लिनक्स कर्नेल मा आधारित सबै सञ्चालन प्रणाली मा, वहाँ एक निर्मित फायरवाल, प्रदर्शन नियन्त्रण र तोकिएको नियम वा मंच मा आधारित आगमन र बहिर्गमन यातायात को फिल्टर छ। को CentOS 7 वितरण मा, IPTables उपयोगिता कार्य यस्तो समारोह, निर्मित NetFilter फायरवाल अन्तरक्रिया। कहिलेकाहीं प्रणाली प्रशासकलाई वा नेटवर्क प्रबन्धक प्रासंगिक नियम निर्धारित, यो घटक को सञ्चालन कन्फिगर गर्न छ। आजको लेखको भाग रूपमा, हामी माथि-उल्लेख ओएस मा IPTABLES कन्फिगरेसन को मूल कुराहरू बारेमा कुरा गर्न चाहन्छु।
CentOS मा IPTables कन्फिगर 7
उपकरण नै CentOS 7 को स्थापना पूर्ण तुरुन्तै पछि काम, तर हामी कुरा गर्नेछन् जो केही सेवाहरू, स्थापना गर्न थप इच्छा आवश्यकता सुलभ छ। विचार अन्तर्गत मंच मा कार्य फायरवल समारोह Firewalld भनिन्छ अर्को निर्मित उपकरण छ। जोगिन संघर्ष गर्न, थप काम संग, हामी यस घटक असक्षम सिफारिस गर्छौँ। यो विषय मा विस्तार निर्देश निम्न लिंक मा अर्को सामाग्री मा पढ्नुहोस्।CentOS 7 मा Firewalld असक्षम: थप पढ्नुहोस्
तपाईंलाई थाहा रूप मा, IPv4 र IPv6 प्रोटोकल प्रणाली लागू गर्न सकिन्छ। आज हामी IPv4 उदाहरण केन्द्रित हुनेछ, तर तपाईं अर्को प्रोटोकल लागि कन्फिगर गर्न चाहनुहुन्छ भने, तपाईंले एक टोली सट्टा आवश्यक हुनेछ। IPTABLES। कन्सोल प्रयोगमा Ip6Tables.
IPTables स्थापना
यो आज विचार अन्तर्गत उपयोगिता को सिस्टम थप घटक प्राथमिकता हुनुपर्छ। तिनीहरूले नियम र अन्य मापदण्डहरू सेट मा मदत गर्नेछ। लोड त यो धेरै समय लाग्न छैन, आधिकारिक भण्डारबाटसंस्करणननिकालिएकोट्रीबाहिरकोप्रतिजाँचगर्नुहोस् बाहिर छ।
- सबै थप कार्यहरू त कुनै पनि सुविधाजनक विधि गरेर चलाउन, क्लासिकल कन्सोलमा गरिनेछ।
- को Sudo yum स्थापना IpTables-सेवाहरु आदेश सेवाहरू स्थापना को लागि जिम्मेवार छ। यसलाई प्रविष्ट गर्नुहोस् र प्रमुख ENTER थिच्नुहोस्।
- यो बाट पासवर्ड निर्दिष्ट गरेर उच्च प्रयोगकर्ता खाता पुष्टि गर्नुहोस्। याद गर्नुहोस् कि जब प्रश्नहरु sudo, पङ्क्ति मा प्रवेश वर्ण प्रदर्शित कहिल्यै छन्।
- यो एक प्याकेज प्रणाली, वाई संस्करण चयन गरेर यो कार्य थप पुष्टि गर्न प्रस्तावित गरिनेछ।
- स्थापना को समाप्तिमा, उपकरण को हालको संस्करण जाँच गर्नुहोस्: Sudo iptables --Version।
- परिणाम नयाँ स्ट्रिङ देखा पर्नेछ।
