Ing kabeh sistem operasi adhedhasar kernel Linux, ana firewall sing dibangun, nglakokake lalu lintas sing mlebu lan metu, adhedhasar aturan sing wis ditemtokake utawa platform kasebut. Ing distribusi CentOS 7, sarana iptables nindakake fungsi kasebut, sesambungan karo firewall sing dibangun ing Netfilter. Kadhangkala administrator sistem utawa manajer jaringan kudu ngatur operasi komponen iki, resep aturan sing relevan. Minangka bagean saka artikel dina iki, kita pengin ngomong babagan dhasar konfigurasi iptables ing OS ing ndhuwur kasebut.
Konfigurasi iptable ing Centos 7
Alat kasebut dhewe bisa diakses kanthi bisa sawise instalasi Centos 7 wis rampung, nanging luwih perlu kanggo nginstal sawetara layanan, sing bakal kita lakoni. Ing platform sing dianggep ana alat sing dibangun liyane sing nindakake fungsi firewall sing diarani Firewarld. Kanggo ngindhari konflik, kanthi karya luwih, disaranake dipateni komponen iki. Pandhuan nggedhekake babagan topik iki diwaca ing bahan liyane ing link ing ngisor iki.Waca liyane: Pateni Firewarld ing Centos 7
Kaya sing dingerteni, protokol IPv4 lan IPv6 bisa ditrapake ing sistem kasebut. Dina iki, kita bakal fokus ing conto IPv4, nanging yen sampeyan pengin ngatur protokol liyane, sampeyan kudu tim. Iptables. Ing panggunaan konsol IP6tables.
Nginstall iptables
Sampeyan kudu dadi prioritas kanggo komponen tambahan saka sarana kasebut miturut dina iki. Dheweke bakal mbantu nyetel aturan lan paramèter liyane. Loading dileksanakake saka gudang resmi, dadi ora butuh wektu akeh.
- Kabeh tumindak luwih bakal ditindakake ing konsol klasik, mula mbukak kanthi cara sing trep.
- Sudo yum nginstal prentah layanan iptable tanggung jawab kanggo nginstal layanan. Ketik banjur pencet tombol Ketik.
- Konfirmasi akun Superuser kanthi nemtokake sandhi saka iku. Wigati dimangerteni yen pitakon sudo, karakter sing mlebu ing baris ora ditampilake.
- Bakal diusulake kanggo nambah siji paket menyang sistem kasebut, konfirmasi tumindak iki kanthi milih versi Y.
- Sawise rampung instalasi, priksa versi alat saiki: sudo iptables.
- Asil kasebut bakal katon ing senar anyar.
Saiki OS wis siyap kanggo konfigurasi luwih lanjut firewall liwat sarana iptables. Kita saranake familiarizing dhewe kanthi konfigurasi ing item, diwiwiti kanthi ngatur layanan.
Midep lan ngluncurake layanan iptables
Manajemen mode iptables dibutuhake ing kasus sing sampeyan kudu mriksa tumindak aturan tartamtu utawa mung miwiti komponen. Iki ditindakake kanthi nggunakake printah sing dipasang.
- Ketik Stopt Cicor abel iptables lan klik tombol ENTER kanggo mungkasi layanan kasebut.
- Kanggo konfirmasi prosedur iki, nemtokake tembung sandhi superuser.
- Yen proses sukses, senar anyar bakal ditampilake, nuduhake owah-owahan file konfigurasi.
- Peluncuran layanan ditindakake meh kanthi cara sing padha, mung baris entuk tampilan layanan sudara.
Urip maneh, miwiti utawa mungkasi sarana kasedhiya ing sembarang wektu, aja lali mung kanggo ngasilake regane mbalikke nalika bakal dikarepake.
Ndeleng lan Busak aturan
Kaya sing wis kasebut sadurunge, kontrol firewall ditindakake kanthi manual utawa nambah aturan kanthi otomatis. Contone, sawetara aplikasi tambahan bisa ngakses alat, ngganti kabijakan tartamtu. Nanging, tumindak sing paling akeh isih ditindakake kanthi manual. Ndeleng dhaptar kabeh aturan saiki kasedhiya liwat printah Sudo iptables -l.
Ing asil sing ditampilake bakal ana informasi babagan telung chain: "Input", "Output" lan "Terusake" - mlebu lalu lintas lan ngirimake lalu lintas.
Sampeyan bisa netepake status kabeh rantai kanthi ngetik sudo iptables.
Yen aturan sing katon ora wareg karo sampeyan, mung mung dibusak. Dhaptar kabeh dibersihake kaya iki: Sude Wiklets -F. Sawise aktifitas, aturan kasebut bakal dibusak kanthi bener kanggo kabeh ranté.
Yen sampeyan mung bisa mengaruhi kabijakan saka sawetara rantai siji, pitakonan tambahan ditambahake ing garis:
Input -F input iptables
Output -F Output -F Sudo
Sudo iptables -f maju
Sing ora ana kabeh aturan tegese ora ana setelan panyaring lalu lintas ora digunakake ing bagean apa wae. Sabanjure, administrator sistem bakal nggawe paramèter anyar nggunakake konsol sing padha, printah lan macem-macem bantahan.
