Setup Iptables in Centos 7

Linux Kernel- ზე დაფუძნებული ყველა ოპერაციული სისტემით, არის ჩამონტაჟებული firewall, შემომავალი და გამავალი ტრაფიკის კონტროლსა და ფილტრაციის კონტროლს, რომელიც მითითებულია ან პლატფორმის წესების მიხედვით. Centos 7 განაწილება, IPTBables კომუნალური ასრულებს ასეთი ფუნქცია, ურთიერთქმედების ჩაშენებული Netfilter Firewall. ზოგჯერ სისტემის ადმინისტრატორს ან ქსელურ მენეჯერს უნდა დააკონფიგურიროთ ამ კომპონენტის ფუნქციონირება, შესაბამისი წესების დადგენა. დღევანდელი სტატიის ნაწილი, ჩვენ გვინდა ვისაუბროთ ციფრების კონფიგურაციის საფუძვლებზე ზემოაღნიშნულ OS- ში.

კონფიგურაცია Iptables Centos 7

ინსტრუმენტი თავისთავად ხელმისაწვდომია Centos 7-ის დამონტაჟების შემდეგ, მაგრამ შემდგომ უნდა დააყენოთ გარკვეული მომსახურება, რომელიც ჩვენ ვისაუბრებთ. პლატფორმაში გათვალისწინებით არსებობს კიდევ ერთი ჩამონტაჟებული ინსტრუმენტი, რომელიც ასრულებს firewall ფუნქციას firewalld. კონფლიქტების თავიდან ასაცილებლად, შემდგომი მუშაობით, ჩვენ ვურჩევთ ამ კომპონენტს. გაფართოებული ინსტრუქციები ამ თემაზე წაიკითხეთ სხვა მასალაში შემდეგ ბმულზე.

დაწვრილებით: გამორთვა Firewalld Centos 7

მოგეხსენებათ, IPv4 და IPv6 პროტოკოლები შეიძლება გამოყენებულ იქნას სისტემაში. დღეს ჩვენ ფოკუსირება IPv4 მაგალითზე, მაგრამ თუ გსურთ კონფიგურაცია სხვა პროტოკოლი, თქვენ უნდა ნაცვლად გუნდის. IPTables. კონსოლის გამოყენება Ip6tables.

ინსტალაცია IPtables

პრიორიტეტული უნდა იყოს სისტემის დამატებითი კომპონენტების შესახებ კომუნალური განსახილველად. ისინი ხელს შეუწყობენ წესებსა და სხვა პარამეტრებს. Loading ხორციელდება ოფიციალური საცავიდან, ამიტომ არ იღებს დიდ დროს.

ყველა შემდგომი ქმედებები გაკეთდება კლასიკურ კონსოლში, ამიტომ აწარმოებს ნებისმიერ მოსახერხებელ მეთოდით.

დაწყებული ტერმინალი კონფიგურაციის IPtables კომუნალური Centos 7

Sudo Yum ინსტალაციის IPTables-Services ბრძანება პასუხისმგებელია სამონტაჟო მომსახურება. შეიყვანეთ და დააჭირეთ ღილაკს Enter.

IPTables Utilities- ის ინსტალაცია Centos 7-ში

დაადასტურეთ SuperUser ანგარიშის პაროლის დაზუსტება. გთხოვთ გაითვალისწინოთ, რომ როდესაც Queries Sudo, შევიდა სიმბოლოების ზედიზედ არ არის ნაჩვენები.

შეიყვანეთ პაროლი IPtables- ის სისტემაში 7-ის მეშვეობით

ეს იქნება შემოთავაზებული ერთი პაკეტის დამატება სისტემაში, დაადასტურეთ ეს ქმედება Y ვერსიის შერჩევით.

Centos 7-ის ახალი IPTables სერვის პაკეტების დასამტკიცებლად

ინსტალაციის დასრულების შემდეგ შეამოწმეთ ინსტრუმენტის ამჟამინდელი ვერსია: Sudo Iptables --Version.

Terminal- ში Centos 7-ის IPtables კომუნალური ვერსიის შემოწმება

შედეგი გამოჩნდება ახალ სტრიქონში.

