Linux कर्नलवर आधारित सर्व ऑपरेटिंग सिस्टममध्ये, अंगभूत फायरवॉल आहे, निर्दिष्ट किंवा प्लॅटफॉर्मच्या नियमांवर आधारित, इनकमिंग आणि आउटगोइंग रहदारीचे नियंत्रण आणि फिल्टरिंग करणे. सेंटोस 7 वितरणामध्ये, iptables युटिलिटि अशा कार्यप्रणाली करतो, अंगभूत नेटफिल्टर फायरवॉलशी संवाद साधत आहे. कधीकधी सिस्टम प्रशासक किंवा नेटवर्क मॅनेजरने या घटकाचे ऑपरेशन कॉन्फिगर करणे आवश्यक आहे, संबंधित नियम निर्धारित करणे. आजच्या लेखाचा भाग म्हणून, आम्ही उपरोक्त उल्लेखित OS मधील IPTables कॉन्फिगरेशनच्या मूलभूत गोष्टींबद्दल बोलू इच्छितो.
सेंटोस 7 मध्ये iptables संरचीत करा
सेंटोस 7 च्या स्थापनेनंतर त्वरित कार्य करण्यासाठी हे साधन स्वतःच उपलब्ध आहे, परंतु काही सेवा स्थापित करणे आवश्यक आहे, जे आम्ही बद्दल बोलू. विचाराधीन प्लॅटफॉर्ममध्ये आणखी एक अंगभूत साधन आहे जे फायरवॉल नावाचे फायरवॉल फंक्शन करते. पुढील कामासह संघर्ष टाळण्यासाठी आम्ही या घटक अक्षम करण्याची शिफारस करतो. या विषयावरील विस्तारीत निर्देश खालील दुव्यावर दुसर्या सामग्रीमध्ये वाचा.अधिक वाचा: सेंटोस 7 मध्ये फायरवॉल अक्षम करा
आपल्याला माहित आहे की, प्रणालीमध्ये IPv4 आणि IPv6 प्रोटोकॉल लागू केले जाऊ शकतात. आज आम्ही IPv4 उदाहरणावर लक्ष केंद्रित करू, परंतु आपण दुसर्या प्रोटोकॉलसाठी कॉन्फिगर करू इच्छित असल्यास, आपल्याला एखाद्या संघाच्या ऐवजी आवश्यक असेल. Iptables. कन्सोल वापरात IP6tables.
Iptables स्थापित करणे
आजच्या उपयोगाखालील युटिलिटीच्या अतिरिक्त घटकांचे हे प्राधान्य असावे. ते नियम आणि इतर पॅरामीटर्स सेट करण्यात मदत करतील. अधिकृत रेपॉजिटरीमधून लोडिंग केले जाते, म्हणून ते जास्त वेळ घेत नाही.
- सर्व पुढील क्रिया शास्त्रीय कन्सोलमध्ये बनविल्या जातील, म्हणून कोणत्याही सोयीस्कर पद्धतीने ते चालवा.
- सुडो यम इंस्टॉलेशन इंस्टॉलेशन इंस्टॉलेशनकरिता सेवा स्थापित करण्यासाठी जबाबदार आहे. प्रविष्ट करा आणि एंटर की दाबा.
- तेथून पासवर्ड निर्दिष्ट करून सुपरसर खात्याची पुष्टी करा. कृपया लक्षात ठेवा की जेव्हा सूडो क्वेरी, पंक्तीतील अक्षरे कधीही प्रदर्शित होत नाहीत.
- सिस्टममध्ये एक पॅकेज जोडण्याचे प्रस्तावित केले जाईल, या क्रियेची पुष्टी करा.
- स्थापना पूर्ण झाल्यावर, साधन ची वर्तमान आवृत्ती तपासा: sudo iptables --verst.
- परिणाम नवीन स्ट्रिंगमध्ये दिसेल.
आता ओएस iptables युटिलिटीद्वारे फायरवॉलच्या पुढील कॉन्फिगरेशनसाठी पूर्णपणे तयार आहे. आम्ही व्यवस्थापित केलेल्या सेवांबरोबरपासून संरचनासह स्वत: ला परिचित करण्याचा सल्ला देतो.
Iptables सेवा थांबविणे आणि लॉन्च करणे
विशिष्ट नियमांची कृती तपासण्याची किंवा घटक पुन्हा सुरू करणे आवश्यक असलेल्या प्रकरणांमध्ये iptables मोड व्यवस्थापन आवश्यक आहे. हे एम्बेडेड कमांड वापरुन केले जाते.
- Sudo सेवा iptabs प्रविष्ट करा आणि सेवा थांबविण्यासाठी एंटर की वर क्लिक करा.
- या प्रक्रियेची पुष्टी करण्यासाठी, सुपरस्टर संकेतशब्द निर्दिष्ट करा.
- प्रक्रिया यशस्वी झाल्यास, एक नवीन स्ट्रिंग प्रदर्शित केली जाईल, कॉन्फिगरेशन फाइलमध्ये बदल दर्शविते.
- सेवांचे प्रक्षेपण जवळजवळ त्याच प्रकारे केले जाते, फक्त ओळी सूडो सेवा IPTAPS दृश्य प्रारंभ करते.
समान रीबूट, युटिलिटी सुरू करणे किंवा थांबविणे कोणत्याही वेळी उपलब्ध आहे, जेव्हा मागणी असेल तेव्हा केवळ उलट व्हॅल्यू परत करणे विसरू नका.
नियम पहा आणि हटवा
पूर्वी सांगितल्याप्रमाणे, फायरवॉलचे नियंत्रण मॅन्युअलद्वारे केले जाते किंवा स्वयंचलितपणे नियम जोडते. उदाहरणार्थ, काही अतिरिक्त अनुप्रयोग साधनांमध्ये प्रवेश करू शकतात, विशिष्ट धोरणे बदलू शकतात. तथापि, बहुतेक क्रिया अजूनही व्यक्तिचलित केल्या जातात. सर्व वर्तमान नियमांची सूची पहाणे sudo iptables -l आदेशद्वारे उपलब्ध आहे.
प्रदर्शित परिणामात तीन साखळीवर माहिती असेल: "इनपुट", "आउटपुट" आणि "फॉरवर्ड" - क्रमशः येणार्या, आउटगोइंग आणि अग्रेषण रहदारी.
Sudo iptables- मध्ये प्रवेश करून आपण सर्व साखळीची स्थिती परिभाषित करू शकता.
जर पाहिले जाणारे नियम तुमच्याशी समाधानी नसतील तर ते फक्त हटविले जातात. संपूर्ण यादी यासारखी साफ केली आहे: sudo iptables -f. सक्रियतेनंतर, सर्व तीन साखळीसाठी नियम पूर्णपणे नष्ट केला जाईल.
जेव्हा आपल्याला फक्त काहीच शृंखलातील पॉलिसींना प्रभावित करण्याची आवश्यकता असते तेव्हा ओळमध्ये अतिरिक्त वितर्क जोडला जातो:
Sudo iptables -f इनपुट
Sudo iptables -f आउटपुट
Sudo iptables -f पुढे
सर्व नियमांचे अनुपस्थिती म्हणजे कोणत्याही भागामध्ये कोणतीही रहदारी फिल्टरिंग सेटिंग्ज वापरली जात नाहीत. पुढे, सिस्टम प्रशासक स्वतंत्रपणे समान कन्सोल, कमांड आणि विविध वितर्क वापरून नवीन पॅरामीटर्स निर्दिष्ट करेल.
साखळी मध्ये रहदारी प्राप्त आणि ड्रॉप करणे
प्रत्येक शृंखला रहदारी प्राप्त करण्यासाठी किंवा अवरोधित करण्यासाठी स्वतंत्रपणे कॉन्फिगर केले जाते. निश्चित अर्थ सेट करुन, ते साध्य केले जाऊ शकते, उदाहरणार्थ, सर्व येणार्या रहदारी अवरोधित केली जाईल. हे करण्यासाठी, आदेश sudo iptables --policy इनपुट ड्रॉप, जेथे इनपुट चेनचे नाव आहे आणि ड्रॉप एक डिस्चार्ज मूल्य आहे.
अगदी समान पॅरामीटर्स इतर सर्किट्ससाठी सेट केले जातात, उदाहरणार्थ, sudo iptables --policy आउटपुट ड्रॉप. आपल्याला रहदारी प्राप्त करण्यासाठी मूल्य सेट करण्याची आवश्यकता असल्यास, नंतर स्वीकारण्यावर बदल आणि ते sudo iptables --policy इनपुट स्वीकारते.
पोर्ट रिझोल्यूशन आणि लॉक
आपल्याला माहित आहे की, सर्व नेटवर्क अनुप्रयोग आणि प्रक्रिया विशिष्ट बंदरामधून कार्य करतात. काही पत्ते अवरोधित करणे किंवा निराकरण करून, आपण सर्व नेटवर्कच्या प्रवेशाच्या प्रवेशाचे निरीक्षण करू शकता. चला पोर्टलचे विश्लेषण करूया 80. शृंखला, -पी - प्रोटोकॉल परिभाषा या प्रकरणात, टीसीपी, एक - डीडपोर्ट एक गंतव्य पोर्ट आहे.
नक्कीच त्याच आज्ञा देखील पोर्ट 22 वर लागू होते, जी एसएसएच सर्व्हिसद्वारे वापरली जाते: sudo iptables-ए इन इनपुट-पी टीसीपी - डीडपोर्ट 22 -J स्वीकारा.
निर्दिष्ट पोर्ट अवरोधित करण्यासाठी, स्ट्रिंगचा वापर अगदी समान प्रकारचा वापर केला जातो, केवळ लागू बदल बदलते. परिणामी, ते बाहेर वळते, उदाहरणार्थ, sudo iptables-इन इनपुट-पी टीसीपी - डीडपोर्ट 2450 -j ड्रॉप.