Nampa lan nyelehake lalu lintas ing rantai
Saben chain dikonfigurasi kanthi kapisah kanggo nampa utawa ngalangi lalu lintas. Kanthi nyetel makna tartamtu, bisa digayuh, umpamane, kabeh lalu lintas sing mlebu bakal diblokir. Kanggo nindakake iki, dhawuhe kudu dadi input input sudo --polik, ing ngendi input minangka jeneng rantai, lan nyelehake yaiku nilai sing ora ana.
Parameter sing padha disetel kanggo sirkuit liyane, umpamane, ipolis output ODPOLICY. Yen sampeyan kudu nyetel nilai kanggo nampa lalu lintas, mula tetes pangowahan sing ditampa lan dadi input input sudo --policy sing ditampa.
Résolusi lan kunci
Kaya sing dingerteni, kabeh aplikasi jaringan lan proses kerja liwat port tartamtu. Kanthi ngalangi utawa ngrampungake alamat tartamtu, sampeyan bisa ngawasi akses kabeh tujuan jaringan. Ayo nganalisa port maju umpamane 80. Ing terminal, bakal cukup kanggo mlebu ing input -P-input -p TCP --dport Chain, -P - definisi protokol ing kasus iki, TCP, --dport minangka port tujuan.
Prentah sing padha uga ditrapake kanggo port 22, sing digunakake dening SSH Service: input input -P -P TCP --dport 22 -J.
Kanggo ngalangi port sing ditemtokake, senar digunakake persis jinis sing padha, mung ing pungkasan pangowahan sing ditampa kanggo mudhun. Akibaté, ternyata, Contone, input -a input -P -P TCP --dport 2450 -J Drop.
Kabeh aturan kasebut mlebu ing file konfigurasi lan sampeyan bisa ndeleng kapan wae. Kita ngelingake sampeyan, wis rampung liwat sudo iptables -l. Yen sampeyan kudu ngidini alamat IP jaringan karo port bebarengan karo port, senar kasebut rada diowahi - sawise TPC ditambahake -s lan alamat kasebut dhewe. Sudo input -p -p TCP -P TCP -P 12.12.12/32 --dport 22 -J Nampa, ing endi 12,12.12.12/32 yaiku alamat IP sing dibutuhake.
Watesan dumadi ing prinsip sing padha kanthi ngganti ing pungkasan regane ditampa ing tetes. Banjur ternyata, umpamane, input -P iptables -A input -P TCP -S 12.12.12.0/224 --dport 22 -J.
Blok ICMP
Protokol Pesen Kontrol ICMP) - protokol sing kalebu ing TCP / IP lan melu ngirim pesen kesalahan lan kahanan darurat nalika nggarap lalu lintas. Contone, nalika server sing dijaluk ora kasedhiya, alat iki nindakake fungsi layanan. Utilitas iptables ngidini sampeyan ngalangi liwat firewall, lan sampeyan bisa nggunakake sudo iptables -p Output Output -p icmp - jinis printah 8 -J. Bakal mblokir panjaluk saka server lan menyang server sampeyan.
Panjaluk mlebu diblokir beda. Banjur sampeyan kudu ngetik input -p input -p ICMP - Tipe 8 -J Tipe 8 -J. Sawise ngaktifake aturan kasebut, server ora bakal nanggapi panjaluk ping.
Nyegah tumindak ora sah ing server
Kadhangkala server kena serangan DDOS utawa tumindak sing ora sah liyane saka penyusup. Penyesuaian firewall sing bener bakal ngidini sampeyan nglindhungi saka hacking kaya iki. Kanggo miwiti, disaranake nyetel aturan kasebut:
- Kita nulis ing input -p tcp tcp --dport 80 -m --limit 20 / Minute Waca rangkeng-. Sampeyan bisa nemtokake unit pangukuran dhewe, umpamane, / detik, / menit, / jam, / jam. - Nomer bledosan - watesan ing jumlah sing ilang. Kabeh nilai dipamerake kanthi individu miturut pilihan administrator.
- Sabanjure, sampeyan bisa nglarang mindhai port mbukak kanggo mbusak salah sawijining sebab saka hacking. Ketik printah blok-scan-scan--iptabtables pertama.
- Banjur nemtokake sink sudut -p -p -p-scon -p TCP-flag-flag, ack, fin, watesan 1 / s -J bali.
- Printah nomer telu yaiku: Sudo Block-Scan -J Drop. Ekspresi scan-scan ing kasus kasebut - jeneng sirkuit sing digunakake.
Setelan sing dituduhake dina iki mung minangka basis karya ing instrumen kontrol firewall. Ing dokumentasi resmi saka sarana, sampeyan bakal nemokake gambaran babagan kabeh bantahan lan pilihan sing kasedhiya lan sampeyan bisa ngatur firewall khusus ing panjaluk sampeyan. Ndhuwur aturan keamanan standar, sing paling asring ditrapake lan umume kasus dibutuhake.