Linux Kernel- ზე დაფუძნებული ყველა ოპერაციული სისტემით, არის ჩამონტაჟებული firewall, შემომავალი და გამავალი ტრაფიკის კონტროლსა და ფილტრაციის კონტროლს, რომელიც მითითებულია ან პლატფორმის წესების მიხედვით. Centos 7 განაწილება, IPTBables კომუნალური ასრულებს ასეთი ფუნქცია, ურთიერთქმედების ჩაშენებული Netfilter Firewall. ზოგჯერ სისტემის ადმინისტრატორს ან ქსელურ მენეჯერს უნდა დააკონფიგურიროთ ამ კომპონენტის ფუნქციონირება, შესაბამისი წესების დადგენა. დღევანდელი სტატიის ნაწილი, ჩვენ გვინდა ვისაუბროთ ციფრების კონფიგურაციის საფუძვლებზე ზემოაღნიშნულ OS- ში.
კონფიგურაცია Iptables Centos 7
ინსტრუმენტი თავისთავად ხელმისაწვდომია Centos 7-ის დამონტაჟების შემდეგ, მაგრამ შემდგომ უნდა დააყენოთ გარკვეული მომსახურება, რომელიც ჩვენ ვისაუბრებთ. პლატფორმაში გათვალისწინებით არსებობს კიდევ ერთი ჩამონტაჟებული ინსტრუმენტი, რომელიც ასრულებს firewall ფუნქციას firewalld. კონფლიქტების თავიდან ასაცილებლად, შემდგომი მუშაობით, ჩვენ ვურჩევთ ამ კომპონენტს. გაფართოებული ინსტრუქციები ამ თემაზე წაიკითხეთ სხვა მასალაში შემდეგ ბმულზე.დაწვრილებით: გამორთვა Firewalld Centos 7
მოგეხსენებათ, IPv4 და IPv6 პროტოკოლები შეიძლება გამოყენებულ იქნას სისტემაში. დღეს ჩვენ ფოკუსირება IPv4 მაგალითზე, მაგრამ თუ გსურთ კონფიგურაცია სხვა პროტოკოლი, თქვენ უნდა ნაცვლად გუნდის. IPTables. კონსოლის გამოყენება Ip6tables.
ინსტალაცია IPtables
პრიორიტეტული უნდა იყოს სისტემის დამატებითი კომპონენტების შესახებ კომუნალური განსახილველად. ისინი ხელს შეუწყობენ წესებსა და სხვა პარამეტრებს. Loading ხორციელდება ოფიციალური საცავიდან, ამიტომ არ იღებს დიდ დროს.
- ყველა შემდგომი ქმედებები გაკეთდება კლასიკურ კონსოლში, ამიტომ აწარმოებს ნებისმიერ მოსახერხებელ მეთოდით.
- Sudo Yum ინსტალაციის IPTables-Services ბრძანება პასუხისმგებელია სამონტაჟო მომსახურება. შეიყვანეთ და დააჭირეთ ღილაკს Enter.
- დაადასტურეთ SuperUser ანგარიშის პაროლის დაზუსტება. გთხოვთ გაითვალისწინოთ, რომ როდესაც Queries Sudo, შევიდა სიმბოლოების ზედიზედ არ არის ნაჩვენები.
- ეს იქნება შემოთავაზებული ერთი პაკეტის დამატება სისტემაში, დაადასტურეთ ეს ქმედება Y ვერსიის შერჩევით.
- ინსტალაციის დასრულების შემდეგ შეამოწმეთ ინსტრუმენტის ამჟამინდელი ვერსია: Sudo Iptables --Version.
- შედეგი გამოჩნდება ახალ სტრიქონში.
ახლა OS არის მზად შემდგომი კონფიგურაციის firewall მეშვეობით IPTABLES სასარგებლო. ჩვენ ვთავაზობთ გაცნობა თავს ერთად კონფიგურაციის ნივთები, დაწყებული მართვის მომსახურების.
შეჩერება და დაწყების IPTABLES მომსახურება
Iptables რეჟიმში მართვა იმ შემთხვევაში, როცა თქვენ უნდა შეამოწმოთ მოქმედების გარკვეული წესებით ან უბრალოდ გადატვირთეთ კომპონენტი. ეს კეთდება გამოყენებით ჩართული ბრძანებები.
- შეიყვანეთ Sudo სამსახურის iptables Stop და დააჭირეთ Enter უნდა შეწყვიტოს მომსახურება.
- იმის დასადასტურებლად, რომ ეს პროცედურა, განსაზღვროს superuser პაროლი.
- თუ პროცესი წარმატებული, ახალი სიმებიანი იქნება ნაჩვენები, რაც მიუთითებს, ცვლილებები კონფიგურაციის ფაილი.