აჩვენებს მიმდინარე ვერსიის IPTBables კომუნალური ცენტროს 7 მეშვეობით ტერმინალის

ახლა OS არის მზად შემდგომი კონფიგურაციის firewall მეშვეობით IPTABLES სასარგებლო. ჩვენ ვთავაზობთ გაცნობა თავს ერთად კონფიგურაციის ნივთები, დაწყებული მართვის მომსახურების.

შეჩერება და დაწყების IPTABLES მომსახურება

Iptables რეჟიმში მართვა იმ შემთხვევაში, როცა თქვენ უნდა შეამოწმოთ მოქმედების გარკვეული წესებით ან უბრალოდ გადატვირთეთ კომპონენტი. ეს კეთდება გამოყენებით ჩართული ბრძანებები.

შეიყვანეთ Sudo სამსახურის iptables Stop და დააჭირეთ Enter უნდა შეწყვიტოს მომსახურება.

შეჩერების iptables კომუნალური მომსახურება CentOS 7 მეშვეობით Terminal

იმის დასადასტურებლად, რომ ეს პროცედურა, განსაზღვროს superuser პაროლი.

პაროლი შესვლის შეჩერება iptables კომუნალური CentOS 7

თუ პროცესი წარმატებული, ახალი სიმებიანი იქნება ნაჩვენები, რაც მიუთითებს, ცვლილებები კონფიგურაციის ფაილი.

შეტყობინება შეჩერების შესახებ მომსახურება კომუნალური iptables in CentOS 7

დაწყებას მომსახურება ხორციელდება თითქმის ანალოგიურად, მხოლოდ ხაზი იძენს Sudo სამსახურის iptables დაწყება ხედი.

Run iptables Utilities მომსახურება CentOS 7 Terminal

მსგავსი გადატვირთვისას, დაწყებული ან შეჩერების სასარგებლო ხელმისაწვდომია ნებისმიერ დროს, არ უნდა დაგვავიწყდეს, მხოლოდ დაბრუნებას საპირისპირო მნიშვნელობა, როდესაც ეს იქნება მოთხოვნა.

ნახვა და წაშლა წესები

როგორც ზემოთ აღინიშნა, კონტროლის firewall ხორციელდება ხელით ან ავტომატურად დასძინა წესები. მაგალითად, ზოგიერთი დამატებითი პროგრამები შეუძლიათ ინსტრუმენტი, შეცვლის გარკვეული პოლიტიკა. თუმცა, ამგვარი ქმედება კიდევ კეთდება ხელით. პროფაილის სიაში ყველა წესების მეშვეობით შესაძლებელი Sudo iptables -L ბრძანება.

არიან სიაში ყველა არსებული iptables კომუნალური წესების CentOS 7

In ნაჩვენები შედეგი იქნება ინფორმაციას სამ ქსელები: "შეყვანა", "გამომავალი" და "წინ" - შემომავალი, გამავალი და საექსპედიტორო მოძრაობის, შესაბამისად.

View სიის ყველა წესის კომუნალური iptables in CentOS 7

თქვენ შეგიძლიათ განსაზღვროს სტატუსი ყველა ჯაჭვების შესვლის Sudo iptables -S.

ნაჩვენებია სიაში iptables კომუნალური სქემები CentOS 7

თუ წესებს ჩანს არ დაკმაყოფილდება, ისინი უბრალოდ უბრალოდ მკვდარია. მთელი სია განუბაჟებელი მოსწონს ეს: sudo iptables ვ. გააქტიურების შემდეგ, წესით იქნება წაშლილი აბსოლუტურად სამივე ქსელები.

წმინდა სია ყველა წესები iptables კომუნალური CentOS 7

როდესაც თქვენ უნდა ეხება მხოლოდ იმ პოლიტიკის ზოგიერთი ერთ ჯაჭვი, დამატებითი არგუმენტი ემატება ხაზი:

Sudo iptables -F შეყვანის

Sudo iptables ვ გამოყვანის

Sudo iptables ვ Forward

წმინდა წესების ჩამონათვალი კონკრეტული IPTABLES ჯაჭვის CentOS 7

არარსებობის წესები ნიშნავს, რომ არ არსებობს საგზაო მოძრაობის ფილტრაციის პარამეტრები არ გამოიყენება ნებისმიერი ნაწილი. შემდეგი, სისტემის ადმინისტრატორს დამოუკიდებლად განსაზღვროს ახალი პარამეტრების გამოყენებით იმავე კონსოლი, ბრძანება და სხვადასხვა არგუმენტები.

