Linux միջուկի վրա հիմնված բոլոր գործող համակարգերում կա ներկառուցված firewall, կատարելով մուտքային եւ ելքային երթեւեկության վերահսկողություն եւ զտիչ, հիմնվելով նշված կանոնների կամ պլատֆորմի վրա: Centon 7 բաշխման մեջ iPTables ծրագիրը կատարում է նման գործառույթ, փոխազդելով ներկառուցված NetFilter Firewall- ի հետ: Երբեմն համակարգի ադմինիստրատորը կամ ցանցի կառավարիչը պետք է կազմաձեւի այս բաղադրիչի աշխատանքը, սահմանելով համապատասխան կանոններ: Որպես այսօրվա հոդվածի մաս, մենք կցանկանայինք խոսել վերը նշված ՕՀ-ում iPTable- ի կազմաձեւման հիմունքների մասին:
Կարգավորել iPTables- ը Centos 7-ում
Գործիքը ինքնին հասանելի է աշխատելու համար Centos 7-ի տեղադրումը ավարտվելուց անմիջապես հետո, բայց հետագայում անհրաժեշտ է տեղադրել որոշ ծառայություններ, որոնց մասին մենք կխոսենք: Քննարկվող պլատֆորմում կա եւս մեկ ներկառուցված գործիք, որն իրականացնում է firewall- ի ֆունկցիան, որը կոչվում է Firewalld: Հակամարտություններից խուսափելու համար հետագա աշխատանքով մենք խորհուրդ ենք տալիս անջատել այս բաղադրիչը: Ընդլայնված ցուցումները այս թեմայի վերաբերյալ կարդացեք մեկ այլ նյութի հետեւյալ հղման վրա:Կարդացեք ավելին. Անջատեք Firewalld- ը Centos 7-ում
Ինչպես գիտեք, համակարգում կարող են կիրառվել IPv4 եւ IPv6 արձանագրությունները: Այսօր մենք կանդրադառնանք IPv4 օրինակին, բայց եթե ցանկանում եք կարգավորել մեկ այլ արձանագրություն, ձեզ հարկավոր կլինի թիմի փոխարեն: Iptables. վահանակի օգտագործման մեջ IP6Tables.
Iptables տեղադրում
Այն պետք է առաջնահերթություն լինի համակարգի համար `այսօր հաշվի առնելով կոմունալ ծառայությունների լրացուցիչ բաղադրիչները: Նրանք կօգնեն կանոնները եւ այլ պարամետրեր սահմանելուն: Բեռնումը իրականացվում է պաշտոնական պահեստից, այնպես որ այն շատ ժամանակ չի պահանջում:
- Հետագա բոլոր գործողությունները կկատարվեն դասական վահանակում, այնպես որ գործարկեք այն ցանկացած հարմար մեթոդով:
- Sudo Yum Install Iptables-Services հրամանը պատասխանատու է ծառայությունների տեղադրման համար: Մուտքագրեք այն եւ սեղմեք Enter ստեղնը:
- Հաստատեք Superuser հաշիվը `նշելով գաղտնաբառը դրանից: Խնդրում ենք նկատի ունենալ, որ երբ հարցնում են սուդո, անընդմեջ մուտքագրված նիշերը երբեք ցուցադրվում են:
- Առաջարկվելու է մեկ փաթեթ ավելացնել համակարգին, հաստատել այս գործողությունը `ընտրելով Y վարկածը:
- Տեղադրման ավարտից հետո ստուգեք գործիքի ներկայիս տարբերակը. Sudo iptables - վրացական:
- Արդյունքը կհայտնվի նոր տողի մեջ:
Այժմ ՕՀ-ն լիովին պատրաստ է firewall- ի հետագա կազմաձեւմանը `iPTables կոմունալ ծառայությունների միջոցով: Առաջարկում ենք ծանոթանալ իրերի կազմաձեւին, սկսած ծառայությունների կառավարումից:
IPTables ծառայության դադարեցում եւ գործարկում
Iptables Mode Management- ը պահանջվում է այն դեպքերում, երբ դուք պետք է ստուգեք որոշակի կանոնների գործողությունը կամ պարզապես վերագործարկեք բաղադրիչը: Դա արվում է ներկառուցված հրամանների միջոցով:
- Մուտքագրեք Sudo Service iPTables STOP- ը եւ կտտացրեք Enter ստեղնը `ծառայությունները դադարեցնելու համար:
- Այս ընթացակարգը հաստատելու համար նշեք գերհզոր գաղտնաբառը:
- Եթե գործընթացը հաջող է, կցուցադրվի նոր տող, նշելով կազմաձեւման ֆայլի փոփոխությունները:
- Ծառայությունների գործարկումը կատարվում է գրեթե նույն ձեւով, միայն գիծը ձեռք է բերում SUDO ծառայության SUDO SERVICE SEST դիտում:
Նմանատիպ վերաբեռնումը, որը սկսվում է կամ դադարեցնել կոմունալը, ցանկացած պահի հասանելի է, մի մոռացեք միայն վերադարձնել հակառակ արժեքը, երբ այն պահանջարկ կլինի:
Դիտեք եւ ջնջեք կանոնները
Ինչպես ավելի վաղ նշվեց, Firewall- ի վերահսկողությունը կատարվում է ձեռնարկի կամ ինքնաբերաբար կանոններ ավելացնելու միջոցով: Օրինակ, որոշ լրացուցիչ դիմումներ կարող են մուտք գործել գործիք, փոխելով որոշակի քաղաքականություններ: Այնուամենայնիվ, նման գործողությունների մեծ մասը դեռ կատարվում է ձեռքով: Բոլոր ընթացիկ կանոնների ցուցակը դիտելը հասանելի է Sudo Iptables -L հրամանի միջոցով:
The ուցադրվող արդյունքում կլինեն տեղեկատվություն երեք շղթաների վերաբերյալ. «Մուտք», «ելք» եւ «առաջ» - մուտքային, արտագնա եւ փոխանցող երթեւեկություն, համապատասխանաբար:
Կարող եք սահմանել բոլոր շղթաների կարգավիճակը `մուտքագրելով Sudo iPlables -s:
Եթե տեսանելի կանոնները բավարարված չեն ձեզանից, նրանք պարզապես պարզապես ջնջված են: Ամբողջ ցուցակը մաքրված է այսպես. Sudo iPlables -f: Ակտիվացումից հետո կանոնը կվերացվի բացարձակապես բոլոր երեք շղթաների համար:
Երբ անհրաժեշտ է ազդել միայն մեկ շղթայից միայն մեկ այլ շղթայից, լրացուցիչ փաստարկ է ավելացվում.
Sudo iPtables -f մուտքագրում
Sudo iptables -f ելք
Sudo iptables -f առաջ
Բոլոր կանոնների բացակայությունը նշանակում է, որ ոչ մի տրաֆիկի զտման պարամետրեր որեւէ մասում չեն օգտագործվում: Հաջորդը, համակարգի կառավարիչը ինքնուրույն կներկայացնի նույն պարամետրերը, օգտագործելով նույն վահանակը, հրամանը եւ տարբեր փաստարկներ:
Շղթաներով երթեւեկությունը ստանալը եւ գցելը
Յուրաքանչյուր շղթա առանձին կազմաձեւված է երթեւեկությունը ստանալու կամ արգելափակելու համար: Որոշ իմաստ ունենալով, կարելի է հասնել, որ, օրինակ, բոլոր մուտքային տրաֆիկները արգելափակվելու են: Դա անելու համար հրամանը պետք է լինի Sudo iPlables - policy մուտքային անկում, որտեղ մուտքը շղթայի անունն է, եւ անկումը լիցքաթափման արժեք է:
Հենց նույն պարամետրերը դրված են այլ սխեմաների համար, օրինակ, Sudo iPlables - policy ելքային անկում: Եթե Ձեզ անհրաժեշտ է արժեք դնել երթեւեկություն ստանալու համար, ապա անկման փոփոխությունները ընդունվում են, եւ պարզվում է, որ Sudo iPlables - Policy մուտքերը ընդունում են:
Նավակի լուծում եւ կողպեք
Ինչպես գիտեք, ցանցային բոլոր ծրագրերը եւ գործընթացները աշխատում են որոշակի նավահանգստի միջոցով: Որոշակի հասցեների արգելափակում կամ լուծելով, կարող եք վերահսկել ցանցի բոլոր նպատակների հասանելիությունը: Եկեք վերլուծենք նավահանգիստը առաջ, օրինակ, 80-ին: Տերմինալում բավարար կլինի սուդո iPtables- ը մուտքագրելու համար. Շղթան, -Պ - Պրոֆեսորի սահմանումը այս դեպքում, TCP, A --Dport- ը նպատակակետային նավահանգիստ է:
Ex իշտ նույն հրամանը վերաբերում է նաեւ 22 նավահանգիստին, որն օգտագործվում է SSH ծառայության կողմից. Sudo iPlables -A INTRUT -P TCP - DPPORT 22 -J ընդունեք:
Նշված նավահանգիստը արգելափակելու համար լարը օգտագործվում է ճիշտ նույն տիպի, միայն ընդունման ավարտին, անկման փոփոխությունները: Արդյունքում, պարզվում է, օրինակ, Sudo iPlables -A Input -P TCP - Dport 2450 -j Drop.