अब ओएस को IPTABLES उपयोगिता मार्फत फायरवाल को अगाडी कन्फिगरेसन लागि पूर्ण तयार छ। हामी आफैलाई प्रबन्ध सेवाहरू सुरू, वस्तुहरू मा विन्यास संग familiarizing सुझाव।
IPTABLES सेवाहरू रोक्न र सुरु
IPTables मोड व्यवस्थापन अवस्थामा जहाँ तपाईं केही नियमहरूको कार्य जाँच गर्न वा बस घटक पुनः सुरु गर्न आवश्यक आवश्यक छ। यो सम्मिलित आदेशहरू प्रयोग गरेको छ।
- को Sudo सेवा IpTables बन्द प्रविष्ट गर्नुहोस् र सेवाहरू बन्द गर्न कुञ्जी प्रविष्ट गर्नुहोस् क्लिक गर्नुहोस्।
- यो प्रक्रिया पुष्टि गर्न, उच्च प्रयोगकर्ता पासवर्ड निर्दिष्ट गर्नुहोस्।
- प्रक्रिया सफल छ भने, नयाँ स्ट्रिङ, कन्फिगरेसन फाइलमा परिवर्तनहरू संकेत प्रदर्शित हुनेछ।
- सेवाहरू लन्च मात्र पङ्क्तिमा Sudo सेवा IpTables सुरु दृश्य प्राप्त, लगभग एउटै तरिका गरिन्छ।
सुरू वा उपयोगिता रोक यस्तै रिबुट, कुनै पनि समयमा उपलब्ध छ, यो माग हुनेछ जब उल्टो मूल्य फिर्ता गर्न मात्र भूल छैन।
नियम हेर्नुहोस् र मेटाउनुहोस्
माथि उल्लेख गरिएझैं फायरवल को नियन्त्रण मार्गदर्शन वा स्वतः थप नियमहरू द्वारा गरिन्छ। उदाहरणका लागि, केही थप आवेदन केही नीतिहरू परिवर्तन, उपकरण पहुँच गर्न सक्नुहुन्छ। तर, सबै भन्दा यस्तो कार्यहरू अझै पनि स्वयं गरिन्छ। सबै वर्तमान नियमहरूको सूची हेर्दै को Sudo IpTables -L आदेश मार्फत उपलब्ध छ।
- आगमन, बहिर्गमन र ट्राफिक फर्वार्ड, क्रमशः "इनपुट", "आउटपुट" र "अघिल्तिर": प्रदर्शन परिणाम त्यहाँ तीन चेन जानकारी हुनेछ।
तपाईं Sudo IpTables -S प्रविष्ट गरेर सबै चेन स्थिति परिभाषित गर्न सक्नुहुन्छ।
यदि देखेको नियमहरूमा तपाईं सन्तुष्ट छैनन्, तिनीहरूले बस बस हटाइनेछ। sudo iptables -F: सम्पूर्ण सूची जस्ता खाली छ। सक्रियता पछि, नियम सबै तीन चेन लागि बिल्कुल मेटिनेछ।
तपाईंले केही एकल श्रृंखला देखि मात्र नीतिहरू असर गर्न आवश्यक गर्दा थप तर्क लाइन थपिएको छ:
Sudo IpTables -F इनपुट
Sudo -F आउटपुट iptables
Sudo IpTables -F अगाडि
सबै को अभाव कुनै यातायात फिल्टर सेटिङ कुनै पनि भाग मा प्रयोग गरिएका हालतमा नियम। अर्को, प्रणाली प्रशासक स्वतन्त्र नयाँ मानकहरु नै कन्सोल आदेश र विभिन्न तर्क प्रयोग निर्दिष्ट हुनेछ।
प्राप्त र चेन मा यातायात गिर
