Amin'ny rafitra fandidiana rehetra mifototra amin'ny kernel linux, misy kitay vita amin'ny kitay, manao fifehezana sy fanivanana ny fifamoivoizana miditra sy mivoaka, mifototra amin'ny fitsipika voafaritra na ny lampihazo. Any amin'ny fizarana faha-7 i Centos 7, ny fampiasana iptables dia manao asa toy izany, mifanerasera amin'ny firewall netfilter namboarina. Indraindray ny mpitantana ny rafitra na ny mpitantana ny tambajotra dia tsy maintsy manamboatra ny fiasan'ity singa ity, manisy lalàna mifandraika amin'izany. Amin'ny maha-lahatsoratra ankehitriny ity dia tiantsika ny hiresaka momba ny fototry ny fanamafisana iptables ao amin'ny OS voalaza etsy ambony.
Manitsy iptables ao amin'ny Centos 7
Ny fitaovana dia azo idirana hiasa avy hatrany aorian'ny fametrahana ny fametrahana ny Centos 7, fa mila mametraka serivisy vitsivitsy, izay horesahantsika. Ao amin'ny lampihazo eo am-pisaintsainana dia misy fitaovana iray namboarina hafa izay manatanteraka ny fiasa ao amin'ny Firewall antsoina hoe Firewall. Mba hialana amin'ny fifanolanana, miaraka amin'ny asa fanampiny, dia manoro hevitra isika sembana amin'ity singa ity. Manitatra torolàlana momba ity lohahevitra ity Vakio amin'ny rohy iray hafa amin'ity rohy manaraka ity.Vakio bebe kokoa: Mampihena ny Firewallld any Centos 7
Araka ny fantatrao, ny protocols IPv4 sy ipv6 dia azo ampiharina amin'ny rafitra. Androany isika dia hifantoka amin'ny ohatra IPv4, fa raha te-hanitsy amin'ny protocol hafa ianao dia mila fa tsy ekipa. Azo antoka. Amin'ny fampiasana console Ip66tables.
Fametrahana iptables
Tokony ho laharam-pahamehana ny rafitra fanampiny amin'ny fampiasana ny utility izay jerena ankehitriny. Izy ireo dia hanampy amin'ny fametrahana ny fitsipika sy ny tarehimarika hafa. Ny famoahana dia tanterahina avy amin'ny tahiry ofisialy, ka tsy maka fotoana be.
- Ny hetsika rehetra dia hatao ao amin'ny console klasika, ka ataovy amin'ny fomba mety.
- Ny sudo Yum Mametraka ny baiko ipttables-serivisy dia tompon'andraikitra amin'ny fametrahana ny serivisy. Ampidiro io ary tsindrio ny fanalahidy Enter.
- Hamarino ny kaonty superuser amin'ny alàlan'ny famaritana ny tenimiafina avy amin'izany. Aza adino fa rehefa misy fanontaniana sudo, ireo endri-javatra niditra ao amin'ny laharana dia tsy aseho mihitsy.
- Ho soso-kevitra ny hampiditra fonosana iray amin'ny rafitra iray, hamafiso ity hetsika ity amin'ny alàlan'ny fisafidianana ny dikan-teny.
- Rehefa vita ny fametrahana, dia jereo ny dikan-teny ankehitriny amin'ny fitaovana: sudo iptlabs -
- Ny valiny dia hiseho amin'ny kofehy vaovao.
Ankehitriny ny OS dia vonona tanteraka amin'ny fanamafisana bebe kokoa ny Firewall amin'ny alàlan'ny fampitaovana iptables. Manoro hevitra izahay hampahafantatra ny tenanao amin'ny konfigurasi momba ireo zavatra, manomboka amin'ny serivisy fitantanana.
Fijanonana sy famoahana ny serivisy ipt Stablables
Ny fitantanana ny modtables dia takiana amin'ny tranga izay ilainao hizaha ny hetsika ny fitsipika sasany na hanombohana fotsiny ny singa. Izany dia atao amin'ny fampiasana baiko napetraka.
- Ampidiro ny Security Service Iptables ary tsindrio ny fanalahidin'ny ENTER hampijanonana ny serivisy.
- Mba hanamafisana ity fomba ity, farito ny tenimiafina superuser.
- Raha mahomby ny dingana dia hisy kofehy vaovao haseho, manondro fiovana ao amin'ny rakitra fanamafisana.
