Visose "Linux" branduolio operacinėse sistemose yra įmontuotas ugniasienė, atlieka gaunamo ir išeinančio srauto valdymą ir filtravimą, remiantis nurodytomis taisyklėmis arba platforma. Centos 7 pasiskirstymas, Iptables naudingumas atlieka tokią funkciją, bendraujant su įmontuotu "NetFilter" užkardos. Kartais sistemos administratorius arba tinklo valdytojas turi sukonfigūruoti šio komponento veikimą, nurodant atitinkamas taisykles. Kaip šiandienos straipsnio dalis, mes norėtume kalbėti apie pirmiau minėtos OS pagrindinius IPTABLE konfigūracijos pagrindus.
Konfigūruoti Iptables Centose 7
Pats įrankis yra prieinamas nedelsiant dirbti po Centos 7 yra baigtas, tačiau toliau turės įdiegti kai kurias paslaugas, kurias kalbėsime. Svarstytoje platformoje yra dar vienas įmontuotas įrankis, kuris atlieka ugniasienės funkciją, vadinamą užkarda. Siekiant išvengti konfliktų, su tolesniu darbu rekomenduojame išjungti šį komponentą. Išplėstinės instrukcijos šioje temoje skaityti kitoje medžiagoje šioje nuorodoje.Skaityti daugiau: Išjunkite ugniasienę Centose 7
Kaip žinote, sistemos IPv4 ir IPv6 protokolai gali būti taikomi sistemoje. Šiandien mes sutelksime į IPv4 pavyzdį, bet jei norite konfigūruoti kitam protokolui, jums reikės vietoj komandos. Iptables. konsolės naudojimas IP6Tables..
Ipablos diegimas
Tai turėtų būti pirmenybė sistemai papildomi komponentai, kuriuos šiandien svarstoma. Jie padės nustatyti taisykles ir kitus parametrus. Įkėlimas atliekamas iš oficialios saugyklos, todėl jis neturi daug laiko.
- Visi tolesni veiksmai bus atlikti klasikinėje konsolėje, todėl jį paleiskite bet kokiu patogiu metodu.
- "Sudo Yum Install Iptables-Services" komanda yra atsakinga už paslaugų diegimą. Įveskite jį ir paspauskite klavišą Enter.
- Patvirtinkite "SuperUSER" paskyrą, nurodydami slaptažodį. Atkreipkite dėmesį, kad kai užklausos sudo, įvesti simboliai eilutėje niekada nerodomi.
- Bus pasiūlyta pridėti vieną paketą į sistemą, patvirtinkite šį veiksmą pasirinkdami Y versiją.
- Baigus diegimą, patikrinkite dabartinę įrankio versiją: sudo iptables.
- Rezultatas bus rodomas naujoje eilutėje.
Dabar OS yra visiškai pasirengusi tolesnei ugniasienės konfigūravimui per IPTABLE naudingumą. Siūlome susipažinti su elementų konfigūracija, pradedant nuo valdymo paslaugų.
IPTABLE paslaugų sustabdymas ir paleidimas
IPTABLE režimo valdymas reikalingas tais atvejais, kai reikia patikrinti tam tikrų taisyklių veikimą arba tiesiog iš naujo paleiskite komponentą. Tai daroma naudojant įterptasis komandas.
- Įveskite "SUDO Service IPTABLE" sustabdymą ir spustelėkite įvesties klavišą, kad sustabdytumėte paslaugas.
- Norėdami patvirtinti šią procedūrą, nurodykite "SuperUSER" slaptažodį.
- Jei procesas yra sėkmingas, bus rodoma nauja eilutė, nurodant konfigūracijos failo pakeitimus.
- Paslaugų paleidimas atliekamas beveik vienodai, tik linija įgyja "sudo Service Iptables" pradinį vaizdą.
Panašus perkrovimas, pradedant ar sustabdant naudingumą yra prieinama bet kuriuo metu, nepamirškite tik grįžti atvirkštine verte, kai ji bus paklausa.
Peržiūrėti ir ištrinti taisykles
Kaip minėta anksčiau, užkardos kontrolė atliekama rankiniu arba automatiškai pridedant taisykles. Pavyzdžiui, kai kurios papildomos programos gali pasiekti įrankį, keičiant tam tikrą politiką. Tačiau dauguma tokių veiksmų dar yra atliekami rankiniu būdu. Visų dabartinių taisyklių sąrašo peržiūra yra prieinama per SUDO IPTABLE -L komandą.
Rodomame rezultatuose bus pateikta informacija apie tris grandines: "Įvesties", "produkcija" ir "į priekį" - atitinkamai gaunamas, išeinantis ir ekspedijavimas.
Galite nustatyti visų grandinių būseną įvesdami "Sudo Iptables -s".
Jei nustatytos taisyklės nėra patenkintos su jumis, jie tiesiog ištrinami. Visas sąrašas yra išvalytas taip: sudo iptables -f. Po aktyvinimo taisyklė bus visiškai ištrinta visoms trims grandinėms.
Kai jums reikia įtakos tik tam tikros grandinės politiką, prie linijos pridedamas papildomas argumentas:
Sudo iptables -f įvestis
Sudo iptables -f produkcija
Sudo iptables -f į priekį
Visų taisyklių nebuvimas reiškia, kad jokia eismo filtravimo nustatymai nėra naudojami. Be to, sistemos administratorius savarankiškai nurodykite naujus parametrus naudojant tą pačią konsolę, komandą ir įvairius argumentus.