მიღება და მითუმეტეს საგზაო ქსელები

თითოეული ჯაჭვის მითითებული ცალკე მიღება და მოძრაობა შეიზღუდება. მიიღწევა გარკვეული მნიშვნელობა აქვს, ეს შეიძლება იყოს მიღწეული, რომ, მაგალითად, ყველა შემომავალი ტრაფიკის დაიბლოკება. ამისათვის, ბრძანება უნდა იყოს sudo iptables --policy შეყვანის Drop, სადაც შეყვანის სახელი ჯაჭვი, და Drop არის გამონადენი ღირებულება.

გადატვირთვის შემომავალი შეკითხვებს iptables კომუნალური CentOS 7

ზუსტად იგივე პარამეტრების მითითებული სხვა სქემები, მაგალითად, Sudo iptables --policy გამოყვანის Drop. თუ თქვენ უნდა მითითებული მნიშვნელობა მიღების მოძრაობის, მაშინ drop ცვლილებების მიღება და თურმე sudo iptables --policy input მიიღოს.

Port რეზოლუცია და ჩაკეტვა

მოგეხსენებათ, ყველა ქსელური პროგრამები და პროცესები მუშაობა მეშვეობით გარკვეული პორტი. დაბლოკვით და მოგვარების გარკვეული მისამართები, შეგიძლიათ მონიტორინგი ყველა ქსელური მიზნებისათვის. მოდით ანალიზი პორტის წინ მაგალითად 80. Terminal, ეს იქნება საკმარისი შესვლის Sudo IPTABLES -A INPUT -P TCP --DPort 80 -J მიიღოს ბრძანება, სადაც ა - დასძინა ახალი წესი, შეყვანის - წინადადებით ჯაჭვი, -p - ოქმი განმარტება ამ შემთხვევაში, TCP, A --DPORT არის დანიშნულების პორტში.

წესი გახსნის port 80 iptables კომუნალური CentOS 7

ზუსტად იგივე ბრძანება ასევე ვრცელდება port 22, რომელიც გამოიყენება SSH მომსახურება: Sudo IPTABLES -A INPUT -P TCP --DPORT 22 -J მიღება.

წესი გახსნის port 22 iptables კომუნალური in CentOS 7

დაბლოკოს მითითებულ პორტში, string გამოიყენება ზუსტად იგივე ტიპის, მხოლოდ ბოლოს მიღება ცვლილებები Drop. შედეგად, თურმე, მაგალითად, Sudo IPTABLES -A INPUT -P TCP --DPORT 2450 -J DROP.

წესით port აკრძალვა IPTABLES კომუნალური CentOS 7

ყველა ეს წესები შევიდა კონფიგურაციის ფაილი და თქვენ შეგიძლიათ ნახოთ მათ ნებისმიერ დროს. შეგახსენებთ, რომ ეს კეთდება მეშვეობით sudo iptables l. თუ თქვენ უნდა დაუშვას ქსელის IP მისამართი პორტში პორტთან ერთად, სიმებიანი ოდნავ შეცვლილია - მას შემდეგ, TPC ემატება -s და თვით. Sudo iptables -A შეყვანის -p TCP -S 12.12.12.12/32 --DPORT 22 -J მიღება, სადაც 12.12.12.12/32 არის საჭირო IP მისამართი.

წესის მიღების IP მისამართები და პორტი iptables in CentOS 7

ბლოკირება ხდება იმავე პრინციპით იცვლება ბოლოს ღირებულება მიღება წვეთი. მაშინ გამოდის, მაგალითად, Sudo iptables -A input -p TCP -S 12.12.12.0/224 --DPORT 22 -J DROP.