- Ny fandefasana ny serivisy dia tanterahana saika mitovy ihany, fa ny tsipika ihany no mahazo ny serivisy IPtables no manomboka mijery.
Ny reboot mitovy, manomboka na hampitsahatra ny fampitaovana dia tsy misy na oviana na oviana, mba tsy hanadino afa-tsy ny hamerenany ny hasarobidin'ny miverin-kery raha toa ka mitaky izany.
Hijery sy hamafa ny fitsipika
Araka ny efa voalaza teo aloha, ny fifehezana ny Firewall dia tanterahana amin'ny alàlan'ny manual na manampy ny lalana mandeha ho azy. Ohatra, ny fampiharana fanampiny sasany dia afaka miditra amin'ilay fitaovana, manova ny politika sasany. Na izany aza, ny ankamaroan'ny hetsika toy izany dia mbola vita amin'ny fomba ara-dalàna. Ny fijerena ny lisitry ny fitsipika ankehitriny rehetra dia misy amin'ny alàlan'ny baiko iptable -L.
Ao anatin'ireo vokatra naseho dia hisy fampahalalana amin'ny rojo telo:
Azonao atao ny mamaritra ny satan'ny rojo rehetra amin'ny alàlan'ny fidirana amin'ny sudo iptable -s.
Raha tsy afa-po aminao ny fitsipika hita, dia voafafa fotsiny izy ireo. Ny lisitra iray manontolo dia nesorina toy izao: sudo iptables -f. Aorian'ny fampahavitrihana dia esorina tanteraka ny fitsipika ho an'ny gadra telo rehetra.
Rehefa mila misy fiantraikany amin'ny politika fotsiny ianao amin'ny rojo tokana, dia misy tohan-kevitra fanampiny ampiana amin'ny tsipika:
Sudo iptables -f Input
Sudo ipttables -f output
Sudo iptables -f mandroso
Ny tsy fisian'ny fitsipika rehetra dia midika fa tsy misy toe-javatra fanivanana fifamoivoizana tsy ampiasaina amin'ny ampahany rehetra. Manaraka, ny mpitantana ny rafitra dia haharitra tsy miankina amin'ny marika vaovao mampiasa ny console, ny baiko sy ny hevitra samihafa.
Mandray sy mandatsaka fifamoivoizana amin'ny gadra
Ny rojo tsirairay dia voatsindrona misaraka amin'ny fandraisana na fanakanana ny fifamoivoizana. Amin'ny fametrahana dikany iray, dia azo tanterahina, ohatra, ny fifamoivoizana rehetra ho avy. Mba hanaovana izany, ny baiko dia tsy maintsy ho sudo iptables - ny fampidirana fampidirana, izay misy ny fampidirana no anaran'ilay rojo, ary ny fihenam-bidy dia sandany.
Ny tarehimarika mitovy amin'izany dia napetraka ho an'ny faribolana hafa, ohatra, sudo iptites - famokarana vokatra. Raha mila manome lanja ny fahazoana fifamoivoizana ianao dia avy eo ny fiovan'ny rano dia manaiky ary mamadika ny sudo iptable - fampidirana fampidirana.
Fanapahan-kevitra sy hidy
Araka ny fantatrao dia miasa amin'ny alàlan'ny seranan-tsambo iray ny fampiharana sy ny fizotran-tserasera rehetra. Amin'ny fanakanana na famahana ny adiresy sasany, azonao atao ny manara-maso ny fidirana amin'ny tanjona rehetra. Andao hodinihintsika ny seranan-tsambo amin'ny ohatra 80. Amin'ny terminal, dia ho ampy hidirana ny sudo iptables -a Input -a -A-come --dpor 80 -J manaiky i -a - fampidirana vaovao Ny rojo vy, -p - famaritana protocol amin'ity tranga ity, tcp, a --dport dia seranan-tsambo.
Ny baiko mitovy ihany koa dia mihatra amin'ny seranan-tsambo 22, izay ampiasain'ny serivisy SSH: sudo iptables -a Input -A -P TCP --Dport 22-yact manaiky.
Mba hanakanana ny seranan-tsambo voafaritra, ny kofehy dia ampiasaina amin'ny karazana mitovy, amin'ny faran'ny fanekena ihany koa ny fanovana. Vokatr'izany dia lasa, ohatra, sudo ipttabs -a Input -P TCP --Dport 2450 -J DUP.