हे सर्व नियम कॉन्फिगरेशन फाईलमध्ये प्रवेश केले आहेत आणि आपण त्यांना कोणत्याही वेळी पाहू शकता. आम्ही आपल्याला आठवण करून देतो की ते sudo iptables-l द्वारे केले जाते. जर आपल्याला पोर्टसह नेटवर्कसह नेटवर्क आयपी पत्त्याची परवानगी द्यावी, तर स्ट्रिंग किंचित सुधारित केली जाते - टीपीसी जोडली-आणि पत्ता स्वतःच आहे. Sudo iptablabटे-ए इनपुट-पी टीसीपी -1.12.12.12.12/32 --dport 22 -j स्वीकारा, जेथे 12.12.12.12/32 आवश्यक IP पत्ता आहे.
अवरोधित केलेल्या तत्त्वावर अवरोधित केल्याने ड्रॉपवर स्वीकारण्याच्या मूल्याचे मूल्य बदलते. मग ते बाहेर वळते, उदाहरणार्थ, sudo iptablatables-in at-pp tcp-ws 12.12.12.0/224 --dport 22 -J ड्रॉप.
आयसीएमपी अवरोध
आयसीएमपी (इंटरनेट कंट्रोल मेसेज प्रोटोकॉल) - टीसीपी / आयपीमध्ये समाविष्ट केलेला प्रोटोकॉल आणि रहदारीसह काम करताना त्रुटी संदेश आणि आपत्कालीन परिस्थिती प्रसारित करण्यात गुंतलेली आहे. उदाहरणार्थ, जेव्हा विनंती केलेला सर्व्हर उपलब्ध नसेल तेव्हा हे साधन सेवा कार्य करते. Iptablats युटिलिटी आपल्याला फायरवॉलद्वारे ते अवरोधित करण्याची परवानगी देते आणि आपण ते sudo iptablabablabs वापरून ते तयार करू शकता-पी आउटपुट-पी आयसीएमपी --icmp-प्रकार 8 -J ड्रॉप कमांड. ते आपल्या आणि आपल्या सर्व्हरवरून विनंत्या अवरोधित करेल.
येणार्या विनंत्या थोडे वेगळे अवरोधित आहेत. मग आपल्याला sudo iptables प्रविष्ट करणे आवश्यक आहे -आय इनपुट-पी आयसीएमपी --आयसीएमपी-प्रकार 8 -जे ड्रॉप. या नियमांना सक्रिय केल्यानंतर, सर्व्हर पिंग विनंत्यांना प्रतिसाद देणार नाही.
सर्व्हरवर अनधिकृत क्रिया टाळा
कधीकधी सर्व्हर्समुळे डीडीओएस हल्ल्यांशी किंवा घुसखोरांपासून इतर अनधिकृत कारवाईच्या अधीन आहेत. फायरवॉलचे योग्य समायोजन आपल्याला या प्रकारच्या हॅकिंगपासून स्वतःचे संरक्षण करण्यास अनुमती देईल. सुरुवातीला, आम्ही अशा नियमांचे निराकरण करण्याची शिफारस करतो:
- आम्ही iptablats-in इनपुट-पी टीसीपी - डीडपोर्ट 80 -m मर्यादा 20 / मिनिट - अमर्यादित-स्फोट 100 -j स्वीकारतो, जेथे 20 / मिनिट सकारात्मक परिणामांच्या वारंवारतेवर मर्यादा आहे . आपण स्वत: चा मोजमाप एकक निर्दिष्ट करू शकता, उदाहरणार्थ, / सेकंद, / मिनिट, / तास, / दिवस. - लिमिट-बर्स्ट नंबर - गहाळ पॅकेजेसच्या संख्येवर मर्यादा. प्रशासक प्राधान्यांनुसार सर्व मूल्यांचे वैयक्तिकरित्या प्रदर्शित केले जाते.
- पुढे, आपण हॅकिंगच्या संभाव्य कारणांपैकी एक काढण्यासाठी ओपन पोर्ट्स स्कॅनिंग प्रतिबंधित करू शकता. प्रथम sudo iptables -n ब्लॉक-स्कॅन आदेश प्रविष्ट करा.
- नंतर Sudo Iptablabtables निर्दिष्ट करा- ए ब्लॉक-स्कॅन-पी टीसीपी-टीसीपी-ध्वज सिंक, एसीके, फिन, आरएसटी-एम मर्यादा - 1 / s -j परतावा.
- शेवटची तिसरी कमांड आहे: sudo iptables -a ब्लॉक-स्कॅन -जे ड्रॉप. या प्रकरणात ब्लॉक-स्कॅन अभिव्यक्ती - वापरल्या जाणार्या सर्किटचे नाव.
आज दर्शविलेल्या सेटिंग्ज फायरवॉलच्या नियंत्रणाखाली कामासाठी केवळ आधार आहेत. युटिलिटीच्या अधिकृत दस्तऐवजामध्ये आपल्याला सर्व उपलब्ध वितर्क आणि पर्यायांचे वर्णन सापडेल आणि आपण विशेषत: आपल्या विनंत्यांनुसार फायरवॉल कॉन्फिगर करू शकता. मानक सुरक्षा नियमांपेक्षा, जे बर्याचदा लागू केले जातात आणि बर्याच बाबतीत आवश्यक आहे.