Në të gjitha sistemet operative bazuar në kernelin Linux, ekziston një firewall i integruar, duke kryer kontrollin dhe filtrimin e trafikut në hyrje dhe dalëse, bazuar në rregullat e specifikuara ose platformën. Në shpërndarjen e Centos 7, utility iptables kryen një funksion të tillë, duke bashkëvepruar me firewall të integruar të netfilter. Ndonjëherë administratori i sistemit ose menaxheri i rrjetit duhet të konfigurojë funksionimin e këtij komponenti, duke përshkruar rregullat përkatëse. Si pjesë e artikullit të sotëm, ne do të donim të flasim për bazat e konfigurimit të IPTABLE në OS-in e sipërpërmendur.
Konfiguro iptables në Centos 7
Mjeti në vetvete është i arritshëm për të punuar menjëherë pas përfundimit të instalimit të Centos 7, por më tej do të duhet të instaloni disa shërbime, të cilat do të flasim. Në platformën në shqyrtim ekziston një mjet tjetër i integruar që kryen funksionin e firewall të quajtur firewalld. Për të shmangur konfliktet, me punë të mëtejshme, ne rekomandojmë me aftësi të kufizuara këtë komponent. Udhëzime të zgjeruara për këtë temë lexoni në një material tjetër në lidhjen e mëposhtme.Lexo më shumë: Çaktivizo firewalld në Centos 7
Siç e dini, protokollet IPv4 dhe IPv6 mund të aplikohen në sistem. Sot ne do të përqendrohemi në shembullin IPv4, por nëse doni të konfiguroni për një protokoll tjetër, do t'ju duhet në vend të një ekipi. Iptables. Në përdorimin e konsolës Ip6tables.
Instalimi i iPtables
Duhet të jetë prioritet për komponentët shtesë të sistemit të ndërmarrjes në shqyrtim sot. Ata do të ndihmojnë në vendosjen e rregullave dhe parametrave të tjerë. Loading kryhet nga depoja zyrtare, kështu që nuk ka shumë kohë.
- Të gjitha veprimet e mëtejshme do të bëhen në tastierë klasike, kështu që të drejtuar atë me çdo metodë të përshtatshme.
- Sudo Yum Install Komanda e Shërbimeve IPTABLE është përgjegjëse për instalimin e shërbimeve. Shkruani dhe shtypni butonin ENTER.
- Konfirmoni llogarinë e superuser duke specifikuar fjalëkalimin nga ai. Ju lutem vini re se kur pyetjet sudo, personazhet e futura në rresht nuk shfaqen kurrë.
- Do të propozohet të shtoni një paketë në sistem, konfirmoni këtë veprim duke zgjedhur versionin y.
- Pas përfundimit të instalimit, kontrolloni versionin aktual të mjetit: sudo iptables -
- Rezultati do të shfaqet në vargun e ri.
Tani OS është plotësisht gati për konfigurimin e mëtejshëm të firewall përmes shërbimeve të IPTABLE. Ne sugjerojmë njohjen me konfigurimin në artikujt, duke filluar me shërbimet drejtuese.
Ndalimi dhe nisja e shërbimeve të IPTABLE
Menaxhimi i modalitetit IPTABLE është e nevojshme në rastet kur ju duhet të kontrolloni veprimin e rregullave të caktuara ose thjesht të rifilloni komponentin. Kjo është bërë duke përdorur komandat e ngulitura.
- Shkruani Shërbimin Sudo IPTABLE ndaluar dhe klikoni në butonin Enter për të ndaluar shërbimet.
- Për të konfirmuar këtë procedurë, specifikoni fjalëkalimin SuperUser.
- Nëse procesi është i suksesshëm, do të shfaqet një varg i ri, duke treguar ndryshimet në skedarin e konfigurimit.
- Lansimi i shërbimeve kryhet pothuajse në të njëjtën mënyrë, vetëm linja fiton shërbimin sudo iptables fillojnë shikimin.
Një reboot i ngjashëm, fillimi ose ndalimi i shërbimeve është në dispozicion në çdo kohë, mos harroni vetëm për të kthyer vlerën e kundërt kur do të jetë në kërkesë.
Shikoni dhe fshini rregullat
Siç u përmend më herët, kontrolli i firewall kryhet me manual ose automatikisht duke shtuar rregulla. Për shembull, disa aplikacione shtesë mund të hyjnë në mjetin, duke ndryshuar politika të caktuara. Megjithatë, shumica e veprimeve të tilla janë bërë ende manualisht. Duke parë një listë të të gjitha rregullave aktuale është në dispozicion nëpërmjet komandës sudo iptables -L.
Në rezultatin e shfaqur do të ketë informacion mbi tre zinxhirë: "Input", "prodhim" dhe "përpara" - trafiku në hyrje, dalëse dhe përcjellëse, respektivisht.
Ju mund të përcaktoni statusin e të gjitha zinxhirëve duke hyrë sudo iptables.
Nëse rregullat e shikuara nuk janë të kënaqur me ju, ata thjesht fshihen vetëm. I gjithë lista është pastruar si kjo: sudo iptables -f. Pas aktivizimit, rregulli do të fshihet absolutisht për të tre zinxhirët.
Kur ju duhet të ndikoni vetëm në politikat nga një zinxhir i vetëm, një argument shtesë shtohet në vijë:
Sudo iptables -F hyrje
Sudo iptables -F output
Sudo iptables -f përpara
Mungesa e të gjitha rregullave do të thotë që nuk përdoren cilësimet e filtrimit të trafikut në asnjë pjesë. Tjetra, administratori i sistemit do të specifikojë në mënyrë të pavarur parametrat e rinj duke përdorur të njëjtën konsol, komandën dhe argumentet e ndryshme.