წესი დაბლოკვის IP მისამართები და პორტი iptables in CentOS 7

ICMP ბლოკირება

ICMP (Internet Control შეტყობინება Protocol) - ოქმი, რომელიც შედის TCP / IP და ჩართულია გადამცემი შეცდომის შეტყობინებები და საგანგებო სიტუაციების, როდესაც მუშაობა მოძრაობა. მაგალითად, როცა მოთხოვნილი სერვერზე ხელმისაწვდომი არ არის, ეს ინსტრუმენტი ასრულებს სამსახურის ფუნქციები. IPTABLES უტილიტა გაძლევთ საშუალებას დაბლოკოს ის მეშვეობით firewall, და შეგიძლიათ მისი გამოყენება Sudo IPTABLES -A OUTPUT -P ICMP --icmp-Type 8 -J DROP ბრძანება. ის დაბლოკავს მოითხოვს თქვენი და თქვენს სერვერზე.

პირველი წესი ბლოკირება iptables ჩართვის CentOS 7

შემომავალი მოითხოვს დაბლოკილია ცოტა განსხვავებული. მაშინ თქვენ უნდა მიუთითოთ Sudo IPTABLES მე INPUT -P ICMP --icmp-Type 8 -J Drop. გააქტიურების შემდეგ ეს წესები, სერვერზე ვერ რეაგირება Ping მოითხოვს.

მეორე წესი, რომ ჩაკეტვა ჩაწერეთ IPtables in Centos 7

სერვერზე არასანქცირებული ქმედებების თავიდან ასაცილებლად

ზოგჯერ სერვერები ექვემდებარებიან DDOS თავდასხმებს ან სხვა არასანქცირებულ ქმედებებს intruders. Firewall- ის სწორი კორექტირება საშუალებას მოგცემთ დაიცვას ამ სახის გარჩევაში. დასაწყისისთვის, ჩვენ ვურჩევთ ასეთი წესების შექმნას:

ჩვენ ვწერთ Iptables -A INPUT -P TCP - DPORT 80-M Limit - Limit 20 / Minute - Limit-Burst 100 -J Accept, სადაც - Limit 20 / წუთი არის ლიმიტი დადებითი შედეგების სიხშირეზე . თქვენ შეგიძლიათ მიუთითოთ გაზომვის ერთეული, მაგალითად, / მეორე, / წუთი / საათი, / დღე. - limit-burst ნომერი - ლიმიტი რაოდენობის დაკარგული პაკეტები. ყველა ღირებულებები გამოფენილია ინდივიდუალურად ადმინისტრატორის პარამეტრების მიხედვით.

უსაფრთხოების წესი DDOs- დან Iptables- ში Centos 7-ში

შემდეგი, თქვენ შეგიძლიათ აკრძალოს სკანირება ღია პორტების ამოიღონ ერთი შესაძლო მიზეზების გარჩევაში. შეიყვანეთ პირველი Sudo Iptables -n ბლოკ-სკანირების ბრძანება.

პირველი წესი, რომელიც აკრძალავს IPTables პორტების Centos 7

შემდეგ მიუთითეთ Sudo Iptables -a Block-Scan -P TCP -TCP-Flags Syn, ACK, FIN, RST -M LIMIT -LIMIT 1 / S -J დაბრუნება.

მეორე წესი აკრძალა IPTables პორტების Centos 7

ბოლო მესამე ბრძანება არის: Sudo Iptables -a Block-Scan -j Drop. ამ შემთხვევებში ბლოკ-სკანირების გამოხატვა - მიკროსქემის სახელი.

მესამე წესი, რომელიც ბლოკავს სკანირების პორტს Itpables- ში Centos 7

დღეს ნაჩვენები პარამეტრები მხოლოდ Firewall- ის საკონტროლო ინსტრუმენტში მუშაობის საფუძველია. კომუნალური ოფიციალურ დოკუმენტაციაში თქვენ იხილავთ ყველა არსებული არგუმენტისა და პარამეტრების აღწერას და შეგიძლიათ გააკეთოთ Firewall- ის სპეციალურად თქვენი მოთხოვნის მიხედვით. ზემოთ სტანდარტული უსაფრთხოების წესების ზემოთ, რომლებიც ყველაზე ხშირად გამოიყენება და ხშირ შემთხვევაში აუცილებელია.