Այս բոլոր կանոնները մուտքագրվում են կազմաձեւման ֆայլ եւ ցանկացած պահի կարող եք դիտել դրանք: Հիշեցնում ենք ձեզ, դա արվում է Sudo iPlables -l- ի միջոցով: Եթե ձեզ հարկավոր է թույլ տալ ցանցային IP հասցե նավահանգստի հետ նավահանգստի հետ միասին, լարը փոքր-ինչ ձեւափոխված է, ապա TPC- ն ավելացվում է եւ ինքնին հասցեն: Sudo iPlables - Input -P TCP- ներ 12.12.12.12/32 - Dport 22-J- ն ընդունում է, որտեղ 12.12.12.12/32-ը անհրաժեշտ IP հասցեն է:
Արգելափակումը տեղի է ունենում նույն սկզբունքով, վերջում փոխվելով անկման վրա ընդունման արժեքը: Այնուհետեւ պարզվում է, օրինակ, Sudo iPlables - Input -P TCP- ներ 12.12.12.0/224 - Dport 22-J Drop.
ICMP արգելափակում
ICMP (Ինտերնետային հսկողության հաղորդագրության արձանագրություն) - արձանագրություն, որն ընդգրկված է TCP / IP- ում եւ ներգրավված է երթեւեկի հետ աշխատելիս սխալների հաղորդագրություններ եւ արտակարգ իրավիճակներ փոխանցելու մեջ: Օրինակ, երբ հայցվող սերվերը մատչելի չէ, այս գործիքը կատարում է սպասարկման գործառույթներ: Iptables ծրագիրը թույլ է տալիս այն արգելափակել այն firewall- ի միջոցով, եւ դուք կարող եք այն օգտագործել Sudo Iptables -A Արդյունք -P ICMP - ANM-DOP հրամանը: Այն արգելափակում է ձեր եւ ձեր սերվերի հարցումները:
Մուտքային հարցումները արգելափակված են մի փոքր այլ: Ապա դուք պետք է մուտքագրեք Sudo iPlables-I Input -P ICMP - NicMP տիպի 8 -J կաթիլ: Այս կանոնները ակտիվացնելուց հետո սերվերը չի պատասխանի PING պահանջներին:
Կանխել չարտոնված գործողությունները սերվերի վրա
Երբեմն սերվերները ենթարկվում են DDOS- ի հարձակման կամ ներխուժողների այլ չարտոնված գործողությունների: Firewall- ի ճիշտ ճշգրտումը թույլ կտա ձեզ պաշտպանել այսպիսի հակերությունից: Սկզբից մենք առաջարկում ենք սահմանել նման կանոններ.
- Մենք գրում ենք iPTables -A Input -P TCP - Dport 80 -M սահմանափակում - 30 / րոպե. Մի շարք Դուք կարող եք ինքներդ ձեզ նշել չափման մի միավոր, օրինակ, / վայրկյան, / րոպե / ժամ / օր: - Limit-Burst Number - Limit- ը բացակայող փաթեթների քանակի վրա: Բոլոր արժեքները ցուցադրվում են անհատապես `ըստ ադմինիստրատորի նախասիրությունների:
- Հաջորդը, դուք կարող եք արգելել բաց նավահանգիստների սկանավորումը `թալանման հնարավոր պատճառներից մեկը հեռացնելու համար: Մուտքագրեք առաջին Sudo iPlables -n Block-Scan հրամանը:
- Այնուհետեւ նշեք Sudo iPTables -A Block-Scan -P TCP -TCP-դրոշները Syn, ACK, FIN, RST -M սահմանաչափ -limit 1 / s -j վերադարձը:
- Վերջին երրորդ հրամանը հետեւյալն է. Sudo iPlables -A Block-Scan -j Drop. Այս դեպքերում բլոկ-սկան արտահայտություն. Օգտագործված միացման անվանումը:
Այսօր ցուցադրված պարամետրերը միայն հիմք են հանդիսանում Firewall- ի կառավարման գործիքում աշխատանքի համար: Կոմունալ ծառայության պաշտոնական փաստաթղթերում դուք կգտնեք բոլոր մատչելի փաստարկների եւ ընտրանքների նկարագրությունը, եւ դուք կարող եք հատուկ կազմաձեւել Firewall- ը հատուկ ձեր պահանջների համաձայն: Անվտանգության ստանդարտ կանոններից վեր, որոնք առավել հաճախ կիրառվում են, եւ շատ դեպքերում պահանջվում են: