In tutti i sistemi operativi in base al kernel Linux, c'è un firewall integrato, eseguendo il controllo e il filtraggio del traffico in entrata e in uscita, in base alle regole specificate o alla piattaforma. Nella distribuzione Centos 7, l'utilità Iptables esegue una tale funzione, interagire con il firewall NetFilter integrato. A volte l'amministratore di sistema o Network Manager devono configurare il funzionamento di questo componente, prescrivere le regole pertinenti. Come parte dell'articolo di oggi, vorremmo parlare delle basi della configurazione iptables nel sistema operativo sopra menzionato.
Configura iptables in Centos 7
Lo strumento stesso è accessibile per funzionare immediatamente dopo aver completato l'installazione di Centos 7, ma inoltre dovrà installare alcuni servizi, di cui parleremo. Nella piattaforma in esame c'è un altro strumento integrato che esegue la funzione firewall denominata firewalld. Per evitare conflitti, con ulteriori lavori, si consiglia di disabilitare questo componente. Istruzioni espanse su questo argomento Leggi in un altro materiale sul seguente link.Per saperne di più: Disabilita firewalld in Centos 7
Come sapete, i protocolli IPv4 e IPv6 possono essere applicati nel sistema. Oggi ci concentreremo sull'esempio IPv4, ma se si desidera configurare per un altro protocollo, dovrai invece di una squadra. Iptables. in uso della console Ip6tables..
Installazione di iptables.
Dovrebbe essere prioritaria per il sistema Componenti aggiuntivi dell'utilità in esame oggi. Aiuteranno a stabilire le regole e altri parametri. Il caricamento è effettuato dal repository ufficiale, quindi non ci vuole molto tempo.
- Tutte le ulteriori azioni saranno effettuate nella console classica, quindi eseguilo con qualsiasi metodo conveniente.
- Il comando sudo-yum install iptables-services è responsabile per l'installazione dei servizi. Inseriscilo e premere il tasto Invio.
- Confermare l'account SuperUser specificando la password da esso. Si noti che quando query sudo, i caratteri immessi nella riga non vengono mai visualizzati.
- Verrà proposto per aggiungere un pacchetto al sistema, confermare questa azione selezionando la versione Y.
- Al termine dell'installazione, controllare la versione corrente dello strumento: sudo iptables --version.
- Il risultato apparirà nella nuova stringa.
Ora il sistema operativo è completamente pronto per l'ulteriore configurazione del firewall attraverso l'utilità iptables. Si consiglia di familiarizzare con la configurazione sugli articoli, iniziando con la gestione dei servizi.
Fermare e lanciare servizi Iptables
Iptables Mode Management è richiesto nei casi in cui è necessario verificare l'azione di determinate regole o semplicemente riavviare il componente. Questo viene fatto usando comandi incorporati.
- Immettere gli Iptables Service Sudo Stop e fare clic sul tasto Invio per interrompere i servizi.
- Per confermare questa procedura, specificare la password del superutente.
- Se il processo ha esito positivo, verrà visualizzata una nuova stringa, indicando le modifiche nel file di configurazione.
- Il lancio dei servizi viene eseguito quasi allo stesso modo, solo la linea acquisisce la visualizzazione iniziale Iptables SERVICE SUDO.
Un riavvio simile, iniziando o arresto dell'utilità è disponibile in qualsiasi momento, non dimenticare solo per restituire il valore inverso quando sarà richiesto.
Visualizza ed elimina regole
Come accennato in precedenza, il controllo del firewall viene eseguito da regole manuali o automatiche. Ad esempio, alcune applicazioni aggiuntive possono accedere allo strumento, cambiando determinate politiche. Tuttavia, la maggior parte di queste azioni è ancora fatta manualmente. La visualizzazione di un elenco di tutte le regole correnti è disponibile tramite il comando sudo iptables -l.
Nel risultato visualizzato ci saranno informazioni su tre catene: "Input", "Output" e "Inoltra" - Traffico in entrata, in uscita e inoltro, rispettivamente.
Puoi definire lo stato di tutte le catene inserendo sudo Iptables -s.
Se le regole viste non sono soddisfatte con te, sono semplicemente appena cancellati. L'intera lista è cancellata in questo modo: sudo iptables -f. Dopo l'attivazione, la regola verrà cancellata assolutamente per tutte e tre le catene.
Quando è necessario influenzare solo le politiche da una singola catena, viene aggiunta un argomento aggiuntivo alla linea:
Sudo iptables -f input
Output sudo iptables -f
Sudo iptables -f Avanti
L'assenza di tutte le regole significa che non vengono utilizzate impostazioni del filtro del traffico in nessuna parte. Successivamente, l'amministratore di sistema specificherà in modo indipendente i nuovi parametri utilizzando la stessa console, il comando e vari argomenti.
