Fis-sistemi operattivi kollha bbażati fuq il-qalba tal-Linux, hemm firewall inkorporat, li jwettqu kontroll u filtrazzjoni ta 'traffiku deħlin u ħerġin, ibbażat fuq ir-regoli speċifikati jew il-pjattaforma. Fir-distribuzzjoni ta 'Centos 7, l-utilità iptables twettaq funzjoni bħal din, li tinteraġixxi mal-Firewall NetFilter built-in. Xi kultant l-amministratur tas-sistema jew maniġer tan-netwerk irid jikkonfigura l-operazzjoni ta 'dan il-komponent, li jippreskrivi r-regoli relevanti. Bħala parti mill-artiklu tal-lum, nixtiequ nitkellmu dwar il-punti bażiċi tal-konfigurazzjoni iptables fl-OS imsemmija hawn fuq.
Kkonfigurat iptables f'ċentri 7
L-għodda nnifisha hija aċċessibbli għax-xogħol immedjatament wara li titlesta l-installazzjoni ta 'Centos 7, iżda jkompli jkollu bżonn jinstalla xi servizzi, li se nitkellmu. Fil-pjattaforma taħt konsiderazzjoni hemm għodda oħra integrata li twettaq il-funzjoni tal-firewall imsejħa Firewalld. Biex jiġu evitati kunflitti, b'aktar xogħol, nirrakkomandaw b'diżabilità dan il-komponent. Struzzjonijiet estiżi dwar dan is-suġġett jinqara f'materjal ieħor fuq il-link li ġej.Aqra iktar: Itfi Firewalld f'Centos 7
Kif tafu, il-protokolli IPv4 u IPv6 jistgħu jiġu applikati fis-sistema. Illum se niffukaw fuq l-eżempju IPv4, imma jekk trid tikkonfigura għal protokoll ieħor, ikollok bzonn minflok tim. Iptables. fil-console użu Ip6tables.
Installazzjoni ta 'iptables
Għandu jkun prijorità lis-sistema komponenti addizzjonali tal-utilità taħt konsiderazzjoni llum. Huma ser jgħinu fit-twaqqif tar-regoli u parametri oħra. It-tagħbija titwettaq mir-repożitorju uffiċjali, u għalhekk ma jieħux ħafna ħin.
- L-azzjonijiet ulterjuri kollha se jsiru fil-console klassiku, hekk imexxuha bi kwalunkwe metodu konvenjenti.
- Is-Sudo Yum Installa iPtables-Servizzi Kmand huwa responsabbli għall-installazzjoni tas-servizzi. Daħħalha u agħfas il-buttuna Enter.
- Ikkonferma l-kont tas-superuser billi tispeċifika l-password minnha. Jekk jogħġbok innota li meta mistoqsijiet sudo, il-karattri mdaħħla fir-ringiela qatt ma jintwerew.
- Se jiġi propost li żżid pakkett wieħed lis-sistema, jikkonferma din l-azzjoni billi tagħżel il-verżjoni y.
- Mat-tlestija ta 'l-installazzjoni, iċċekkja l-verżjoni attwali ta' l-għodda: sudo iptables -version.
- Ir-riżultat jidher fis-sekwenza l-ġdida.
Issa l-OS hija kompletament lesta għall-konfigurazzjoni ulterjuri tal-firewall mill-itables utilità. Nissuġġerixxu li jiffamiljarizzaw ruħek mal-konfigurazzjoni fuq oġġetti, li jibdew bis-servizzi ta 'ġestjoni.
Il-waqfien u t-tnedija tas-servizzi iptables
Il-ġestjoni tal-modalità iptables hija meħtieġa f'każijiet fejn għandek tiċċekkja l-azzjoni ta 'ċerti regoli jew sempliċement terġa' tibda l-komponent. Dan isir bl-użu ta 'kmandi inkorporati.
- Daħħal is-Sudo Servizz Iptables Waqqaf u kklikkja fuq iċ-ċavetta Enter biex twaqqaf is-servizzi.
- Biex tikkonferma din il-proċedura, speċifika l-password tas-superuser.
- Jekk il-proċess jirnexxi, se tintwera string ġdid, u jindika bidliet fil-fajl tal-konfigurazzjoni.
- It-tnedija tas-servizzi hija mwettqa kważi bl-istess mod, il-linja biss takkwista l-itables tas-servizz sudo bidu.
Reboot simili, li tibda jew twaqqaf l-utilità hija disponibbli fi kwalunkwe ħin, tinsiex biss tirritorna l-valur bil-maqlub meta tkun fid-domanda.
Ara u tħassar ir-regoli
Kif imsemmi qabel, il-kontroll tal-firewall jitwettaq permezz ta 'regoli manwali jew awtomatikament. Pereżempju, xi applikazzjonijiet addizzjonali jistgħu jaċċessaw l-għodda, u jibdlu ċerti politiki. Madankollu, ħafna azzjonijiet bħal dawn għadhom isiru manwalment. Il-wiri ta 'lista tar-regoli attwali kollha huwa disponibbli permezz tal-kmand tas-sudo iptables -l.
Fir-riżultat muri se jkun hemm informazzjoni dwar tliet ktajjen: "input", "output" u "quddiem" - traffiku deħlin, ħerġin u twassil, rispettivament.
Tista 'tiddefinixxi l-istatus tal-ktajjen kollha billi ddaħħal sudo iptables -s.
Jekk ir-regoli jidhru mhumiex sodisfatti miegħek, huma sempliċement imħassra. Il-lista kollha hija kklerjata bħal din: sudo iptables -f. Wara l-attivazzjoni, ir-regola se titħassar assolutament għat-tliet ktajjen kollha.
Meta jkollok bżonn taffettwa biss il-politiki minn xi katina waħda, argument addizzjonali huwa miżjud mal-linja:
Sudo iptables -f input
Sudo iptables -f output
Sudo iptables -f quddiem
In-nuqqas tar-regoli kollha jfisser li l-ebda settings tal-filtrazzjoni tat-traffiku ma jintużax fi kwalunkwe parti. Sussegwentement, l-amministratur tas-sistema se jispeċifika b'mod indipendenti parametri ġodda bl-istess console, il-kmand u diversi argumenti.
Tirċievi u twaqqa traffiku fil-ktajjen
Kull katina hija kkonfigurata separatament biex tirċievi jew timblokka t-traffiku. Billi tistabbilixxi ċerta tifsira, jista 'jinkiseb li, pereżempju, it-traffiku li jkun dieħel kollu jkun imblukkat. Biex tagħmel dan, il-kmand irid ikun sudo iptables -policy drop input, fejn l-input huwa l-isem tal-katina, u qatra huwa valur ta 'ħruġ.
Eżattament l-istess parametri huma stabbiliti għal ċirkwiti oħra, per eżempju, sudo iptables -policy ħruġ ħruġ. Jekk ikollok bżonn li tistabbilixxi valur biex jirċievi traffiku, allura l-bidliet tnaqqis fuq jaċċettaw u jirriżulta sudo iptables --policy input jaċċettaw.
Riżoluzzjoni tal-port u serratura
Kif tafu, l-applikazzjonijiet u l-proċessi tan-netwerk kollha jaħdmu permezz ta 'ċertu port. Billi jimblokka jew issolvi ċerti indirizzi, tista 'tissorvelja l-aċċess ta' l-għanijiet kollha tan-netwerk. Ejja nanalizzaw il-port 'il quddiem pereżempju 80. Fit-terminal, se jkun biżżejjed biex jidħol fis-sudo iptables-l-input -p -dport 80 -J jaċċetta l-kmand, fejn - iżid regola ġdida, input - suġġeriment ta' Il-katina, -p - definizzjoni tal-protokoll f'dan il-każ, TCP, -dport huwa port tad-destinazzjoni.
Eżattament l-istess kmand japplika wkoll għall-port 22, li jintuża mis-Servizz SSH: sudo iptables-L-input -p TCP -Dport 22 -J taċċetta.
Biex timblokka l-port speċifikat, is-sekwenza tintuża eżattament l-istess tip, biss fl-aħħar tal-bidliet taċċetta li tinżel. Bħala riżultat, jirriżulta, per eżempju, sudo iptables -A input -p TCP --dport 2450 -j qatra.
Dawn ir-regoli kollha huma mdaħħla fil-fajl tal-konfigurazzjoni u tista 'tarahom fi kwalunkwe ħin. Aħna nfakkruk, dan isir permezz ta 'sudo iptables -l. Jekk għandek bżonn tippermetti indirizz IP tan-netwerk bil-port flimkien mal-port, is-sekwenza hija kemmxejn modifikata - wara li t-TPC huwa miżjud u l-indirizz innifsu. Sudo iPtables-L-input -p TCP -S 12.12.12.12/32 --dport 22 -J Aċċetta, fejn 12.12.12.12/32 huwa l-indirizz IP meħtieġ.
L-imblukkar iseħħ fuq l-istess prinċipju billi jinbidel fl-aħħar il-valur ta 'aċċettat fuq it-tnaqqis. Imbagħad jirriżulta, per eżempju, sudo iptables -A input -p TCP -S 12.12.12.0/224 --dport 22 -J qatra.
Imblukkar tal-ICMP
ICMP (Protokoll ta 'Messaġġ ta' Kontroll tal-Internet) - Protokoll inkluż fit-TCP / IP u huwa involut fit-trasmissjoni ta 'messaġġi ta' żball u sitwazzjonijiet ta 'emerġenza meta jaħdem mat-traffiku. Pereżempju, meta s-server mitlub ma jkunx disponibbli, din l-għodda twettaq funzjonijiet tas-servizz. L-utilità iptables tippermettilek li timblokkah permezz tal-firewall, u tista 'tagħmilha tuża s-sudo-ipables-'p -p ICMP -ICMP-Tip 8 -J Drop kmand. Se jimblokka talbiet mill tiegħek u għas-server tiegħek.
It-talbiet li deħlin jiġu mblukkati ftit differenti. Imbagħad għandek bżonn tidħol fis-sudo iptables -I input -p -P -P -ICMP-tip 8 -J. Wara li attivazzjoni ta 'dawn ir-regoli, is-server ma jirrispondix għal talbiet għall-ping.
Jipprevjenu azzjonijiet mhux awtorizzati fuq is-server
Kultant is-servers huma soġġetti għal attakki tad-DDOs jew azzjonijiet oħra mhux awtorizzati minn dawk li jidħlu. L-aġġustament korrett tal-firewall jippermettilek tipproteġi lilek innifsek minn dan it-tip ta 'hacking. Biex tibda, nirrakkomandaw li jiġu stabbiliti regoli bħal dawn:
- Aħna niktbu fil-IPTables-L-input -p TCP -Dport 80 -m Limitu --Limit 20 / Minuta - Flamit 100 -J Aċċetta, fejn --limit 20 / minuta huwa limitu fuq il-frekwenza ta 'riżultati pożittivi . Tista 'tispeċifika unità ta' kejl innifsek, per eżempju, / sekonda, / minuta, / siegħa. - Il-limitu tan-numru tat-tifqigħ fuq in-numru ta 'pakketti nieqsa. Il-valuri kollha huma esibiti individwalment skond il-preferenzi tal-amministratur.
- Sussegwentement, tista 'tipprojbixxi l-iskannjar ta' portijiet miftuħa biex tneħħi wieħed mill-kawżi possibbli ta 'hacking. Daħħal l-ewwel sudo iptables -n kmand blokk-scan.
- Imbagħad speċifika l-sudo iptables -A blokk-scan -p TCP -Tcp-bnadar syn, ACK, fin, RST -m limitu -Limit 1 / s-ritorn.
- L-aħħar tielet kmand huwa: sudo itables -a blokk-scan waqgħa. Blokk-Scan Espressjoni f'dawn il-każijiet - l-isem taċ-ċirkwit użat.
Is-settings murija llum huma biss il-bażi għax-xogħol fl-istrument tal-kontroll tal-firewall. Fid-dokumentazzjoni uffiċjali tal-utilità għandek issib deskrizzjoni tal-argumenti u l-għażliet kollha disponibbli u tista 'tikkonfigura l-firewall speċifikament taħt it-talbiet tiegħek. Fuq ir-regoli tas-sigurtà standard, li huma l-aktar applikati u fil-biċċa l-kbira tal-każijiet huma meħtieġa.