Visās operētājsistēmās, pamatojoties uz Linux kodolu, ir iebūvēts ugunsmūris, veicot ienākošo un izejošo satiksmi un filtrēšanu, pamatojoties uz norādītajiem noteikumiem vai platformu. CentOS 7 izplatīšanā iptables lietderība veic šādu funkciju, mijiedarbojoties ar iebūvēto netfilter ugunsmūri. Dažreiz sistēmas administratoram vai tīkla pārvaldniekam ir jākonfigurē šīs komponenta darbība, kas nosaka attiecīgos noteikumus. Kā daļu no šodienas raksta, mēs vēlētos runāt par pamatiem Iptables konfigurācijas iepriekš minētajā OS.
Konfigurējiet iptables Centos 7
Pati rīks ir pieejams darbam tūlīt pēc CentOS 7 instalēšanas ir pabeigta, bet vēl vairāk būs jāinstalē daži pakalpojumi, kurus mēs runāsim. Apsvērošanas platformā ir vēl viens iebūvēts rīks, kas veic ugunsmūra funkciju, ko sauc par ugunsmūri. Lai izvairītos no konfliktiem, turpinot darbu, mēs iesakām šo komponentu atspējotu. Paplašinātas instrukcijas par šo tēmu lasa citā materiālā šādā saitē.Lasīt vairāk: Atspējot ugunsmūri Centos 7
Kā jūs zināt, IPv4 un IPv6 protokolus var izmantot sistēmā. Šodien mēs koncentrēsimies uz IPv4 piemēru, bet, ja vēlaties konfigurēt citu protokolu, jums būs nepieciešams komandas vietā. Iptables. konsoles lietošanai IP6Tables.
Iptables instalēšana
Tai šodien vajadzētu būt prioritātei sistēmas papildu sastāvdaļām. Tie palīdzēs noteikt noteikumus un citus parametrus. Iekraušana tiek veikta no oficiālā repozitorija, tāpēc tas nav nepieciešams daudz laika.
- Visas turpmākās darbības tiks veiktas klasiskajā konsolē, tāpēc palaižiet to ar jebkuru ērtu metodi.
- Sudo yum instalēt iptables-pakalpojumu komandu ir atbildīga par pakalpojumu instalēšanu. Ievadiet to un nospiediet taustiņu Enter.
- Apstipriniet SuperUser kontu, norādot paroli no tā. Lūdzu, ņemiet vērā, ka tad, kad vaicājumi sudo, ievadītie rakstzīmes rindā nekad netiek parādīti.
- Tiks ierosināts pievienot vienu paketi sistēmai, apstipriniet šo darbību, izvēloties Y versiju.
- Pēc uzstādīšanas pabeigšanas pārbaudiet pašreizējo rīka versiju: sudo iptables --Version.
- Rezultāts parādīsies jaunajā virknē.
Tagad OS ir pilnībā gatava turpmākai ugunsmūra konfigurācijai, izmantojot iptables lietderību. Mēs iesakām iepazīstināt sevi ar konfigurāciju priekšmetos, sākot ar pārvaldības pakalpojumiem.
Iptables pakalpojumu pārtraukšana un palaišana
IPtables režīma pārvaldība ir nepieciešama gadījumos, kad jums ir jāpārbauda konkrētu noteikumu darbība vai vienkārši restartēt komponentu. Tas tiek darīts, izmantojot iegultās komandas.
- Lai apturētu pakalpojumus, ievadiet sudo servisa iptables un noklikšķiniet uz ievadīšanas taustiņa.
- Lai apstiprinātu šo procedūru, norādiet superUser paroli.
- Ja process ir veiksmīgs, tiks parādīta jauna virkne, norādot izmaiņas konfigurācijas failā.
- Pakalpojumu uzsākšana tiek veikta gandrīz tādā pašā veidā, tikai līnija iegūst sudo servisa iptables skatu.
Līdzīgs atsāknēšana, lietderības uzsākšana vai pārtraukšana ir pieejama jebkurā laikā, neaizmirstiet tikai atgriezties pretējā vērtība, kad tas būs pieprasījums.
Skatiet un dzēsiet noteikumus
Kā minēts iepriekš, ugunsmūra kontrole tiek veikta ar manuālu vai automātiski pievienojot noteikumus. Piemēram, dažas papildu lietojumprogrammas var piekļūt šim instrumentam, mainot noteiktu politiku. Tomēr lielākā daļa šādu darbību joprojām tiek veikta manuāli. Visu pašreizējo noteikumu saraksta apskate ir pieejama, izmantojot komandu sudo iptables.
Rādītajā rezultātā būs informācija par trim ķēdēm: "ieeja", "izeja" un "uz priekšu" - attiecīgi ienākošo, izejošo un pārsūtīto satiksmi.
Jūs varat definēt visu ķēžu statusu, ievadot sudo iptables -s.
Ja redzamie noteikumi nav apmierināti ar jums, viņi vienkārši tiek dzēsti. Viss saraksts ir notīrīts kā šis: sudo iptables -f. Pēc aktivizēšanas noteikums tiks izdzēsts absolūti visām trim ķēdēm.
Ja jums ir nepieciešams ietekmēt tikai politiku no kāda no vienas vienas ķēdes, līnijas pievieno papildu argumentu:
Sudo ipfables -f ievadi
Sudo iptables -f izeja
Sudo iptables -f uz priekšu
Visu noteikumu trūkums nozīmē, ka neviens satiksmes filtrēšanas iestatījumus nevienā daļā netiek izmantoti. Pēc tam sistēmas administrators patstāvīgi precizēs jaunus parametrus, izmantojot to pašu konsoli, komandu un dažādus argumentus.
