I alle operativsystemer basert på Linux-kjernen er det en innebygd brannmur, utfører kontroll og filtrering av innkommende og utgående trafikk, basert på de angitte reglene eller plattformen. I Centos 7-distribusjonen utfører Iptables-verktøyet en slik funksjon, og samhandler med den innebygde NetFilter-brannmuren. Noen ganger må systemadministratoren eller nettverksadministratoren konfigurere driften av denne komponenten, som foreskriver de relevante reglene. Som en del av dagens artikkel vil vi snakke om grunnleggende om Iptables-konfigurasjonen i ovennevnte OS.
Konfigurer iptables i Centos 7
Verktøyet i seg selv er tilgjengelig for arbeid umiddelbart etter at installasjonen av Centos 7 er fullført, men ytterligere må installere noen tjenester, som vi skal snakke om. I plattformen som undervurderes er det et annet innebygd verktøy som utfører brannmurfunksjonen kalt brannmurd. For å unngå konflikter, med videre arbeid, anbefaler vi at de er deaktivert denne komponenten. Utvidede instruksjoner om dette emnet Les i et annet materiale på følgende lenke.Les mer: Deaktiver brannmurd i centos 7
Som du vet, kan IPv4 og IPv6-protokollene påføres i systemet. I dag vil vi fokusere på IPv4-eksemplet, men hvis du vil konfigurere for en annen protokoll, trenger du i stedet for et lag. Inptables. i konsollbruk IP6Tables.
Installere Iptables
Det bør være prioritert systemet tilleggskomponenter i verktøyet under vurdering i dag. De vil bidra til å sette reglene og andre parametere. Lasting utføres fra det offisielle depotet, så det tar ikke mye tid.
- Alle ytterligere handlinger vil bli gjort i den klassiske konsollen, så kjør det med enhver praktisk metode.
- Sudo Yum Installer Iptables-Services-kommandoen er ansvarlig for å installere tjenestene. Skriv inn det og trykk på Enter-tasten.
- Bekreft superbrukerkontoen ved å angi passordet fra det. Vær oppmerksom på at når spørsmålet Sudo, vises de angitte tegnene i raden aldri.
- Det vil bli foreslått å legge til en pakke i systemet, bekrefte denne handlingen ved å velge Y-versjonen.
- Etter ferdigstillelse av installasjonen, kontroller du den nåværende versjonen av verktøyet: Sudo Iptables --version.
- Resultatet vil vises i den nye strengen.
Nå er operativsystemet fullt klar for den videre konfigurasjonen av brannmuren gjennom Iptables-verktøyet. Vi foreslår at du kjenner deg selv med konfigurasjonen på elementer, som starter med administrering av tjenester.
Stopp og lansering av Iptables Services
Iptables Mode Management er nødvendig i tilfeller der du må sjekke handlingen av visse regler eller bare starte komponenten på nytt. Dette gjøres ved hjelp av innebygde kommandoer.
- Skriv inn Sudo Service Iptables Stopp og klikk på Enter-tasten for å stoppe tjenestene.
- For å bekrefte denne prosedyren, spesifiser superbrukerpassordet.
- Hvis prosessen er vellykket, vises en ny streng, som angir endringer i konfigurasjonsfilen.
- Lanseringen av tjenestene utføres nesten på samme måte, bare linjen kjøper Sudo-tjenesten Iptables startvisning.
En lignende omstart, som starter eller stopper verktøyet, er tilgjengelig når som helst, ikke glem bare å returnere omvendt verdi når det skal være i etterspørsel.
Se og slette regler
Som nevnt tidligere utføres kontrollen av brannmuren av manuell eller automatisk å legge til regler. For eksempel kan noen ekstra applikasjoner få tilgang til verktøyet, endre visse retningslinjer. Imidlertid er de fleste slike handlinger fortsatt gjort manuelt. Vise en liste over alle gjeldende regler er tilgjengelig via Sudo Iptables -L-kommandoen.
I det viste resultatet vil det være informasjon om tre kjeder: "Input", "Output" og "Forward" - innkommende, utgående og videresendende trafikk, henholdsvis.
Du kan definere statusen for alle kjeder ved å skrive inn Sudo Iptables -s.
Hvis reglene ikke er oppfylt, er de ganske enkelt bare slettet. Hele listen er ryddet slik: Sudo Iptables -F. Etter aktivering vil regelen bli slettet helt for alle tre kjedene.
Når du trenger å påvirke bare retningslinjene fra en enkelt kjede, legges et ekstra argument til linjen:
Sudo iptables -F-inngang
Sudo inptables -f utgang
Sudo inptables -f fremover
Fraværet av alle regler betyr at ingen trafikkfiltreringsinnstillinger ikke brukes i noen del. Deretter vil systemadministratoren uavhengig angi nye parametere med samme konsoll, kommandoen og ulike argumenter.
