În toate sistemele de operare bazate pe kernelul Linux, există un firewall încorporat, efectuând controlul și filtrarea traficului de intrare și ieșire, pe baza regulilor specificate sau a platformei. În distribuția CentOS 7, utilitarul iptablelor efectuează o astfel de funcție, interacționând cu firewall-ul încorporat Netfilter. Uneori administratorul de sistem sau managerul de rețea trebuie să configureze funcționarea acestei componente, prescriu regulile relevante. Ca parte a articolului de astăzi, am dori să vorbim despre elementele de bază ale configurației iptablelor în sistemul de operare menționat mai sus.
Configurați iptables în CentOS 7
Instrumentul în sine este accesibil pentru a lucra imediat după finalizarea instalării CentOS 7, dar va trebui să instalați unele servicii, despre care vom vorbi. În platforma examinată există un alt instrument încorporat care efectuează funcția de firewall numită Firewalld. Pentru a evita conflictele, cu lucrări ulterioare, recomandăm dezactivarea acestei componente. Instrucțiuni extinse pe acest subiect Citiți într-un alt material pe următorul link.Citiți mai multe: Dezactivați Firewalld în CentOS 7
După cum știți, protocoalele IPv4 și IPv6 pot fi aplicate în sistem. Astăzi ne vom concentra pe exemplul IPv4, dar dacă doriți să configurați pentru un alt protocol, veți avea nevoie de o echipă. Iptables. în utilizarea consolei IP6Tables..
Instalarea iptables.
Ar trebui să fie prioritate sistemului Componentele suplimentare ale utilității luate în considerare astăzi. Acestea vor ajuta la stabilirea regulilor și a altor parametri. Încărcarea se efectuează din depozitul oficial, deci nu durează prea mult timp.
- Toate acțiunile viitoare vor fi făcute în consola clasică, astfel încât să o executați prin orice metodă convenabilă.
- Comanda Sudo Yum Install IPaBables-Services este responsabilă pentru instalarea serviciilor. Introduceți-l și apăsați tasta Enter.
- Confirmați contul SuperUser prin specificarea parolei de la acesta. Vă rugăm să rețineți că atunci când interogări sudo, caracterele introduse în rând nu sunt afișate niciodată.
- Se va propune adăugarea unui pachet la sistem, confirmați această acțiune selectând versiunea Y.
- La finalizarea instalării, verificați versiunea curentă a instrumentului: sudo iptables --version.
- Rezultatul va apărea în noul șir.
Acum, sistemul de operare este complet pregătit pentru configurația ulterioară a firewall-ului prin intermediul utilitarului iptables. Vă sugerăm să vă familiarizați cu configurația pe elemente, începând cu gestionarea serviciilor.
Oprirea și lansarea serviciilor iptables
Managementul modulului iptables este necesar în cazurile în care trebuie să verificați acțiunea anumitor reguli sau pur și simplu reporniți componenta. Acest lucru se face folosind comenzi încorporate.
- Introduceți stația IPABABABLES Sudo și faceți clic pe tasta Enter pentru a opri serviciile.
- Pentru a confirma această procedură, specificați parola superuser.
- Dacă procesul are succes, va fi afișat un șir nou, indicând modificările fișierului de configurare.
- Lansarea serviciilor se realizează aproape în același mod, numai linia achiziționează vizualizarea Sudo Service IPTABles.
O repornire similară, începerea sau oprirea utilității este disponibilă în orice moment, nu uitați doar pentru a reveni la valoarea inversă atunci când va fi în cerere.
Vizualizați și ștergeți regulile
Așa cum am menționat mai devreme, controlul firewall-ului este realizat prin reguli manual sau adăugând automat. De exemplu, unele aplicații suplimentare pot accesa instrumentul, schimbând anumite politici. Cu toate acestea, majoritatea acestor acțiuni sunt încă efectuate manual. Vizualizarea unei liste a tuturor regulilor curente este disponibilă prin comanda sudo iptables -l.
În rezultatul afișat vor exista informații pe trei lanțuri: "Input", "ieșire" și "înainte" - traficul de intrare, expediere și expediere, respectiv.
Puteți defini starea tuturor lanțurilor prin introducerea sudo iptables -s.
Dacă regulile observate nu sunt satisfăcute cu dvs., ele pur și simplu sunt șterse. Întreaga listă este eliminată astfel: Sudo IPTABABABLES-F. După activare, regula va fi ștersă absolut pentru toate cele trei lanțuri.
Când trebuie să afectați numai politicile dintr-un lanț unic, se adaugă un argument suplimentar la linia:
Sudo iptables -f intrare
Sudo iptables -f ieșire
Sudo iptables -f înainte
Absența tuturor regulilor înseamnă că nu sunt utilizate setări de filtrare a traficului în nici o parte. Apoi, administratorul de sistem va specifica independent noi parametri utilizând aceeași consolă, comanda și diverse argumente.
