V vseh operacijskih sistemih, ki temeljijo na jedru Linuxa, je vgrajen požarni zid, izvajanje nadzora in filtriranja dohodnega in odhodnega prometa, ki temelji na določenih pravilih ali platformi. V distribuciji Centos 7, Iptables Utility izvede takšno funkcijo, interakcijo z vgrajenim požarnim zidom NetFilter. Včasih mora skrbnik sistema ali upravljavec omrežja konfigurirati delovanje te komponente, ki predpisuje ustrezna pravila. Kot del današnjega članka bi radi govorili o osnovah konfiguracije iptalov v zgoraj omenjenem OS.
Konfiguriranje iptalov v centih 7
Sam orodje je na voljo za delo takoj po zaključku namestitve Centos 7, vendar je treba nadaljevati nekatere storitve, o katerih bomo govorili. V obravnavanem platformi je še eno vgrajeno orodje, ki opravlja funkcijo požarnega zidu, imenovano požarnik. Da bi se izognili konfliktom, z nadaljnjim delom, priporočamo, da je to komponento onemogočeno. Razširjena navodila na to temo Preberite v drugem materialu na naslednji povezavi.Preberite več: Onemogoči požarni zid v centih 7
Kot veste, se lahko v sistemu uporablja protokole IPv4 in IPv6. Danes se bomo osredotočili na primer IPv4, vendar, če želite konfigurirati za drug protokol, boste potrebovali namesto ekipe. Iptables. pri uporabi konzole IP6Tables..
Namestitev iptables.
Danes bi morala biti prednostna naloga sistema dodatnih komponent uporabnosti. Pomagali bodo pri določanju pravil in drugih parametrov. Nalaganje se izvaja iz uradnega skladišča, zato ne traja veliko časa.
- Vse nadaljnje ukrepe bodo narejene v klasični konzoli, zato jo zaženite s priročno metodo.
- Ukaz Iptables-Services Sudo Yum je odgovoren za namestitev storitev. Vnesite ga in pritisnite tipko Enter.
- Potrdite račun SuperUser tako, da podate geslo. Prosimo, upoštevajte, da pri poizvedbah sudo, vneseni znaki v vrsti ni prikazan.
- Predlagano se bo dodajanje enega paketa v sistem, potrdite to dejanje z izbiro različice Y.
- Po zaključku namestitve preverite trenutno različico orodja: sudo iptables --version.
- Rezultat se bo pojavil v novem nizu.
Zdaj je OS popolnoma pripravljen na nadaljnjo konfiguracijo požarnega zidu skozi uporabnost iptables. Predlagamo, da se seznanite s konfiguracijo na elementih, začenši z upravljanjem storitev.
Storitve ustavitve in zagona iptalov
Upravljanje načina iptalov je potrebno v primerih, ko morate preveriti delovanje določenih pravil ali preprosto znova zagnati komponento. To se izvaja z uporabo vgrajenih ukazov.
- Vnesite SUDO Service Iptables Ustavi in kliknite tipko Enter, da ustavite storitve.
- Če želite ta postopek potrditi, navedite geslo SuperUser.
- Če je postopek uspešen, se prikaže nov niz, ki označuje spremembe v konfiguracijski datoteki.
- Začetek storitev se izvaja skoraj enak način, samo linija pridobi SUDO Service Iptables Start.
Podoben ponovni zagon, zagon ali ustavitev pripomočka je na voljo kadarkoli, ne pozabite samo, da vrnete povratne vrednosti, ko bo povpraševanje.
Pogled in brisanje pravil
Kot smo že omenili, je nadzor požarnega zidu izveden z ročnim ali samodejno dodajanje pravil. Nekatere dodatne aplikacije lahko na primer dostopajo do orodja, spreminja določene politike. Vendar pa se večina takšnih ukrepov še vedno izvaja ročno. Ogled seznama vseh trenutnih pravil je na voljo prek ukaza SUDO iptables -l.
V prikazanem rezultatu bodo informacije o treh verigah: "vhod", "izhod" in "naprej" - prihajajoči, odhajajoči in špediterni promet.
Stanje vseh verig lahko določite tako, da vnesete sudo iptables -s.
Če so videna pravila niso zadovoljna z vami, preprosto so samo izbrisane. Celoten seznam je izbran kot ta: sudo iptables -f. Po aktiviranju se pravilo izbriše popolnoma za vse tri verige.
Ko morate vplivati samo na politike iz neke posamezne verige, se v vrstico doda dodatni argument:
Sudo iptables -f vhod
Sudo iptables -f izhod
Sudo iptables -f naprej
Odsotnost vseh pravil pomeni, da se nastavitve filtriranja prometa ne uporabljajo v nobenem delu. Nato bo skrbnik sistema neodvisno določil nove parametre z isto konzolo, ukazom in različnimi argumenti.
