिक समय नहीं लगता है।
- शास्त्रीय कंसोल में सभी आगे की कार्रवाई की जाएगी, इसलिए इसे किसी भी सुविधाजनक विधि से चलाएं।
- SUDO YUM इंस्टॉल Iptables-Services कमांड सेवाओं को स्थापित करने के लिए जिम्मेदार है। इसे दर्ज करें और Enter कुंजी दबाएं।
- पासवर्ड को निर्दिष्ट करके सुपरयुसर खाते की पुष्टि करें। कृपया ध्यान दें कि जब queries sudo, पंक्ति में दर्ज वर्ण कभी प्रदर्शित नहीं होते हैं।
- सिस्टम में एक पैकेज जोड़ने का प्रस्ताव दिया जाएगा, वाई संस्करण का चयन करके इस क्रिया की पुष्टि करें।
- स्थापना के पूरा होने पर, टूल के वर्तमान संस्करण की जांच करें: सुडो iptables --version।
- परिणाम नई स्ट्रिंग में दिखाई देगा।
अब ओएस आईपीटीबल उपयोगिता के माध्यम से फ़ायरवॉल की आगे की कॉन्फ़िगरेशन के लिए पूरी तरह से तैयार है। हम प्रबंधन सेवाओं से शुरू होने वाले वस्तुओं पर विन्यास के साथ खुद को परिचित करने का सुझाव देते हैं।
Iptables सेवाओं को रोकना और लॉन्च करना
Iptables मोड प्रबंधन उन मामलों में आवश्यक है जहां आपको कुछ नियमों की कार्रवाई की जांच करने की आवश्यकता है या बस घटक को पुनरारंभ करना होगा। यह एम्बेडेड कमांड का उपयोग करके किया जाता है।
- SUDO सेवा iptables स्टॉप दर्ज करें और सेवाओं को रोकने के लिए ENTER कुंजी पर क्लिक करें।
- इस प्रक्रिया की पुष्टि करने के लिए, सुपरसाइर पासवर्ड निर्दिष्ट करें।
- यदि प्रक्रिया सफल होती है, तो एक नई स्ट्रिंग प्रदर्शित की जाएगी, कॉन्फ़िगरेशन फ़ाइल में परिवर्तन का संकेत दिया जाएगा।
- सेवाओं का लॉन्च लगभग उसी तरह किया जाता है, केवल लाइन सूडो सेवा iptables प्रारंभ दृश्य प्राप्त करती है।
एक समान रीबूट, उपयोगिता को शुरू या रोकना किसी भी समय उपलब्ध है, केवल मांग में होने पर रिवर्स मूल्य को वापस करने के लिए मत भूलना।
नियम देखें और हटाएं
जैसा कि पहले उल्लेख किया गया है, फ़ायरवॉल का नियंत्रण मैन्युअल द्वारा किया जाता है या स्वचालित रूप से नियम जोड़ता है। उदाहरण के लिए, कुछ अतिरिक्त एप्लिकेशन टूल तक पहुंच सकते हैं, कुछ नीतियों को बदल सकते हैं। हालांकि, ऐसे कई कार्य अभी भी मैन्युअल रूप से किए जाते हैं। सभी मौजूदा नियमों की एक सूची देखना सुडो iptables -L कमांड के माध्यम से उपलब्ध है।
प्रदर्शित परिणाम में तीन श्रृंखलाओं पर जानकारी होगी: "इनपुट", "आउटपुट" और "फॉरवर्ड" - इनकमिंग, आउटगोइंग और अग्रेषण यातायात क्रमशः।
आप सूडो iptables -s दर्ज करके सभी श्रृंखलाओं की स्थिति को परिभाषित कर सकते हैं।
यदि देखा गया नियम आपके साथ संतुष्ट नहीं हैं, तो वे बस हटा दिए गए हैं। पूरी सूची इस तरह साफ़ हो गई है: सुडो iptables -f। सक्रियण के बाद, नियम सभी तीन श्रृंखलाओं के लिए पूरी तरह से मिटा दिया जाएगा।
जब आपको कुछ एकल श्रृंखला से केवल नीतियों को प्रभावित करने की आवश्यकता होती है, तो एक अतिरिक्त तर्क लाइन में जोड़ा जाता है:
सुडो iptables -f इनपुट
सुडो iptables -f आउटपुट
Sudo iptables -f आगे
सभी नियमों की अनुपस्थिति का अर्थ है कि किसी भी हिस्से में कोई यातायात फ़िल्टरिंग सेटिंग्स का उपयोग नहीं किया जाता है। इसके बाद, सिस्टम व्यवस्थापक एक ही कंसोल, कमांड और विभिन्न तर्कों का उपयोग करके स्वतंत्र रूप से नए पैरामीटर निर्दिष्ट करेगा।
चेन में यातायात को प्राप्त करना और छोड़ना
यातायात प्राप्त करने या अवरुद्ध करने के लिए प्रत्येक श्रृंखला अलग से कॉन्फ़िगर की जाती है। एक निश्चित अर्थ निर्धारित करके, यह हासिल किया जा सकता है कि, उदाहरण के लिए, सभी आने वाले यातायात को अवरुद्ध कर दिया जाएगा। ऐसा करने के लिए, आदेश सूडो iptables --policy इनपुट ड्रॉप होना चाहिए, जहां इनपुट श्रृंखला का नाम है, और ड्रॉप एक निर्वहन मूल्य है।
बिल्कुल वही पैरामीटर अन्य सर्किट के लिए सेट हैं, उदाहरण के लिए, सूडो iptables --policy आउटपुट ड्रॉप। यदि आपको यातायात प्राप्त करने के लिए एक मान निर्धारित करने की आवश्यकता है, तो ड्रॉप स्वीकार्य परिवर्तन पर परिवर्तन और यह सूडो iptables --policy इनपुट स्वीकार करता है।
पोर्ट रिज़ॉल्यूशन और लॉक
जैसा कि आप जानते हैं, सभी नेटवर्क एप्लिकेशन और प्रक्रियाएं एक निश्चित बंदरगाह के माध्यम से काम करती हैं। कुछ पते को अवरुद्ध या हल करने के द्वारा, आप सभी नेटवर्क उद्देश्यों की पहुंच की निगरानी कर सकते हैं। आइए पोर्ट को उदाहरण के लिए आगे 80 का विश्लेषण करें। टर्मिनल में, यह सूडो iptables में प्रवेश करने के लिए पर्याप्त होगा-ए इनपुट-पी टीसीपी - डीपोर्ट 80-जे कमांड स्वीकार करें, जहां-एक नया नियम जोड़ने, इनपुट - सुझाव श्रृंखला, -पी - प्रोटोकॉल परिभाषा इस मामले में, टीसीपी, ए - डीपोर्ट एक गंतव्य बंदरगाह है।
बिल्कुल वही आदेश पोर्ट 22 पर भी लागू होता है, जिसका उपयोग एसएसएच सेवा द्वारा किया जाता है: सुडो iptables -a इनपुट-पी टीसीपी --dport 22 -j स्वीकार करते हैं।
निर्दिष्ट बंदरगाह को अवरुद्ध करने के लिए, स्ट्रिंग का उपयोग उसी प्रकार का होता है, केवल स्वीकृति परिवर्तन के अंत में ड्रॉप करने के लिए। नतीजतन, यह पता चला है, उदाहरण के लिए, सूडो iptables -a इनपुट-पी टीसीपी - 2450-जे ड्रॉप।
इन सभी नियमों को कॉन्फ़िगरेशन फ़ाइल में दर्ज किया गया है और आप उन्हें किसी भी समय देख सकते हैं। हम आपको याद दिलाते हैं, यह sudo iptables -l के माध्यम से किया जाता है। यदि आपको पोर्ट को पोर्ट के साथ पोर्ट के साथ नेटवर्क आईपी पते की अनुमति देने की आवश्यकता है, तो स्ट्रिंग को थोड़ा संशोधित किया गया है - टीपीसी के बाद जोड़ा जाता है -s और पता स्वयं ही। सुडो iptables -a इनपुट-पी टीसीपी -एस 12.12.12.12/32 --dport 22 -j स्वीकार करें, जहां 12.12.12.12/32 आवश्यक आईपी पता है।