Primirea și abandonarea traficului în lanțuri
Fiecare lanț este configurat separat pentru primirea sau blocarea traficului. Prin stabilirea unui anumit sens, se poate realiza că, de exemplu, toate traficul de intrare vor fi blocate. Pentru a face acest lucru, comanda trebuie să fie sudo iptables - picătură de intrare, unde intrarea este numele lanțului și picătură este o valoare de descărcare.
Exact aceiași parametri sunt setați pentru alte circuite, de exemplu, sudo iptables - picătură de ieșire. Dacă aveți nevoie să setați o valoare pentru a primi traficul, atunci scăderea modificărilor acceptați și se oprește IPPABABABLES - acceptați de intrare.
Rezoluția portului și blocarea
După cum știți, toate aplicațiile și procesele de rețea funcționează printr-un anumit port. Prin blocarea sau rezolvarea anumitor adrese, puteți monitoriza accesul tuturor scopurilor de rețea. Să analizăm portul înainte 80. În terminal, acesta va fi suficient pentru a intra în Sudo IPTABLES-ANUT-PP TCP -PPORT 80 -J COMUNICARE ACCEPTARE, unde - Adăugarea unei noi reguli, introducerea - sugestia de Lanțul, -P - definiția protocolului În acest caz, TCP, A --Port este un port de destinație.
Exact aceeași comandă se aplică și portului 22, care este utilizat de serviciul SSH: sudo iptables -a intrare -p tcp --pport 22 -j acceptați.
Pentru a bloca portul specificat, șirul este utilizat exact același tip, numai la sfârșitul modificărilor acceptate ale scăderii. Ca rezultat, se pare, de exemplu, sudo iptables-o intrare -p tcp --pport 2450 -j picătură.
Toate aceste reguli sunt introduse în fișierul de configurare și le puteți vedea în orice moment. Vă reamintim, se face prin sudo iptables -l. Dacă trebuie să permiteți o adresă IP de rețea cu portul împreună cu portul, șirul este ușor modificat - după adăugarea TPC și adresa însăși. SUDO IPTABLES -A INPUT -P TCP -S 12.12.12.12/32 --PPORT 22 -J Acceptați, unde 12.12.12.12/32 este adresa IP necesară.
Blocarea are loc pe același principiu prin schimbarea la sfârșit a valorii acceptării pe scădere. Apoi se pare, de exemplu, sudo iptables -a intrare -p tcp -s 12.12.12.0/224 --pport 22 -j picătură.
Blocarea ICMP
ICMP (Protocolul mesajului de control Internet) - un protocol care este inclus în TCP / IP și este implicat în transmiterea mesajelor de eroare și a situațiilor de urgență atunci când lucrați cu traficul. De exemplu, când serverul solicitat nu este disponibil, acest instrument efectuează funcții de service. Utilitarul iPtables vă permite să îl blocați prin firewall și puteți să-l utilizați folosind Sudo IPABABABLES -A OUTPUT-PP ICMP - ICMP-TYPE 8 -J DRIND COMAND DE DROP. Acesta va bloca cererile de la dvs. și pe serverul dvs.
Solicitările primite sunt blocate puțin diferite. Apoi, trebuie să introduceți intrările Sudo IPABABABLES-PP ICMP - ciclu de 8-L. După activarea acestor reguli, serverul nu va răspunde la cererile de ping.
Preveniți acțiunile neautorizate pe server
Uneori serverele sunt supuse atacurilor DDOS sau a altor acțiuni neautorizate de la intruși. Reglarea corectă a firewall-ului vă va permite să vă protejați de acest tip de hacking. Pentru a începe, vă recomandăm să se stabilească astfel de reguli:
- Noi scriem în iptables-o intrare -p TCP --Port 80 -m Limita --imit 20 / minut --limit-burst 100 -j acceptați, în care --imit 20 / minut este o limită a frecvenței rezultatelor pozitive . Puteți specifica o unitate de măsurare, de exemplu, / secundă, / minut / oră / zi. - număr de izbucnire -limit - limită pentru numărul de pachete lipsă. Toate valorile sunt expuse individual în funcție de preferințele administratorului.
- Apoi, puteți interzice scanarea porturilor deschise pentru a elimina una dintre cauzele posibile de hacking. Introduceți prima comandă de scanare a primului sudo iptables -N.
- Apoi specificați Sudo IPABABLES -A Block-Scan-PP TCP -TCP-Flags Syn, ACK, FIN, RST-L LIMIT -Limit 1 / S -j Return.
- Ultima a treia comandă este: sudo iptables -a bloc-scan -j picătură. Exprimarea bloc-scanare în aceste cazuri - numele circuitului utilizat.
Setările afișate astăzi sunt doar baza pentru lucrările din instrumentul de control al firewall-ului. În documentația oficială a utilității veți găsi o descriere a tuturor argumentelor și opțiunilor disponibile și puteți configura firewall-ul în mod specific sub cererile dvs. Deasupra normelor standard de securitate, care sunt cele mai des aplicate și în majoritatea cazurilor sunt necesare.