Di hemî pergalên xebitandinê de li ser bingeha Kernelê Linux, li ser bingeha rêgez û derveyî rêgezê, li ser bingeha qaîdeyên hatine destnîşankirin an platformê, kontrolkirina kamerayê ya çêkirî, pêkanîna kontrolê û belavkirinê heye. Di belavkirina Centos 7 de, amûrên iPtables fonksiyonek wusa pêk tîne, têkiliya bi firewallê netfilter-a çêkirî re dike. Carinan rêveberiya pergalê an rêveberê torê neçar e ku operasyona vê pêkhatê bicîh bike, rêzikên têkildar diyar dike. Wekî beşek ji gotara îro, em dixwazin li ser bingehên mîhengê iPtables di OS-ya jorîn de biaxivin.
Iptables li Centos 7 bicîh bikin
Amûrek bixwe tê gihîştin ku di cih de piştî sazkirina sedsalê 7 qediya, lê bêtir hewce ye ku hin karûbaran saz bikin, ku em ê biaxivin. Di platformê de di bin çavan de amûrek çêkirî ya din heye ku fonksiyona firewallê bi navê firewalld pêk tîne. Ji bo ku ji pevçûnan dûr nekevin, digel xebata bêtir, em vê pêkhatê ji xwe re pêşniyar kirin. Rêbernameyên li ser vê mijarê li ser girêdana din li ser girêdana jêrîn têne xwendin.Zêdetir bixwînin: Firewalld li Centos 7 neçalak bikin
Wekî ku hûn dizanin, protokolên IPV4 û IPV6 dikarin di pergalê de werin sepandin. Em ê li ser IPV4 mînaka IPV4 balê bikin, lê heke hûn dixwazin ji bo protokola din mîheng bikin, hûn ê li şûna tîmek hewce bikin. Iptables. Di karanîna konsolê de Ip6tables.
Sazkirina iptables
Pêdivî ye ku ew ji bo pergala ku îro di bin çavan de têgehên din ên ku di bin çavan de ne pêşeng be. Ew ê di sazkirina rêzikan û pîvanên din de bibin alîkar. Barkirina ji depoya fermî tête kirin, ji ber vê yekê pir wext nagire.
- Hemî kiryarên din dê di konsolê klasîk de bêne kirin, ji ber vê yekê ji hêla her rêbazek hêsan ve bisekinin.
- Fermandariya Sudo Yum saz kir ku emrê karûbarên iPtables-ê ji bo sazkirina karûbaran berpirsiyar e. Wê binivîse û bişkoja Enter binivîse.
- Hesabê Superuser piştrast bikin ku şîfreya wê ji wê diyar bikin. Ji kerema xwe gava ku pirsên Sudo, di rêzikên têkevinê de nayên xuyang kirin.
- Wê were pêşniyar kirin ku yek pakêtek li ser pergalê zêde bike, vê çalakiyê bi hilbijartina guhertoya y re piştrast bike.
- Piştî bidawîbûna sazkirinê, guhertoya heyî ya amûrê kontrol bikin: Sudo Iptables --Version.
- Encam dê di rêza nû de xuya bibe.
Naha OS bi tevahî ji bo mîhengê din ê firewall-ê bi navgîniya amûrên iPtables re amade ye. Em pêşniyar dikin ku xwe bi mîhengê li ser tiştan re nas bikin, dest bi karûbarên rêveberiyê bikin.
Karûbarên Iptables rawestandin û destpêkirin
Rêvebiriya Moda Iptables di rewşên ku hûn hewce ne ku çalakiya hin rêzikan kontrol bikin an jî tenê ji nû ve saz bikin. Ev bi karanîna fermanên embedded pêk tê.
- Enter Servîsa Sudo Iptables rawestînin û li ser bişkoja Enter bisekinin da ku karûbaran rawestînin.
- Ji bo pejirandina vê prosedurê, şîfreya superuser diyar bikin.