Ireo fitsipika rehetra ireo dia tafiditra ao anatin'ny rakitra fanamafisana ary afaka mijery azy ireo amin'ny fotoana rehetra ianao. Mampahatsiahy anao izahay, atao amin'ny alàlan'ny iptables sudo -L. Raha mila mamela ny adiresy IP tambajotra miaraka amin'ny seranan-tsambo miaraka amin'ny seranan-tsambo ianao, dia ovaina kely ny kofehy - aorian'ny fampidirana ny TPC -s sy ny adiresy. Sudo iptables -a Input -P TCP -S 12.12.12.12/32 --Dport 22-manaiky, izay adiresy 12.12.12.12/32 no adiresy IP ilaina.
Ny fanakanana dia mitranga ao amin'ilay fitsipika mitovy amin'ny fanovana amin'ny faran'ny farany ny lanjan'ny fanekena amin'ny latsaka. Avy eo dia lasa, ohatra, sudo iptabs -a Input -P TCP -S 12.12.12.0/224 --Dport 22-Drop.
Ny fanakanana ICMP
ICMP (Protocol hafatra amin'ny Internet) - protocol izay ampidirina ao amin'ny TCP / IP ary tafiditra ao anatin'ny fandefasana hafatra diso sy tranga maika rehefa miasa amin'ny fifamoivoizana. Ohatra, rehefa tsy misy ilay mpizara nangatahana, dia miasa ny asa fanompoana ity fitaovana ity. Ny fampitaovana ipertables dia ahafahanao manakana azy io amin'ny alàlan'ny kitay, ary azonao atao ny mampiasa azy amin'ny iptable sudo -A Hanakana ny fangatahana avy amin'ny anao sy ny mpizara anao izany.
Ny fangatahana miditra dia voasakana kely kokoa. Avy eo ianao dia mila miditra ao amin'ny sudo iptables -i input -i -i -p -p icmp --icmp-type 8 -J. Aorian'ny fampandehanana ireo fitsipika ireo dia tsy hamaly ny fangatahana Ping ny mpizara.
Hisorohana ny hetsika tsy nahazoana alàlana amin'ny mpizara
Indraindray ny mpizara dia iharan'ny fanafihana DDoS na hetsika tsy nahazoana alàlana avy amin'ny mpiditra an-tsokosoko. Ny fanitsiana marina ny Firewall dia ahafahanao miaro ny tenanao amin'ity karazana hacking ity. Hanombohana, manoro hevitra izahay hametraka fitsipika toy izao:
- Manoratra ao amin'ny Iptlables -a Input -A -A TCP ianao - fetra 80 -m 20 / minitra - BURST-BROWT-BROWE 100 -J manaiky, izay misy ny 20 / minitra dia fetra 20 / minitra ny vokatra tsara . Azonao atao ny mamaritra ny fandrefesana ny tenanao, ohatra, / faharoa, / minitra, / ora, andro. - Numplimit-bust - fetra ny isan'ny fonosana tsy hita. Ny soatoavina rehetra dia aseho tsirairay avy araka ny safidin'ny mpandrindra.
- Manaraka, azonao atao ny mandrara ny fandinihana ny seranan-tsambo misokatra mba hanesorana ny iray amin'ireo antony mety hijerena ny hacking. Ampidiro ny sudo iptablabs voalohany -n -n block-scan.
- Avy eo, apetraho ny sudo iptables -a block-scan-scan-scan -tcp-tscp-flags syn, Ack, fin, finiavana
- Ny baiko fahatelo farany dia: sudo iptabs -a block-scan -j drop. Fanambarana momba ny scan amin'ireto tranga ireto - ny anaran'ilay fizaran-tany dia ampiasaina.
Ireo toe-javatra aseho ankehitriny dia ny fototry ny asa eo amin'ny fitaovana fanaraha-maso ny Firewall. Ao amin'ny antontan-taratasy ofisialy momba ny fampitaovana dia hahita filazalazana ny hevitra sy ny safidy rehetra ianao ary azonao atao ny manitsy ny firewall manokana ao amin'ny fangatahanao. Mandritra ny fitsipika momba ny fiarovana ara-dalàna, izay matetika ampiharina ary amin'ny ankamaroan'ny tranga dia takiana.