Eismo priėmimas ir nuleidimas grandinėse
Kiekviena grandinė yra sukonfigūruota atskirai gauti arba blokuoti srautą. Nustatydami tam tikrą reikšmę, galima pasiekti, kad, pavyzdžiui, visi gaunami srautai bus užblokuoti. Norėdami tai padaryti, komanda turi būti sudo Iptables --policy įvesties lašas, kur įvestis yra grandinės pavadinimas, o lašas yra išleidimo vertė.
Tik lygiai tie patys parametrai yra nustatyti kitiems grandynams, pavyzdžiui, sudo IPTABLE --policy išvesties lašas. Jei reikia nustatyti reikšmę gauti srautą, tada lašas pakeitimus priimant ir paaiškėja sudo IPTABLE --policy įvesties priimti.
Uosto rezoliucija ir užraktas
Kaip žinote, visi tinklo programos ir procesai dirba per tam tikrą uostą. Užblokuodami arba sprendžiant tam tikrus adresus, galite stebėti visų tinklo tikslais. Analizuojame uostą į priekį 80. Terminale, pakaks įeiti į "Sudo IPTables -A" įvestį -P TCP -Dport 80 -J priimti komandą, kur - pridedant naują taisyklę, įvestį - pasiūlymą Grandinė, -P - protokolo apibrėžimas šiuo atveju, TCP, A --Dport yra paskirties uostas.
Būtent ta pati komanda taip pat taikoma 22 "Port", kurią naudoja SSH paslauga: sudo IPTABLE -A įvestis -P TCP --Dport 22 -J sutinka.
Norėdami užblokuoti nurodytą prievadą, eilutė yra naudojama lygiai tokio paties tipo, tik pasibaigus priimant pakeitimus. Kaip rezultatas, paaiškėja, pavyzdžiui, sudo IPTABLE -A įvestis -P TCP -Dport 2450 -J lašas.
Visos šios taisyklės yra įrašytos į konfigūracijos failą ir galite juos peržiūrėti bet kuriuo metu. Mes jums priminsime, tai daroma per sudo IPTABLE -L. Jei norite leisti tinklo IP adresą su uostu kartu su prievadu, eilutė yra šiek tiek pakeista - po to, kai TPC yra pridėtas ir pats adresas. SUDO IPTABLE -A INPUT -P TCP -S 12.12.12.12/32 --DPORT 22 -J Priimti, kur 12.12.12.12/32 yra būtinas IP adresas.
Blokavimas atsiranda dėl to paties principo keičiant pabaigoje priėmimo vertę. Tada paaiškėja, pavyzdžiui, sudo IPTABLE -A INPUT -P TCP -S 12.12.12.0/224 --Port 22 -J lašas.
ICMP blokavimas
ICMP (interneto valdymo pranešimo protokolas) - protokolas, kuris yra įtrauktas į TCP / IP ir dalyvauja perduodant klaidų pranešimus ir avarines situacijas, kai dirbant su eismu. Pavyzdžiui, kai neprieinamas serveris nėra, ši priemonė atlieka paslaugų funkcijas. "Iptables Utility" leidžia jums užblokuoti jį per ugniasienę, ir jūs galite padaryti jį naudojant SUDO IPTABLE -A išėjimo -A -P ICMP --ICMP-tipas 8 -J Drop komanda. Jis užblokuos jūsų ir jūsų serverio prašymus.
Gaunami prašymai yra užblokuoti šiek tiek skirtingi. Tada jums reikia įvesti SUDO IPTABLE -I INPUT -P ICMPCICMP-tipas 8 -J lašas. Įjungus šias taisykles, serveris neatsakys į PING užklausų.
Užkirsti kelią neleistiniems veiksmams serveryje
Kartais serveriai patiria DDO atakų ar kitų neleistinų veiksmų nuo įsibrovėlių. Teisingas koregavimas ugniasienės leis jums apsaugoti save nuo tokio įsilaužimo. Norėdami pradėti, rekomenduojame nustatyti tokias taisykles:
- Mes rašome IPTABLE -A INPUT -P TCP --DPORT 80 -M LIMIT --LIMIT 20 / min. - perpardavome 100 -J priima, kur - Limit 20 / min. . Galite nurodyti matavimo vienetą, pavyzdžiui, / antrą, / minutę / valandą, per dieną. --Mit-sprogo numerį - trūkstamų paketų skaičiaus ribą. Visos vertės eksponuojamos individualiai pagal administratoriaus pageidavimus.
- Be to, galite uždrausti nuskaityti atvirus uostus, kad pašalintumėte vieną iš galimų įsilaužimo priežasčių. Įveskite pirmuosius SUDO IPTABLE -N BLOCK-SCAN komandą.
- Tada nurodykite SUDO IPTABLE -A BLOCK-SCAN -P TCP -TCP-Vėliavos SYN, ACK, FIN, RST -M LIMIT -LIMIT 1 / s -J Grįžti.
- Paskutinė trečioji komanda yra: sudo iptables -a block-scan -j lašas. Blokų nuskaitymo išraiška šiais atvejais - naudojamo grandinės pavadinimas.
Šiandien rodomi nustatymai yra tik už ugniasienės valdymo priemonėje pagrindas. Oficialiame naudingumo dokumentuose rasite visų turimų argumentų ir parinkčių aprašymą ir konkrečiai galite konfigūruoti ugniasienę pagal jūsų prašymus. Virš standartinių saugumo taisyklių, kurios dažniausiai taikomos ir daugeliu atvejų reikia.