Ricevere e rilasciare il traffico in catene
Ogni catena è configurata separatamente per ricevere o bloccare il traffico. Impostando un certo significato, può essere raggiunto che, ad esempio, tutto il traffico in entrata sarà bloccato. Per fare ciò, il comando deve essere sudo Iptables - Goccia di ingresso Policy, in cui l'ingresso è il nome della catena e la caduta è un valore di scarica.
Esattamente gli stessi parametri sono impostati per altri circuiti, ad esempio, Sudo Iptables - Goccia di uscita Poly. Se è necessario impostare un valore per ricevere il traffico, la caduta cambia su Accetta e si scopre ADO IPtables - Poly Input Accetta.
Risoluzione e blocco della porta
Come sapete, tutte le applicazioni e i processi di rete funzionano attraverso una certa porta. Bloccando o risolvendo determinati indirizzi, è possibile monitorare l'accesso di tutti gli scopi di rete. Analizziamo il porto in avanti per esempio 80. Nel terminale, sarà sufficiente inserire il comando Sudo Iptables -a Input -P -P TCP --Dport 80 -J accettare il comando, dove -a - Aggiunta di una nuova regola, input - Suggerimento di La definizione della catena, -p - Protocollo in questo caso, TCP, A --Dport è una porta di destinazione.
Esattamente lo stesso comando si applica anche alla porta 22, che viene utilizzato dal servizio SSH: Sudo Iptables -A Input -P TCP --Dport 22 -J accetta.
Per bloccare la porta specificata, la stringa viene utilizzata esattamente lo stesso tipo, solo alla fine delle modifiche accettate da cadere. Di conseguenza, si scopre, ad esempio, sudo iptables -a ingresso -P TCP --Dport 2450 -J Drop.
Tutte queste regole sono inserite nel file di configurazione e puoi visualizzarle in qualsiasi momento. Ti ricordiamo, è fatto attraverso Sudo Iptables -l. Se è necessario consentire un indirizzo IP di rete con la porta insieme alla porta, la stringa è leggermente modificata - dopo che il TPC viene aggiunto -S e l'indirizzo stesso. Sudo iptables -a input -p TCP -S -S 12.12.12.12/32 --Dport 22 -J Accetta, dove 12.12.12.12/32 è l'indirizzo IP necessario.
Il blocco avviene sullo stesso principio cambiando alla fine il valore di accettare sulla caduta. Quindi si scopre, ad esempio, sudo iptables -a ingresso -P TCP -S 12.12.12.0/224 --Dport 22 -J Drop.
Blocco ICMP.
ICMP (protocollo del messaggio di controllo Internet) - un protocollo incluso in TCP / IP ed è coinvolto nel trasmettere messaggi di errore e situazioni di emergenza quando si lavora con il traffico. Ad esempio, quando il server richiesto non è disponibile, questo strumento esegue funzioni di servizio. L'utilità Iptables consente di bloccarla attraverso il firewall e puoi farlo usare il comando sudo iptables -a output -p ICMP -ICMP-TYPE 8 -J Drop Command. Bloccherà le richieste dal tuo e al tuo server.
Le richieste in entrata sono bloccate un po 'diverse. Quindi è necessario inserire il sudo Iptables -i input -p ICMP -ICMP-TYPE 8 -J Drop. Dopo aver attivato queste regole, il server non risponderà alle richieste Ping.
Prevenire azioni non autorizzate sul server
A volte i server sono sottoposti a attacchi DDOS o ad altre azioni non autorizzate da intrusi. La corretta regolazione del firewall ti permetterà di proteggersi da questo tipo di hacking. Per cominciare, raccomandiamo di impostare tali regole:
- Scriviamo in Iptables -a Input -P -P TCP -Dport 80 -m limite --limit 20 / minuto --limit-burst 100 -J accetta, dove --limit 20 / minuto è un limite alla frequenza dei risultati positivi . È possibile specificare un'unità di misurazione da solo, ad esempio, / secondo, / minuto, / ora, / giorno. - Numero limit-burst - limite del numero di pacchetti mancanti. Tutti i valori sono esposti individualmente in base alle preferenze dell'amministratore.
- Successivamente, è possibile vietare la scansione delle porte aperte di rimuovere una delle possibili cause di hacking. Immettere il primo comando sudo iptables -n-scan.
- Quindi specificare i Leptables Sudo Iptables -a Block-Scan -P -P TCP-Flag-flag SYN, ACK, FIN, RST -M Limit -Llimit -limit 1 / s -J ritorno.
- L'ultimo terzo comando è: sudo iptables -a block-scan -j drop. Espressione di scansione a blocchi in questi casi: il nome del circuito utilizzato.
Le impostazioni mostrate oggi sono solo la base per il lavoro nello strumento di controllo del firewall. Nella documentazione ufficiale dell'utilità troverai una descrizione di tutti gli argomenti e le opzioni disponibili e è possibile configurare il firewall specificamente sotto le tue richieste. Sopra le regole di sicurezza standard, che sono più spesso applicate e nella maggior parte dei casi sono necessarie.