प्रत्येक श्रृंखला प्राप्त वा यातायात अवरुद्ध लागि छुट्टाछुट्टै कन्फिगर गरिएको छ। एक निश्चित अर्थ सेट गरेर, यसलाई उदाहरणका लागि, सबै आगमन यातायात अवरुद्ध हुनेछ, कि हासिल गर्न सकिन्छ। यो गर्न, आदेश sudo iptables --policy इनपुट जहाँ इनपुट माला को नाम हो ड्रप, हुनुपर्छ र ड्रप एक छुट्टी मूल्य छ।
ठीक त्यही मापदण्डहरू, अन्य सर्किट लागि सेट छन्, उदाहरणका लागि Sudo IpTables --policy आउटपुट ड्रप। तपाईं यातायात प्राप्त गर्न मान सेट गर्न आवश्यक छ भने, त्यसपछि ड्रप परिवर्तन स्वीकार र यो sudo --policy इनपुट स्वीकार iptables बाहिर जान्छ।
पोर्ट संकल्प र लक
तपाईं थाह छ, सबै नेटवर्क आवेदन र प्रक्रियाहरू एक निश्चित पोर्ट मार्फत काम। अवरुद्ध वा केही ठेगाना सुल्झाउने, तपाईं सबै नेटवर्क उद्देश्यका पहुँच निगरानी गर्न सक्छन्। नयाँ नियम थप्दा, इनपुट - - को सुझाव दिनु उदाहरण 80. टर्मिनलमा लागि अगाडी पोर्ट विश्लेषण, यो Sudo IPTABLES -A इनपुट -P टीसीपी --DPort 80 -J स्वीकार आदेश, जहाँ -A प्रविष्ट गर्न पर्याप्त हुनेछ माला, -p - परिभाषा यस मामलामा प्रोटोकल, टीसीपी, एक --DPORT गन्तव्य पोर्ट छ।
ठीक त्यही आदेश पनि पोर्ट 22, को SSH सेवा प्रयोग गरिएको छ जो लागू: Sudo IPTABLES -A इनपुट -P टीसीपी --DPORT 22 -J स्वीकार गर्नुहोस्।
निर्दिष्ट पोर्ट ब्लक गर्न, स्ट्रिङ मात्र ड्रप गर्न स्वीकार परिवर्तन को अन्त मा, ठीक त्यही प्रकार प्रयोग गरिन्छ। फलस्वरूप, यसलाई उदाहरणका लागि, Sudo IPTABLES -A इनपुट -P टीसीपी --DPORT 2450 -J छोड गर्दछ।
यी सबै नियम कन्फिगरेसन फाइल मा प्रवेश गर्दै छन् र तपाईं तिनीहरूलाई कुनै पनि समयमा हेर्न सक्नुहुन्छ। हामी तपाईंलाई सम्झाउने, यो माध्यम sudo iptables -l गरेको छ। तपाईंले पोर्ट संग पोर्ट संगै नेटवर्क आईपी ठेगाना अनुमति आवश्यक छ भने, स्ट्रिङ अलिकति परिमार्जन गरिएको छ - TPC -S थपिएको छ पछि र ठेगाना नै। Sudo -A इनपुट iptables -p टीसीपी -S 12.12.12.12/32 --DPORT 22 -J जहाँ 12.12.12.12/32 आवश्यक IP ठेगाना छ, स्वीकार गर्नुहोस्।
अवरुद्ध अन्त्यमा ड्रप मा स्वीकार को मूल्य परिवर्तन गरेर नै सिद्धान्त मा हुन्छ। त्यसपछि यो उदाहरणका लागि, Sudo -A इनपुट -p टीसीपी -S 12.12.12.0/224 --DPORT 22 -J छोड iptables, बाहिर जान्छ।
ICMP अवरुद्ध