Saņemšana un kravas pārvadājumi ķēdēs
Katra ķēde ir konfigurēta atsevišķi, lai saņemtu vai bloķētu satiksmi. Nosakot noteiktu nozīmi, to var panākt, ka, piemēram, visa ienākošā satiksme tiks bloķēta. Lai to izdarītu, komandai jābūt sudo iptables --polity ievades pilienam, kur ievade ir ķēdes nosaukums, un kritums ir izlādes vērtība.
Tieši tādi paši parametri ir iestatīti citām ķēdēm, piemēram, sudo ipfables --policy izejas piliens. Ja jums ir nepieciešams iestatīt vērtību, lai saņemtu satiksmi, tad piliens mainās uz pieņemšanu, un izrādās, ka sudo iptables --polity ievadi pieņemt.
Ostas izšķirtspēja un slēdzene
Kā jūs zināt, visi tīkla lietojumprogrammas un procesi darbojas ar noteiktu ostu. Bloķējot vai atrisinot noteiktas adreses, jūs varat uzraudzīt piekļuvi visiem tīkla mērķiem. Analizēsim portu uz priekšu, piemēram, 80. Terminālī, tas būs pietiekami, lai iekļūtu sudo iptables -a ieeja -p tcp --dport 80 -j pieņemt komandu, kur - - pievienojot jaunu noteikumu, ievadi - ieteikums Ķēde, -P - protokola definīcija šajā lietā TCP, --dport ir galamērķa osta.
Tieši tāda pati komanda attiecas arī uz ostu 22, ko izmanto SSH pakalpojums: sudo iptables -a ieeja -p tcp --dport 22 -j pieņemt.
Lai bloķētu norādīto portu, virkne tiek izmantota tieši tāda paša tipa, tikai beigās pieņemtajām izmaiņām. Tā rezultātā izrādās, piemēram, sudo iptables -a ieeja -p tcp --dport 2450 -j piliens.
Visi šie noteikumi tiek ievadīti konfigurācijas failā, un jūs varat tos apskatīt jebkurā laikā. Mēs jums atgādinām, tas tiek darīts, izmantojot sudo iptables -l. Ja jums ir nepieciešams, lai ļautu tīkla IP adresi ar ostu kopā ar ostu, virkne ir nedaudz pārveidota - pēc tam, kad TPC pievieno un pati adresi. Sudo iptables -a ieejas -p TCP -S 12.12.12.12/32 --dport 22 -J pieņemts, kur 12.12.12.12/32 ir nepieciešamā IP adrese.
Bloķēšana notiek ar to pašu principu, mainot beigās pieņemto vērtību. Tad izrādās, piemēram, sudo iptables -a ieeja -P TCP -S 12.12.12.0/224 --dport 22 -J piliens.
ICMP bloķēšana
ICMP (interneta kontroles ziņojuma protokols) - protokols, kas ir iekļauts TCP / IP un ir iesaistīts kļūdu ziņojumu un ārkārtas situāciju pārraidīšanā, strādājot ar satiksmi. Piemēram, ja pieprasītais serveris nav pieejams, šis rīks veic pakalpojumu funkcijas. Iptables lietderība ļauj jums to bloķēt caur ugunsmūri, un jūs varat to izmantot, izmantojot sudo iptables -a izejas -P ICMP --ICMP-type 8 -J pilienu komandu. Tas bloķēs pieprasījumus no jūsu un jūsu servera.
Ienākošie pieprasījumi tiek bloķēti nedaudz atšķirīgi. Tad jums ir jāievada sudo iptables -i ieeja -p ICMP --icmp-type 8 -J piliens. Pēc šo noteikumu aktivizēšanas serveris neatbildēs uz Ping pieprasījumiem.
Novērst nesankcionētu darbību serverī
Dažreiz serveri tiek pakļauti DDOS uzbrukumiem vai citiem nesankcionētiem pasākumiem no iebrucējiem. Pareiza ugunsmūra pielāgošana ļaus jums pasargāt sevi no šāda veida hakeru. Lai sāktu ar, mēs iesakām noteikt šādus noteikumus:
- Mēs rakstām iptables -a ieejas -P TCP -DPORT 80 -M Limit --Limit 20 / min --Limit-Burst 100 -j pieņemts, kur --Limit 20 / minūte ir ierobežojums par biežumu pozitīvu rezultātu . Jūs varat norādīt mērvienību, piemēram, sekundē, / minūšu laikā, / stundā / dienā. - DIMIT-Burst numurs - ierobežojums par trūkstošo iepakojumu skaitu. Visas vērtības tiek izstādītas individuāli atbilstoši administratora preferencēm.
- Tālāk jūs varat aizliegt atvērto ostu skenēšanu, lai noņemtu vienu no iespējamiem hakeru cēloņiem. Ievadiet pirmo sudo iptables -N bloka skenēšanas komandu.
- Pēc tam norādiet sudo iptables -A block-scan -p tcp -tcp-karogi syn, ack, fin, rst -m limit -limit 1 / s -j atgriezties.
- Pēdējā trešā komanda ir: sudo iptables -a block-scan -j piliens. Bloka skenēšanas izteiksme šajos gadījumos - izmantotā ķēdes nosaukumu.
Šodien parādītie iestatījumi ir tikai pamats darbam Ugunsmūra vadības instrumentā. Oficiālajā lietderības dokumentācijā jūs atradīsiet visu pieejamo argumentu un iespēju aprakstu, un jūs varat konfigurēt ugunsmūri tieši saskaņā ar jūsu pieprasījumiem. Virs standarta drošības noteikumu, kas visbiežāk piemēro un vairumā gadījumu ir nepieciešami.