Во сите оперативни системи врз основа на Linux кернелот, постои вграден заштитен ѕид, вршење контрола и филтрирање на дојдовен и појдовен сообраќај, врз основа на наведените правила или платформата. Во дистрибуцијата на Centos 7, алатката Iptables врши таква функција, во интеракција со вградениот заштитен ѕид NetFilter. Понекогаш администраторот или мрежниот менаџер мора да го конфигурираат функционирањето на оваа компонента, пропишувајќи ги релевантните правила. Како дел од денешната статија, би сакале да зборуваме за основите на конфигурацијата на Iptables во горенаведениот оперативен систем.
Конфигурирајте ги Iptables во Centos 7
Самата алатка е достапна за работа веднаш по завршувањето на инсталацијата на Centos 7, но понатаму ќе треба да инсталирате некои услуги, за кои ќе зборуваме. Во платформата што се разгледува постои уште една вградена алатка која ја врши функцијата на заштитен ѕид наречена Firewalld. За да се избегнат конфликти, со понатамошна работа, препорачуваме оневозможено оваа компонента. Проширени инструкции на оваа тема Прочитајте во друг материјал на следниот линк.Прочитај повеќе: Оневозможи firewalld во Centos 7
Како што знаете, протоколите IPv4 и IPv6 може да се применат во системот. Денес ќе се фокусираме на IPv4 примерот, но ако сакате да конфигурирате за друг протокол, ќе ви требаат наместо тим. Iptables. во употреба на конзола IP6Tables..
Инсталирање на Iptables
Треба да биде приоритет на системот дополнителни компоненти на алатката што се разгледува денес. Тие ќе помогнат во поставувањето на правилата и другите параметри. Вчитувањето се врши од официјалното складиште, така што не е потребно многу време.
- Сите понатамошни активности ќе бидат направени во класичната конзола, така што ќе го стартувате со секој погоден метод.
- Командата Sudo Yump Installs-User е одговорна за инсталирање на услугите. Внесете го и притиснете го копчето Enter.
- Потврдете ја сметката на Superuser со наведување на лозинката од неа. Ве молиме имајте предвид дека кога пребарувачите sudo, внесените ликови во редот никогаш не се прикажуваат.
- Ќе биде предложено за да додадете еден пакет во системот, потврдете ја оваа акција со избирање на y верзијата.
- По завршувањето на инсталацијата, проверете ја тековната верзија на алатката: sudo iptables - version.
- Резултатот ќе се појави во новата низа.
Сега оперативниот систем е целосно подготвен за понатамошна конфигурација на заштитниот ѕид преку алатката Iptables. Ние предлагаме да се запознаете со конфигурацијата на ставки, почнувајќи од управување со услуги.
Запирање и започнување на услуги на Iptables
Управување со режимот на Iptables е потребно во случаи каде што треба да го проверите дејството на одредени правила или едноставно да ја рестартирате компонентата. Ова се прави со користење на вградени команди.
- Внесете ги Sudo Service Iptables Stop и кликнете на копчето Enter за да ги запрете услугите.
- За да ја потврдите оваа постапка, наведете лозинка за суперсузер.
- Ако процесот е успешен, ќе се прикаже нова низа, што укажува на промени во конфигурациската датотека.
- Започнувањето на услугите се врши речиси ист начин, само линијата ги стекнува Subo сервисот Iptables Start View.
Сличен рестартирање, почнувајќи или запирање на алатката е достапна во секое време, не заборавајте само за да ја вратите обратна вредност кога ќе биде на побарувачката.
Погледнете и избришете правила
Како што беше споменато претходно, контролата на заштитниот ѕид се изведува со рачни или автоматски додавајќи правила. На пример, некои дополнителни апликации можат да пристапат до алатката, менувајќи ги одредени политики. Сепак, повеќето такви акции сè уште се прават рачно. Преглед на листа на сите тековни правила е достапна преку командата sudo iptables -l.
На прикажаниот резултат ќе има информации за три синџири: "влез", "излез" и "напред" - дојдовен, појдовен и препраќање сообраќај, соодветно.
Можете да го дефинирате статусот на сите синџири со внесување на sudo iptables -s.
Ако правилата што се гледаат не се задоволни со вас, тие едноставно се бришат. Целата листа е исчистена вака: sudo iptables -f. По активирањето, правилото ќе биде избришано апсолутно за сите три синџири.
Кога треба да влијаете само на политиките од некој синџир, дополнителен аргумент се додава на линијата:
Sudo iptables -f влез
Sudo iptables -f излез
Sudo iptables -f напред
Отсуството на сите правила значи дека во ниедно учество не се користат поставки за филтрирање на сообраќајот. Следно, администраторот на системот самостојно ќе ги специфицира новите параметри користејќи ја истата конзола, командата и разните аргументи.