ड्रॉप पर स्वीकार करने के मूल्य को अंत में बदलकर एक ही सिद्धांत पर अवरुद्ध होता है। फिर यह पता चला है, उदाहरण के लिए, सूडो iptables -a इनपुट-पी टीसीपी-एस 12.12.12.0/224 --dport 22 -j ड्रॉप।
आईसीएमपी अवरुद्ध
आईसीएमपी (इंटरनेट कंट्रोल संदेश प्रोटोकॉल) - एक प्रोटोकॉल जो टीसीपी / आईपी में शामिल है और यातायात के साथ काम करते समय त्रुटि संदेशों और आपातकालीन स्थितियों को प्रेषित करने में शामिल है। उदाहरण के लिए, जब अनुरोधित सर्वर उपलब्ध नहीं होता है, तो यह टूल सेवा कार्य करता है। आईपीटीजीबल उपयोगिता आपको फ़ायरवॉल के माध्यम से इसे अवरुद्ध करने की अनुमति देती है, और आप इसे सूडो iptables -a आउटपुट-पी आईसीएमपी --आईसीएमपी-टाइप 8-जे ड्रॉप कमांड का उपयोग करके बना सकते हैं। यह आपके और आपके सर्वर से अनुरोधों को अवरुद्ध करेगा।
आने वाले अनुरोधों को थोड़ा अलग अवरुद्ध कर दिया गया है। फिर आपको सूडो iptables -i इनपुट-पी आईसीएमपी - आईसीएमपी-टाइप 8-जे ड्रॉप में प्रवेश करने की आवश्यकता है। इन नियमों को सक्रिय करने के बाद, सर्वर पिंग अनुरोधों का जवाब नहीं देगा।
सर्वर पर अनधिकृत कार्यों को रोकें
कभी-कभी सर्वर घुसपैठियों से डीडीओएस हमलों या अन्य अनधिकृत कार्यों के अधीन होते हैं। फ़ायरवॉल का सही समायोजन आपको इस तरह के हैकिंग से खुद को बचाने की अनुमति देगा। शुरू करने के लिए, हम ऐसे नियमों को स्थापित करने की सलाह देते हैं:
- हम आईपीटीजीए में लिखते हैं । आप माप की एक इकाई निर्दिष्ट कर सकते हैं, उदाहरण के लिए, / दूसरा, / मिनट, / घंटा, / दिन। - limit-burst संख्या - लापता संकुल की संख्या पर सीमा। सभी मान प्रशासक वरीयताओं के अनुसार व्यक्तिगत रूप से प्रदर्शित किए जाते हैं।
- इसके बाद, हैकिंग के संभावित कारणों में से एक को हटाने के लिए आप खुले बंदरगाहों की स्कैनिंग को प्रतिबंधित कर सकते हैं। पहला sudo iptables -n ब्लॉक-स्कैन कमांड दर्ज करें।
- फिर Sudo iptables -a ब्लॉक-स्कैन -p tcp -tcp-ध्वज syn, ack, fin, rst -m सीमा -limit 1 / s -j वापसी निर्दिष्ट करें।
- अंतिम तीसरा आदेश है: सुडो इप्टेबल्स-ए ब्लॉक-स्कैन-जे ड्रॉप। इन मामलों में ब्लॉक-स्कैन अभिव्यक्ति - सर्किट का नाम इस्तेमाल किया गया।
आज दिखाए गए सेटिंग्स फ़ायरवॉल के नियंत्रण उपकरण में काम के लिए केवल आधार हैं। उपयोगिता के आधिकारिक दस्तावेज़ीकरण में आपको सभी उपलब्ध तर्कों और विकल्पों का विवरण मिलेगा और आप विशेष रूप से अपने अनुरोधों के तहत फ़ायरवॉल को कॉन्फ़िगर कर सकते हैं। मानक सुरक्षा नियमों के ऊपर, जो अक्सर लागू होते हैं और ज्यादातर मामलों में आवश्यक होते हैं।