Em todos os sistemas operacionais com base no kernel do Linux, há um firewall embutido, realizando controle e filtragem de tráfego de entrada e saída, com base nas regras especificadas ou na plataforma. Na distribuição CENTOS 7, o utilitário iptables realiza essa função, interagindo com o firewall de netfilter embutido. Às vezes, o administrador do sistema ou o Gerenciador de rede tem que configurar a operação deste componente, prescrevendo as regras relevantes. Como parte do artigo de hoje, gostaríamos de falar sobre o básico da configuração de iptables no sistema operacional acima mencionado.
Configurar iptables no CENTOS 7
A própria ferramenta é acessível para trabalhar imediatamente após a conclusão da instalação do CENTOS 7, mas será ainda necessária para instalar alguns serviços, que falaremos. Na plataforma em consideração, há outra ferramenta interna que realiza a função de firewall chamada Firewalld. Para evitar conflitos, com mais trabalho, recomendamos desativado este componente. Instruções expandidas sobre este tópico lido em outro material no seguinte link.Leia mais: Desativar Firewalld em Centos 7
Como você sabe, os protocolos IPv4 e IPv6 podem ser aplicados no sistema. Hoje vamos nos concentrar no exemplo IPv4, mas se você quiser configurar para outro protocolo, você precisará em vez de uma equipe. Iptables. no uso do console IP6Tables..
Instalando iptables.
Deve ser prioritário com os componentes adicionais do sistema do utilitário em consideração hoje. Eles ajudarão a definir as regras e outros parâmetros. O carregamento é realizado a partir do repositório oficial, por isso não demora muito tempo.
- Todas as ações adicionais serão feitas no console clássico, portanto, executá-lo por qualquer método conveniente.
- O comando Sudo Yum Install IPTables-Services é responsável por instalar os serviços. Digite-o e pressione a tecla ENTER.
- Confirme a conta Superuser especificando a senha a partir dele. Por favor, note que quando consultam sudo, os caracteres inseridos na linha nunca são exibidos.
- Ele será proposto para adicionar um pacote ao sistema, confirme esta ação selecionando a versão y.
- Após a conclusão da instalação, verifique a versão atual da ferramenta: sudo iptables --version.
- O resultado aparecerá na nova string.
Agora, o sistema operacional está totalmente pronto para a configuração adicional do firewall através do utilitário iptables. Sugerimos se familiarizar com a configuração nos itens, começando com o gerenciamento de serviços.
Parando e lançando serviços de iptables
O gerenciamento do modo iptables é necessário nos casos em que você precisa verificar a ação de determinadas regras ou simplesmente reiniciar o componente. Isso é feito usando comandos incorporados.
- Digite o serviço Sudo Service iptables e clique na tecla Enter para parar os serviços.
- Para confirmar este procedimento, especifique a senha do superusuário.
- Se o processo for bem-sucedido, uma nova string será exibida, indicando alterações no arquivo de configuração.
- O lançamento dos serviços é realizado quase da mesma maneira, apenas a linha adquire a visualização de início do SUDO Service IPTables.
Uma reinicialização semelhante, iniciando ou parando o utilitário está disponível a qualquer momento, não se esqueça apenas de retornar o valor reverso quando ela estiver procurando.
Ver e excluir regras
Como mencionado anteriormente, o controle do firewall é realizado por regras manuais ou automaticamente adicionando. Por exemplo, alguns aplicativos adicionais podem acessar a ferramenta, alterando certas políticas. No entanto, a maioria das ações ainda é feita manualmente. Visualizar uma lista de todas as regras atuais está disponível através do comando sudo iptables -l.
No resultado exibido, haverá informações sobre três cadeias: "Entrada", "saída" e "encaminhar" - tráfego de entrada, saída e encaminhamento, respectivamente.
Você pode definir o status de todas as cadeias inserindo sudo iptables -s.
Se as regras vistas não estão satisfeitas com você, elas simplesmente são excluídas. A lista inteira é apagada assim: sudo iptables -f. Após a ativação, a regra será apagada absolutamente para todas as três cadeias.
Quando você precisar afetar apenas as políticas de alguma cadeia única, um argumento adicional é adicionado à linha:
Sudo iptables -f entrada
Sudo iptables -f saída
Sudo iptables -f para a frente
A ausência de todas as regras significa que nenhuma configuração de filtragem de tráfego não é usada em qualquer parte. Em seguida, o administrador do sistema especificará de forma independente novos parâmetros usando o mesmo console, o comando e vários argumentos.