Motta og slippe trafikk i kjeder
Hver kjede er konfigurert separat for mottak eller blokkering av trafikk. Ved å sette en viss betydning, kan den oppnås at for eksempel all innkommende trafikk vil bli blokkert. For å gjøre dette må kommandoen være Sudo Iptables --policy inngangsfall, hvor inngangen er navnet på kjeden, og slipp er en utslippsverdi.
Nøyaktig de samme parametrene er satt for andre kretser, for eksempel Sudo Iptables --Policy-utgangsfall. Hvis du trenger å angi en verdi for å motta trafikk, så blir dråpeendringene på Accept, og det viser seg at Sudo Iptables --Policy Input Accept.
Portoppløsning og lås
Som du vet, fungerer alle nettverksapplikasjoner og prosesser gjennom en bestemt havn. Ved å blokkere eller løse bestemte adresser, kan du overvåke tilgangen til alle nettverksformål. La oss analysere porten fremover for eksempel 80. I terminalen vil det være nok til å gå inn i Sudo Iptables -A-inngang -P-TCP --dport 80 -J aksepter kommandoen, hvor -A - legger til en ny regel, inngangsforslag til Chain, -P-protokolldefinisjon I dette tilfellet er TCP, A --Port en destinasjonsport.
Nøyaktig den samme kommandoen gjelder også for Port 22, som brukes av SSH-tjenesten: Sudo Iptables -A-inngang -P TCP --Dport 22 -J aksepteres.
For å blokkere den angitte porten, brukes strengen nøyaktig samme type, bare på slutten av godkjenningsendrene for å slippe. Som et resultat viser det seg for eksempel Sudo Iptables -A-inngang -P TCP --DPORT 2450 -J DROP.
Alle disse reglene er oppgitt i konfigurasjonsfilen, og du kan når som helst vise dem. Vi påminner deg, det er gjort gjennom Sudo Iptables -L. Hvis du trenger å tillate en IP-adresse i nettverk med porten sammen med porten, er strengen litt modifisert - etter at TPC er lagt til og adressen selv. Sudo Iptables -A-inngang -P TCP -S 12.12.12.12/32 --Dort 22 -J Godta, hvor 12.12.12.12/32 er den nødvendige IP-adressen.
Blokkering skjer på samme prinsipp ved å endre på slutten verdien av godta på dråpen. Da viser det seg for eksempel Sudo Iptables -A-inngang -P TCP -S 12.12.12.0/224 --dport 22 -J-dråpe.
ICMP blokkering
ICMP (Internet Control Message Protocol) - En protokoll som er inkludert i TCP / IP og er involvert i overføring av feilmeldinger og nødsituasjoner når du arbeider med trafikk. For eksempel, når den forespurte serveren ikke er tilgjengelig, utfører dette verktøyet servicefunksjoner. Iptables-verktøyet lar deg blokkere det gjennom brannmuren, og du kan gjøre den til å bruke Sudo Iptables -A-Output -P ICMP --icmp-typen 8 -J-dråpekommandoen. Det vil blokkere forespørsler fra din og til serveren din.
Innkommende forespørsler er blokkert litt annerledes. Deretter må du gå inn i Sudo Iptables -I-inngang -p ICMP --icmp-type 8 -J-dråp. Etter å ha aktivert disse reglene, svarer serveren ikke på Ping-forespørsler.
Forhindre uautoriserte handlinger på serveren
Noen ganger blir servere utsatt for DDOS-angrep eller andre uautoriserte handlinger fra inntrengere. Den riktige justeringen av brannmuren lar deg beskytte deg mot denne typen hacking. Til å begynne med anbefaler vi å sette slike regler:
- Vi skriver i Iptables -A-inngang -P TCP --DPort 80 -M Limit --Limit 20 / minutt - Limit-Burst 100 -J Godta, hvor - Limit 20 / minutt er en grense på frekvensen av positive resultater . Du kan spesifisere en måleenhet selv, for eksempel / sekund, / minutt, / time, / dag. --Limit-burst nummer - grense på antall manglende pakker. Alle verdier utstilles individuelt i henhold til administratorinnstillingene.
- Deretter kan du forby skanningen av åpne porter for å fjerne en av de mulige årsakene til hacking. Skriv inn den første Sudo Iptables -N Block-Scan-kommandoen.
- Angi deretter Sudo Iptables -A Block-Scan -P TCP-TCP-FLAGS SYN, ACK, FIN, RST -M LIMIT -LIMIT 1 / S -J RETURN.
- Den siste tredje kommandoen er: Sudo Iptables -a Block-Scan -J Drop. Block-scan-uttrykk i disse tilfellene - navnet på kretsen som brukes.
Innstillingene som vises i dag er bare grunnlaget for arbeidet i brannmurens kontrollinstrument. I den offisielle dokumentasjonen av verktøyet finner du en beskrivelse av alle tilgjengelige argumenter og alternativer, og du kan konfigurere brannmuren spesifikt under dine forespørsler. Over standard sikkerhetsregler, som oftest brukes og i de fleste tilfeller kreves.