- Heke pêvajo serfiraz e, dê stringek nû were xuyang kirin, di pelê mîhengê de guherîn nîşan bide.
- Destpêkirina karûbaran hema hema bi heman awayî tê meşandin, tenê xeta Sudo Service Iptables Dîdara dest pê dike.
Rebbeyek wisa, dest pê dike an rawestandina amûreyê di her kêliyê de heye, tenê ji bîr nekin ku dema ku ew di daxwazê de be, ji bîr nekin.
Rêzan binihêrin û jêbirin
Wekî ku berê hatî destnîşan kirin, kontrola firewallê ji hêla rêbernameyê ve tête kirin an jî rêgezên otomatîkî zêde dike. Mînakî, hin serîlêdanên din dikarin amûrê bigihîjin, guhertina hin polîtîkayên. Lêbelê, pir çalakiyên wiha hîn jî bi destan têne kirin. Dîtina navnîşek hemî rêzikên heyî bi rêya fermana sudo iptables -l heye.
Di encama xuyangkirî de dê li ser sê zincîran agahdarî hebe: "input", "derketin" û "pêş" - bi rêzdarî, derketî û pêşgotinî, bi rêzdarî.
Hûn dikarin statûya hemî zincîran bi ketina sudo iptables -s destnîşan bikin.
Ger qaîdeyên ku ji we re ne razî ne, ew tenê tenê jêbirin. Tevahiya navnîşê bi vî rengî tê zelalkirin: sudo iptables -f. Piştî çalakbûnê, dê serwer ji her sê zincîran re bê guman were jêbirin.
Gava ku hûn hewce ne ku tenê li polîtîkayên ji hin zincîrekê tenê bandor bikin, argûmanek zêde li ser xetê tê zêdekirin:
Sudo Iptables -f input
Sudo Iptables -f Output
Sudo iptables -f forward
Nebûna hemî rêgez tê vê wateyê ku no parçeyek mîhengên trafîkê neyê bikar anîn. Piştre, rêveberê pergalê dê bi serbixwe parametreyên nû bi karanîna heman konsolê, ferman û argumentên cihêreng diyar bike.
Di zincîran de trafîkê û avêtin
Her zincîre ji bo wergirtin an astengkirina trafîkê ji hev veqetandî ye. Bi danîna wateyek diyar, ew dikare were bidestxistin ku, ji bo nimûne, hemî seyrûsefera hatîn dê bêne asteng kirin. Ji bo vê yekê, ferman divê bibe sudo iptables --Policy Drop Input, ku input navê zincîra ye, û drop nirxek vala ye.
Bi rastî heman parameter ji bo cûrbecûrên din têne danîn, mînakî, Sudo Iptables - Devera Output Output. Heke hûn hewce ne ku nirxek wergirtina trafîkê bicîh bikin, wê hingê guhartinên drop li ser pejirandinê û ew ji sudo iptables sudo --policy qebûl dike.
Resolution Portê û Lock
Wekî ku hûn dizanin, hemî serlêdanên torê û pêvajoyên ku di nav portek taybetî de dixebitin. Bi astengkirin an çareserkirina hin navnîşan, hûn dikarin li hemî armancên torê çavdêr bikin. Ka em ji bo nimûne 80-ê Portê Pêşîn analîz bikin, ew ê têkevin iptables-iptables -p -p -p -p -p -p -p -p. Zincîre, -p - Definition Protokol Di vê rewşê de, TCP, A --Dport portek betlaneyê ye.
Bi rastî heman fermanê jî li Port 22, ku ji hêla SSH SSH ve tête bikar anîn: Sudo Iptables -a input -p TCP --DPOR 22 -J qebûl bikin.
Ji bo astengkirina porta diyarkirî, string bi heman rengî tête bikar anîn, tenê di dawiya pejirandinê de guhertinên diqewimin. Wekî encamek, ji bo nimûne, ji bo nimûne, sudo iptables -a input -p tcp --Dport 2450 -J drop.