Recebendo e soltando o tráfego nas correntes
Cada cadeia é configurada separadamente para receber ou bloquear o tráfego. Ao definir um certo significado, ele pode ser alcançado que, por exemplo, todo o tráfego recebido será bloqueado. Para fazer isso, o comando deve ser sudo iptables - drop de entradapolicy, onde a entrada é o nome da cadeia e queda é um valor de descarga.
Exatamente os mesmos parâmetros são definidos para outros circuitos, por exemplo, o sudo iptables - queda de saídapolicy. Se você precisar definir um valor para receber tráfego, a queda é alterada em Aceitar e acessa a entrada de sudo iptables --Policy Accept.
Resolução de porta e bloqueio
Como você sabe, todos os aplicativos e processos de rede funcionam por meio de uma determinada porta. Ao bloquear ou resolver certos endereços, você pode monitorar o acesso de todos os fins da rede. Vamos analisar a porta para a frente, por exemplo, 80. No terminal, será suficiente para inserir o comando sudo iptables -a entrada -P TCP --DPORT 80 -J aceitar, onde - adicionando uma nova regra, sugestão de A Corrente, -P - Definição Protocolo Neste caso, TCP, A --DPORT é uma porta de destino.
Exatamente o mesmo comando também se aplica à porta 22, que é usado pelo serviço ssh: sudo iptables -a entrada -p tcp --dport 22 -J aceita.
Para bloquear a porta especificada, a cadeia é usada exatamente o mesmo tipo, apenas no final das alterações aceitas para queda. Como resultado, acontece, por exemplo, sudo iptables -a entrada -p tcp - dport 2450 -J cair.
Todas essas regras são inseridas no arquivo de configuração e você pode visualizá-las a qualquer momento. Nós lembramos você, é feito através do sudo iptables -l. Se você precisar permitir um endereço IP de rede com a porta junto com a porta, a string é ligeiramente modificada - após o TPC é adicionado -s e o endereço em si. Sudo iptables -a entrada -p tcp -s 12.12.12.12/32 - DPORT 22 -J aceitar, onde 12.12.12.12/32 é o endereço IP necessário.
O bloqueio ocorre no mesmo princípio mudando no final do valor de aceitação na queda. Então aparece, por exemplo, sudo iptables -a entrada -p tcp -s 12.12.12.0/224 - DPORT 22 -J queda.
Bloqueio ICMP.
ICMP (Protocolo de Mensagem de Controle da Internet) - Um protocolo incluído no TCP / IP e está envolvido na transmissão de mensagens de erro e situações de emergência ao trabalhar com tráfego. Por exemplo, quando o servidor solicitado não está disponível, esta ferramenta executa funções de serviço. O utilitário iptables permite bloqueá-lo através do firewall e você pode torná-lo usando o comando sudo iptables -a saída -p icmp --icmp-type 8-j comando. Ele bloqueará solicitações do seu e para o seu servidor.
Solicitações recebidas são bloqueadas um pouco diferente. Então você precisa inserir o sudo iptables -i entrada -p icmp --icmp-tipo 8 -J queda. Depois de ativar essas regras, o servidor não responderá às solicitações de ping.
Impedir ações não autorizadas no servidor
Às vezes, os servidores são submetidos a ataques DDOS ou outras ações não autorizadas de intrusos. O ajuste correto do firewall permitirá que você se proteja desse tipo de hacking. Para começar, recomendamos definir essas regras:
- Nós escrevemos no iptables -a entrada -P TCP - DPORT 80 -M Limit --Limit 20 / minuto - LIMIT-BORRST 100 -J Aceite, onde - LIMIT 20 / minuto é um limite na frequência de resultados positivos . Você pode especificar uma unidade de medição, por exemplo, / segundo, / minuto, / hora, / dia. - Número de Burst-LIMIT - Limite no número de pacotes ausentes. Todos os valores são exibidos individualmente de acordo com as preferências do administrador.
- Em seguida, você pode proibir a digitalização de portas abertas para remover uma das possíveis causas de hacking. Digite o primeiro comando sudo iptables -n block-scan.
- Em seguida, especifique o sudo iptables - um block-scan-scan -p tcp -tcp-flags syn, ACK, FIN, limite de rst -m -mlimit 1 / s -j retorna.
- O último terceiro comando é: sudo iptables - um block-scan -J queda. Expressão de varredura de bloco nesses casos - o nome do circuito usado.
As configurações mostradas hoje são apenas a base para o trabalho no instrumento de controle do firewall. Na documentação oficial do utilitário, você encontrará uma descrição de todos os argumentos e opções disponíveis e poderá configurar o firewall especificamente sob suas solicitações. Acima das regras de segurança padrão, que são mais frequentemente aplicadas e na maioria dos casos são necessárias.