- დაწყებას მომსახურება ხორციელდება თითქმის ანალოგიურად, მხოლოდ ხაზი იძენს Sudo სამსახურის iptables დაწყება ხედი.
მსგავსი გადატვირთვისას, დაწყებული ან შეჩერების სასარგებლო ხელმისაწვდომია ნებისმიერ დროს, არ უნდა დაგვავიწყდეს, მხოლოდ დაბრუნებას საპირისპირო მნიშვნელობა, როდესაც ეს იქნება მოთხოვნა.
ნახვა და წაშლა წესები
როგორც ზემოთ აღინიშნა, კონტროლის firewall ხორციელდება ხელით ან ავტომატურად დასძინა წესები. მაგალითად, ზოგიერთი დამატებითი პროგრამები შეუძლიათ ინსტრუმენტი, შეცვლის გარკვეული პოლიტიკა. თუმცა, ამგვარი ქმედება კიდევ კეთდება ხელით. პროფაილის სიაში ყველა წესების მეშვეობით შესაძლებელი Sudo iptables -L ბრძანება.
In ნაჩვენები შედეგი იქნება ინფორმაციას სამ ქსელები: "შეყვანა", "გამომავალი" და "წინ" - შემომავალი, გამავალი და საექსპედიტორო მოძრაობის, შესაბამისად.
თქვენ შეგიძლიათ განსაზღვროს სტატუსი ყველა ჯაჭვების შესვლის Sudo iptables -S.
თუ წესებს ჩანს არ დაკმაყოფილდება, ისინი უბრალოდ უბრალოდ მკვდარია. მთელი სია განუბაჟებელი მოსწონს ეს: sudo iptables ვ. გააქტიურების შემდეგ, წესით იქნება წაშლილი აბსოლუტურად სამივე ქსელები.
როდესაც თქვენ უნდა ეხება მხოლოდ იმ პოლიტიკის ზოგიერთი ერთ ჯაჭვი, დამატებითი არგუმენტი ემატება ხაზი:
Sudo iptables -F შეყვანის
Sudo iptables ვ გამოყვანის
Sudo iptables ვ Forward
არარსებობის წესები ნიშნავს, რომ არ არსებობს საგზაო მოძრაობის ფილტრაციის პარამეტრები არ გამოიყენება ნებისმიერი ნაწილი. შემდეგი, სისტემის ადმინისტრატორს დამოუკიდებლად განსაზღვროს ახალი პარამეტრების გამოყენებით იმავე კონსოლი, ბრძანება და სხვადასხვა არგუმენტები.
მიღება და მითუმეტეს საგზაო ქსელები
თითოეული ჯაჭვის მითითებული ცალკე მიღება და მოძრაობა შეიზღუდება. მიიღწევა გარკვეული მნიშვნელობა აქვს, ეს შეიძლება იყოს მიღწეული, რომ, მაგალითად, ყველა შემომავალი ტრაფიკის დაიბლოკება. ამისათვის, ბრძანება უნდა იყოს sudo iptables --policy შეყვანის Drop, სადაც შეყვანის სახელი ჯაჭვი, და Drop არის გამონადენი ღირებულება.
ზუსტად იგივე პარამეტრების მითითებული სხვა სქემები, მაგალითად, Sudo iptables --policy გამოყვანის Drop. თუ თქვენ უნდა მითითებული მნიშვნელობა მიღების მოძრაობის, მაშინ drop ცვლილებების მიღება და თურმე sudo iptables --policy input მიიღოს.
Port რეზოლუცია და ჩაკეტვა
მოგეხსენებათ, ყველა ქსელური პროგრამები და პროცესები მუშაობა მეშვეობით გარკვეული პორტი. დაბლოკვით და მოგვარების გარკვეული მისამართები, შეგიძლიათ მონიტორინგი ყველა ქსელური მიზნებისათვის. მოდით ანალიზი პორტის წინ მაგალითად 80. Terminal, ეს იქნება საკმარისი შესვლის Sudo IPTABLES -A INPUT -P TCP --DPort 80 -J მიიღოს ბრძანება, სადაც ა - დასძინა ახალი წესი, შეყვანის - წინადადებით ჯაჭვი, -p - ოქმი განმარტება ამ შემთხვევაში, TCP, A --DPORT არის დანიშნულების პორტში.
ზუსტად იგივე ბრძანება ასევე ვრცელდება port 22, რომელიც გამოიყენება SSH მომსახურება: Sudo IPTABLES -A INPUT -P TCP --DPORT 22 -J მიღება.
დაბლოკოს მითითებულ პორტში, string გამოიყენება ზუსტად იგივე ტიპის, მხოლოდ ბოლოს მიღება ცვლილებები Drop. შედეგად, თურმე, მაგალითად, Sudo IPTABLES -A INPUT -P TCP --DPORT 2450 -J DROP.