Hemî van rêgez têne nav pelê mîhengê û hûn dikarin di her kêliyê de wan bibînin. Em bîra we dikin, ew bi riya sudo iptables -l ve tête kirin. Heke hûn hewce ne ku navnîşek IP Torgilokê bi portê re bi portê re destûr bidin, string hinekî guhastin - piştî TPC-ê zêde ye - jixwe û navnîşê bixwe ye. Sudo Iptables -a input -p TCP -s 12.12.12.12/32 --DPORT 22 -J Pejirîne, li ku derê 12.12.12.12/32 Navnîşana IP-ya pêwîst e.
Astengkirin li ser heman prensîbê diguheze di dawiya dawîn de nirxa qebûlkirina li ser drop. Dûv re ew derdikeve, ji bo nimûne, sudo iptables -a input -p tcp -s 12.12.12.0/224 --DPORT 22 -J DROP.
Astengkirina ICMP
ICMP (Protokola Peyama Kontrolê ya Internetnternetê) - protokolek ku di TCP / IP de tête kirin û di dema ku bi trafîkê de dixebite di peyamên çewtiyê û rewşên awarte de têkildar e. Mînakî, dema ku servera xwestî nabe, ev amûr fonksiyonên karûbarê pêk tîne. Vebijarkên Iptables destûrê dide we ku hûn bi firewallê ve asteng bikin, û hûn dikarin wê bi karanîna sudo iptables -p -p icmp - fermandariya Type 8 -J drop. Ew ê daxwazên ji we û servera we asteng bike.
Daxwazên gihîştî hinekî cûda têne asteng kirin. Wê hingê hûn hewce ne ku têkevin Sudo Iptables -i input -p ICMP --ICMP-Type 8 -J Drop. Piştî çalakkirina van rêzikan, server dê bersivê bide daxwazên Ping.
Li ser serverê kiryarên nehêle asteng bikin
Carinan servers ji êrîşên DDOS an kiryarên din ên nehêle ji intruders têne girtin. Rêzkirina rastîn a firewall dê bihêle hûn xwe ji vî rengî hacking biparêzin. Ji bo ku dest pê bikin, em pêşniyar dikin ku rêzikên wiha saz bikin:
- Em di Iptables-input -p -p -p -p -p -p -p -p -p --Limit 20 / Minute --Limit --LiMit-BURST 100 -J qebûl dikin, li ku derê - Minute 20 / deqîqe li ser encamên encamên erênî ye . Hûn dikarin yekîneyek pîvanê xwe diyar bikin, ji bo nimûne, / duyemîn, hûrdem, / demjimêra / rojê. - Jimara tevlihev - li ser hejmara pakêtên winda sînorkirin. Hemî nirx li gorî tercîhên rêveberiyê bi rengek ferdî têne pêşandan.
- Piştre, hûn dikarin şirovekirina portên vekirî qedexe bikin da ku yek ji sedemên mimkun ên hacking rakirin. Fermana yekem sudo iptables -n blok-scan binivîse.
- Dûv re sudo iptables -a block-scan -p tcp -tcp-flags syn, ack, fin, sînorê RST -m-ê -LiMit 1 / S -J.
- Fermana sêyemîn a paşîn ev e: sudo iptables -a block-scan -j drop. Îfadeya blok-scan di van rewşan de - navê ku li ser qonaxa tê bikar anîn.
Mîhengên ku îro hatine destnîşan kirin tenê bingeha xebatê di nav amûrê kontrola ya firewall de ne. Di belgefîlmên fermî yên karûbar de hûn ê ravekek hemî arguman û vebijarkên berdest bibînin û hûn dikarin bi taybetî di bin daxwazên we de bicîh bikin. Li jor rêzikên ewlehiya standard, ku bi piranî têne sepandin û di pir rewşan de hewce ne.