Marrja dhe rënia e trafikut në zinxhirë
Çdo zinxhir është konfiguruar veçmas për marrjen ose bllokimin e trafikut. Duke vendosur një kuptim të caktuar, mund të arrihet që, për shembull, të gjithë trafikun në hyrje do të bllokohen. Për ta bërë këtë, komanda duhet të jetë sudo iptables - pika e hyrjes PLOLICY, ku hyrja është emri i zinxhirit, dhe rënia është një vlerë shkarkimi.
Pikërisht parametrat e njëjtë janë të vendosur për qarqe të tjera, për shembull, sudo iptables - rënia e daljespolized. Nëse keni nevojë për të vendosur një vlerë për të marrë trafik, atëherë ndryshimet e rënies në pranoni dhe rezulton se sudo iptables - PLOLICY INPUT pranojnë.
Rezoluta e portit dhe bllokohet
Siç e dini, të gjitha aplikacionet dhe proceset e rrjetit punojnë përmes një porti të caktuar. Duke bllokuar ose zgjidhur adresa të caktuara, mund të monitoroni qasjen e të gjitha qëllimeve të rrjetit. Le të analizojmë portin përpara për shembull 80. Në terminal, do të jetë e mjaftueshme për të hyrë në sudo iptables -p tcp -pport 80 -j pranojnë komandën, ku - duke shtuar një rregull të ri, input - sugjerim të Zinxhiri, -P - Përkufizimi i protokollit në këtë rast, TCP, A - Deport është një port destinacioni.
Pikërisht e njëjta komandë vlen edhe për portin 22, e cila është përdorur nga SSH Service: sudo iptables - një input -p tcp --dport 22 -j pranoj.
Për të bllokuar portin e specifikuar, vargu përdoret pikërisht të njëjtin lloj, vetëm në fund të ndryshimeve të pranimit të bien. Si rezultat, ai rezulton, për shembull, sudo iptables - një input -p tcp - drop 2450 -j.
Të gjitha këto rregulla futen në skedarin e konfigurimit dhe ju mund t'i shihni ato në çdo kohë. Ne ju kujtojmë, bëhet përmes sudo iptables -l. Nëse keni nevojë të lejoni një adresë IP të rrjetit me portin së bashku me portin, vargu është i modifikuar pak - pasi TPC shtohet -s dhe vetë adresën. Sudo iptables - një input -p tcp -s 12.12.12.12/32 - disport 22 -j pranoj, ku 12.12.12.12/32 është adresa e nevojshme IP.
Bllokimi ndodh në të njëjtin parim duke ndryshuar në fund vlerën e pranimit në rënie. Pastaj rezulton, për shembull, sudo iptables - një input -p tcp -s 12.12.12.0/224 - Dorëzimi 22 -j rënia.
Bllokimi i ICMP
ICMP (Internet Control Message Protocol) - një protokoll që është përfshirë në TCP / IP dhe është i përfshirë në transmetimin e mesazheve të gabimeve dhe situatave emergjente kur punojnë me trafikun. Për shembull, kur serveri i kërkuar nuk është i disponueshëm, ky mjet kryen funksione shërbimi. Utility IPTABLE ju lejon të bllokoni atë përmes firewall, dhe ju mund ta bëni atë duke përdorur sudo iptables -p output -p-CMP - Command Drop 8 -J. Do të bllokojë kërkesat nga serveri juaj dhe në serverin tuaj.
Kërkesat hyrëse janë bllokuar pak më ndryshe. Pastaj ju duhet të hyni në sudo iptables -I input -p ICMP - Lloji i tipit 8 -j. Pas aktivizimit të këtyre rregullave, serveri nuk do t'i përgjigjet kërkesave ping.
Parandaloni veprimet e paautorizuara në server
Ndonjëherë serverat i nënshtrohen sulmeve të DDOs ose veprimeve të tjera të paautorizuara nga ndërhyrës. Rregullimi i saktë i firewall do t'ju lejojë të mbroni veten nga ky lloj hacking. Për të filluar, ne rekomandojmë vendosjen e rregullave të tilla:
- Ne shkruajmë në IPTABLE -A INPUT -P TCP - DORËZIMI 80 -M Limit - LIMITIT 20 / minutë - LIMIT-Burst 100 -j Pranoni, ku --Limit 20 / minutë është një kufi për frekuencën e rezultateve pozitive . Ju mund të specifikoni një njësi të matjes, për shembull, / sekondë, / minutë, / orë, / ditë. - Numri i ndjeshëm i numrit të paketave të zhdukura. Të gjitha vlerat ekspozohen individualisht sipas preferencave të administratorit.
- Tjetra, ju mund të ndaloni skanimin e porteve të hapura për të hequr një nga shkaqet e mundshme të hacking. Shkruani komandën e parë të sudo iptables -N.
- Pastaj specifikoni sudo iptables -A bllok-scan -p tcp -tcp-flamuj SYN, ACK, FIN, RST -M limit -lit 1 / s -j kthimit.
- Komanda e fundit e tretë është: sudo iptables - një rënie bllok-scan -j. Shprehja e bllokut në këto raste - emri i qarkut të përdorur.
Cilësimet e paraqitura sot janë vetëm baza për punën në instrumentin e kontrollit të firewall. Në dokumentacionin zyrtar të shërbimeve do të gjeni një përshkrim të të gjitha argumenteve dhe opsioneve në dispozicion dhe ju mund të konfiguroni firewall posaçërisht nën kërkesat tuaja. Mbi rregullat standarde të sigurisë, të cilat janë aplikuar më shpesh dhe në shumicën e rasteve janë të nevojshme.