ICMP (इन्टरनेट नियन्त्रण सन्देश प्रोटोकल) - TCP / IP मा समावेश गरिएको छ र जब यातायात संग काम त्रुटि सन्देश र आपतकालीन अवस्थामा दिइरहनुभएको संलग्न भएको एक प्रोटोकल। उदाहरणका लागि, अनुरोध सर्भर उपलब्ध छैन, यो उपकरण कार्य सेवा कार्यहरु। को IPTABLES उपयोगिता तपाईं फायरवाल मार्फत यसलाई अवरोध गर्न अनुमति दिन्छ, र तपाईँले यसलाई Sudo IPTABLES -A आउटपुट -P ICMP --icmp-प्रकार 8 -J छोड आदेश प्रयोग गर्न सक्छन्। यसलाई आफ्नो देखि र आफ्नो सर्भर अनुरोध ब्लक हुनेछ।
आगमन अनुरोध अलि फरक रोकिएका छन्। त्यसपछि तपाईं Sudo IPTABLES -I इनपुट -P ICMP --icmp-प्रकार 8 -J ड्रप प्रविष्ट गर्न आवश्यक छ। यी नियमहरू सक्रिय पछि, सर्भर पिंग अनुरोध प्रतिक्रिया छैन।
सर्भरमा अनधिकृत कार्यहरू रोक्नुहोस्
कहिलेकाँही सर्पायरहरू घुसपैठकर्ताहरूबाट DDOS आक्रमण वा अन्य अनधिकृत कार्यहरू अधीनमा छन्। फायरवालको सहि समायोजनले तपाईंलाई यस प्रकारको ह्याकिंगबाट आफूलाई बचाउन अनुमति दिनेछ। सुरुमा हामी त्यस्ता नियमहरू स्थापना गर्न सिफारिस गर्दछौं:
- हामी Itptables-A इनपुट-A इनपुट-a TCP TCP TCPED -0-MINITITIOT-MIST-LILIT-BITET-LINT-WERTSESTESSESSESTINGESSESTINCE मा सीमित छ । तपाईं आफैंमा मापनको एकाई निर्दिष्ट गर्न सक्नुहुनेछ, उदाहरणका लागि, / दोस्रो, / मिनेट, / घण्टा, / दिन। - मिसिंग प्याकेजहरूको संख्यामा सीमित - फट-बेट नम्बर। सबै मानहरू प्रशासकको प्राथमिकता अनुसार व्यक्तिगत रूपमा प्रदर्शन गरिन्छ।
- अर्को, तपाईं ह्याकिंगको सम्भावित कारणहरू हटाउन खुला पोर्टहरूको स्क्यान निषेध गर्न सक्नुहुनेछ। पहिलो sudo iptables -n ब्लक-स्नन कमाण्ड प्रविष्ट गर्नुहोस्।
- त्यसो भए सूडो इम्प्लिटेबल निर्दिष्ट गर्नुहोस् -a ब्लक-Scra-scrap tcp-फ्लजी-फ्ल्याग-फ्ल्याग-फ्ल्याग-फ्ल्याग-फ्ल्याग-फ्ल्याग-फ्ल्याग-फ्ल्याग-फ्ल्याग-फ्ल्यास-एमआईए -M सीमा 1 / एस -J रिटर्न
- पछिल्लो तेस्रो कमाण्ड हो: Sudo iptables -a ब्लक-स्क्यान -J ड्रप। यी केसहरूमा ब्लक-स्क्यान अभिव्यक्ति - सर्किटको नाम प्रयोग गरियो।
आज बनिएका सेटिंग्स केवल फायरवाल नियन्त्रण गर्ने उपकरणमा कामका लागि आधार मात्र हो। उपयोगिताको आधिकारिक कागजातमा तपाईले सबै उपलब्ध तर्कहरू र विकल्पहरूको वर्णन पाउनुहुनेछ र तपाइँ तपाइँको अनुरोधहरु अन्तर्गत फायरवाल कन्फिगर गर्न सक्नुहुन्छ। मानक सुरक्षा नियमहरू माथि, जुन प्राय जसो लागू हुन्छ र धेरै जसो केसहरूमा आवश्यक हुन्छ।