Prejemanje in spuščanje prometa v verigah
Vsaka veriga je konfigurirana ločeno za prejemanje ali blokiranje prometa. Z določitvijo določenega pomena je mogoče doseči, da bo na primer ves dohodni promet blokiran. Za to mora biti ukaz sudo iptables --policy vhod padec, kjer je vnos ime verige, in padec je izpustna vrednost.
Točno enake parametre so določene za druge vezice, na primer, sudo iptables --policy izhod padec. Če morate nastaviti vrednost za prejemanje prometa, se padec spremeni na sprejeti in izkaže se sudo iptables --policy vhod Sprejmi.
Ločljivost in ključavnico
Kot veste, vse omrežne aplikacije in procesi delujejo skozi določeno pristanišče. Z blokiranjem ali reševanjem nekaterih naslovov lahko spremljate dostop vseh omrežnih namenov. Analiziramo pristanišče na primer, na primer 80. V terminalu bo dovolj, da vstopite v sudo iptables-a vhod -p TCP -DPORT 80 -J Sprejmi ukaz, kjer - dodajanje novega pravila, vnos - predlog - predlog veriga, -P - opredelitev protokola v tem primeru, TCP, A -Dport je ciljna vrata.
Točno isti ukaz velja tudi za vrata 22, ki jo uporablja SSH storitev: sudo iptables-a vhod -p tcp --dport 22 -j Sprejmi.
Če želite blokirati navedena vrata, se niz uporablja enako istega tipa, samo na koncu sprejetih sprememb s kapljem. Posledično se izkaže, na primer, sudo iptables-a vnos -p tcp --dport 2450 -j padec.
Vsa ta pravila se vnesejo v konfiguracijsko datoteko in jih lahko kadarkoli si ogledate. Spominjamo vas, to poteka skozi sudo iptables -l. Če morate s pristaniščem skupaj s pristaniščem omogočiti naslov IP omrežja, je niz rahlo spremenjen - po dodani dodani TPC-u in naslov. Sudo iptables-a vnos -P TCP -S 12.12.12.12/32 --dport 22 -j Sprejmi, kjer je 12.12.12.12/32 potreben IP naslov.
Blokiranje se pojavi na istem principu s spremembo na koncu vrednost sprejemanja na padcu. Nato se izkaže, na primer, sudo iptables-a vnos -P TCP -S 12.12.12.0/224 --dport 22 -j padec.
Blokiranje ICMP
ICMP (Protokol internetnega nadzora) - Protokol, ki je vključen v TCP / IP in je vključen v pošiljanje sporočil o napakah in izrednih razmerah pri delu s prometom. Na primer, ko zaprošeni strežnik ni na voljo, to orodje izvaja storitvene funkcije. Podjetja iptables vam omogoča, da jo blokirate skozi požarni zid, in ga lahko naredite z uporabo sudo iptables -a izhod -p iCMP -ICMP-TYP 8 -J DROP ukaz. To bo blokiralo zahteve iz vašega in vašega strežnika.
Dohodne zahteve so blokirane malo drugačne. Potem morate vnesti sudo iptables -i Input -p ICMP -ICMP-tip 8 -j padec. Po aktiviranju teh pravil se strežnik ne bo odzval na zahteve PING.
Preprečite nepooblaščena dejanja na strežniku
Včasih so strežniki izpostavljeni napadom DDOS ali drugih nepooblaščenih dejanj od vsiljivcev. Pravilna nastavitev požarnega zidu vam bo omogočila, da se zaščitite pred tem vrhom hekanja. Začeti z določitvijo takih pravil:
- Pišemo v iptables-a vhod -p tcp --dport 80 -m limit-Limit 20 / minute - -Limit-Burst 100 -j Sprejmi, kjer je - --Limit 20 / Minut je meja na frekvenci pozitivnih rezultatov . Na primer, na primer, / sekundo, / minuto, / dan lahko določite enoto merjenja. - Številka - Omejitev števila manjkajočih paketov. Vse vrednosti so razstavljene posebej v skladu z nastavitvami skrbnika.
- Nato lahko onemogočite skeniranje odprtih pristanišč, da odstranite enega od možnih vzrokov hekanja. Vnesite prvi ukaz SUDO iptables -N Block-Scan.
- Nato podajte sudo iptables-a blok-skeniranje -p TCP-p-oznake SYN, ACK, FIN, RST -M Limit -Limit 1 / S -J Vrnitev.
- Zadnji tretji ukaz je: sudo iptables-a blok-skeniranje -j padec. Izrazi bloka v teh primerih - ime uporabljenega tokokroga.
Danes nastavitve so prikazane le osnova za delo v kontrolnem instrumentu požarnega zidu. V uradni dokumentaciji uporabnosti boste našli opis vseh razpoložljivih argumentov in možnosti in lahko požarni zid konfigurirate posebej pod vašimi zahtevami. Nad standardnimi varnostnimi pravili, ki se najpogosteje uporabljajo in v večini primerov zahtevajo.