Примање и намалување на сообраќајот во синџири
Секој синџир е конфигуриран одделно за примање или блокирање на сообраќајот. Со поставување на одредено значење, може да се постигне дека, на пример, сите дојдовни сообраќај ќе бидат блокирани. За да го направите ова, командата мора да биде sudo iptables --policy влезен пад, каде што внесот е името на синџирот, а падот е празнење вредност.
Токму истите параметри се поставени за други кола, на пример, sudo iptables-policy излезниот излез. Ако треба да поставите вредност за примање сообраќај, тогаш падот се менува на прифаќање и излегува судо Iptables -Policy влез прифаќа.
Резолуција и заклучување на пристаништето
Како што знаете, сите мрежни апликации и процеси работат преку одредено пристаниште. Со блокирање или решавање на одредени адреси, можете да го следите пристапот до сите мрежни цели. Ајде да го анализираме пристаништето напред, на пример 80. Во терминалот, ќе биде доволно за да влезе во SuDo Iptables-IP-IP TCP -DPOR 80-J прифаќа команда, каде што -A - додавајќи ново правило, влез - сугестија на Дефиницијата на синџирот, -P-протоколот во овој случај, TCP, A -DPORT е дестинација порта.
Токму истата команда исто така важи и за Порт 22, што се користи од страна на SSH услугата: sudo iptables -a Input -P TCP - JPORT 22 -Ј прифати.
За да го блокирате наведеното пристаниште, стрингот се користи токму истиот тип, само на крајот од прифаќањето на промените во падот. Како резултат на тоа, излегува, на пример, sudo Iptables -a Input -P TCP -DPOR 2450 -J пад.
Сите овие правила се внесуваат во конфигурациската датотека и можете да ги видите во секое време. Ве потсетуваме, тоа е направено преку sudo iptables -l. Ако треба да дозволите мрежна IP адреса со пристаништето заедно со пристаништето, стрингот е малку изменета - откако TPC се додава -да и самата адреса. Sudo iptables -a INPUT -P TCP -S 12.12.12.12/32 - JPORT 22-J Прифати, каде што 12.12.12.12/32 е потребната IP адреса.
Блокирањето се јавува на истиот принцип со промена на крајот вредноста на прифаќањето на падот. Потоа излегува, на пример, sudo iptables -a INPON -P TCP -S 12.12.12.0/224 - Dport22-J капка.
ICMP Блокирање
ICMP (протокол за протокол за контрола на интернет) - протокол кој е вклучен во TCP / IP и е вклучен во пренос на пораки за грешки и итни ситуации при работа со сообраќај. На пример, кога бараниот сервер не е достапен, оваа алатка врши функции на услугите. Atility Iptables ви овозможува да го блокирате преку заштитниот ѕид, и можете да го направите користејќи ги Sudo Iptables -A излез-Pic-ic-icmp-ic-капка команда. Тоа ќе ги блокира барањата од вашиот и на вашиот сервер.
Дојдовните барања се блокирани малку различни. Потоа треба да ги внесете Sudo Iptables -i Inply -P ICMP -ICMP-тип 8-J капка. По активирањето на овие правила, серверот нема да одговори на барањата за пинг.
Спречи неовластени дејства на серверот
Понекогаш серверите се подложени на DDoS напади или други неовластени дејства од натрапниците. Правилното прилагодување на заштитниот ѕид ќе ви овозможи да се заштитите од овој вид хакирање. За да започнете со, препорачуваме да ги поставите таквите правила:
- Ние пишуваме во Iptables -a Input -P TCP-DPORT 80-М ограничување --LIMIT 20 / минута - пукна 100-ам прифаќа, каде што - Лимит 20 / минута е ограничување на зачестеноста на позитивните резултати . Можете да наведете единица за мерење себе, на пример, / второ, / минута, / час, / ден. - Попуст број - ограничување на бројот на недостасува пакети. Сите вредности се изложени поединечно според административните параметри.
- Следно, можете да го забраните скенирањето на отворени пристаништа за да отстраните една од можните причини за хакерство. Внесете ги првите Sudo Iptables -N команда за блок-скенирање.
- Потоа наведете ги SuDo Iptables -A Block-Scan-PC-TCP-знамињата SYN, ACK, FIN, RST -M граница -Limit 1 / S -J враќање.
- Последната трета команда е: sudo Iptables -a блок-скенирање -J капка. Блок-скенирање израз во овие случаи - името на колото се користи.
Подесувањата прикажани денес се само основа за работата во контролниот инструмент на заштитниот ѕид. Во официјалната документација на претпријатието ќе најдете опис на сите достапни аргументи и опции и можете да го конфигурирате заштитниот ѕид конкретно под вашите барања. Над стандардните безбедносни правила, кои најчесто се применуваат и во повеќето случаи се потребни.