ყველა ეს წესები შევიდა კონფიგურაციის ფაილი და თქვენ შეგიძლიათ ნახოთ მათ ნებისმიერ დროს. შეგახსენებთ, რომ ეს კეთდება მეშვეობით sudo iptables l. თუ თქვენ უნდა დაუშვას ქსელის IP მისამართი პორტში პორტთან ერთად, სიმებიანი ოდნავ შეცვლილია - მას შემდეგ, TPC ემატება -s და თვით. Sudo iptables -A შეყვანის -p TCP -S 12.12.12.12/32 --DPORT 22 -J მიღება, სადაც 12.12.12.12/32 არის საჭირო IP მისამართი.
ბლოკირება ხდება იმავე პრინციპით იცვლება ბოლოს ღირებულება მიღება წვეთი. მაშინ გამოდის, მაგალითად, Sudo iptables -A input -p TCP -S 12.12.12.0/224 --DPORT 22 -J DROP.
ICMP ბლოკირება
ICMP (Internet Control შეტყობინება Protocol) - ოქმი, რომელიც შედის TCP / IP და ჩართულია გადამცემი შეცდომის შეტყობინებები და საგანგებო სიტუაციების, როდესაც მუშაობა მოძრაობა. მაგალითად, როცა მოთხოვნილი სერვერზე ხელმისაწვდომი არ არის, ეს ინსტრუმენტი ასრულებს სამსახურის ფუნქციები. IPTABLES უტილიტა გაძლევთ საშუალებას დაბლოკოს ის მეშვეობით firewall, და შეგიძლიათ მისი გამოყენება Sudo IPTABLES -A OUTPUT -P ICMP --icmp-Type 8 -J DROP ბრძანება. ის დაბლოკავს მოითხოვს თქვენი და თქვენს სერვერზე.
შემომავალი მოითხოვს დაბლოკილია ცოტა განსხვავებული. მაშინ თქვენ უნდა მიუთითოთ Sudo IPTABLES მე INPUT -P ICMP --icmp-Type 8 -J Drop. გააქტიურების შემდეგ ეს წესები, სერვერზე ვერ რეაგირება Ping მოითხოვს.
სერვერზე არასანქცირებული ქმედებების თავიდან ასაცილებლად
ზოგჯერ სერვერები ექვემდებარებიან DDOS თავდასხმებს ან სხვა არასანქცირებულ ქმედებებს intruders. Firewall- ის სწორი კორექტირება საშუალებას მოგცემთ დაიცვას ამ სახის გარჩევაში. დასაწყისისთვის, ჩვენ ვურჩევთ ასეთი წესების შექმნას:
- ჩვენ ვწერთ Iptables -A INPUT -P TCP - DPORT 80-M Limit - Limit 20 / Minute - Limit-Burst 100 -J Accept, სადაც - Limit 20 / წუთი არის ლიმიტი დადებითი შედეგების სიხშირეზე . თქვენ შეგიძლიათ მიუთითოთ გაზომვის ერთეული, მაგალითად, / მეორე, / წუთი / საათი, / დღე. - limit-burst ნომერი - ლიმიტი რაოდენობის დაკარგული პაკეტები. ყველა ღირებულებები გამოფენილია ინდივიდუალურად ადმინისტრატორის პარამეტრების მიხედვით.
- შემდეგი, თქვენ შეგიძლიათ აკრძალოს სკანირება ღია პორტების ამოიღონ ერთი შესაძლო მიზეზების გარჩევაში. შეიყვანეთ პირველი Sudo Iptables -n ბლოკ-სკანირების ბრძანება.
- შემდეგ მიუთითეთ Sudo Iptables -a Block-Scan -P TCP -TCP-Flags Syn, ACK, FIN, RST -M LIMIT -LIMIT 1 / S -J დაბრუნება.
- ბოლო მესამე ბრძანება არის: Sudo Iptables -a Block-Scan -j Drop. ამ შემთხვევებში ბლოკ-სკანირების გამოხატვა - მიკროსქემის სახელი.
დღეს ნაჩვენები პარამეტრები მხოლოდ Firewall- ის საკონტროლო ინსტრუმენტში მუშაობის საფუძველია. კომუნალური ოფიციალურ დოკუმენტაციაში თქვენ იხილავთ ყველა არსებული არგუმენტისა და პარამეტრების აღწერას და შეგიძლიათ გააკეთოთ Firewall- ის სპეციალურად თქვენი მოთხოვნის მიხედვით. ზემოთ სტანდარტული უსაფრთხოების წესების ზემოთ, რომლებიც ყველაზე ხშირად გამოიყენება და ხშირ შემთხვევაში აუცილებელია.