Katika mifumo yote ya uendeshaji kulingana na Kernel ya Linux, kuna firewall iliyojengwa, kufanya udhibiti na kuchuja kwa trafiki zinazoingia na zinazotoka, kulingana na sheria zilizotajwa au jukwaa. Katika usambazaji wa centso 7, matumizi ya iptables hufanya kazi hiyo, kuingiliana na firewall iliyojengwa ya Netfilter. Wakati mwingine msimamizi wa mfumo au meneja wa mtandao anapaswa kusanidi uendeshaji wa sehemu hii, akielezea sheria husika. Kama sehemu ya makala ya leo, tungependa kuzungumza juu ya misingi ya usanidi wa iptables katika OS iliyotajwa hapo juu.
Sanidi Iptables katika Cento 7.
Chombo hicho kinapatikana kufanya kazi mara moja baada ya ufungaji wa CentOS 7 kukamilika, lakini zaidi itahitaji kufunga huduma, ambazo tutazungumzia. Katika jukwaa chini ya kuzingatiwa kuna chombo kingine kilichojengwa kinachofanya kazi ya firewall inayoitwa Firewaldd. Ili kuepuka migogoro, na kazi zaidi, tunapendekeza kuzima sehemu hii. Maelekezo yaliyopanuliwa juu ya mada hii yanasoma katika nyenzo nyingine kwenye kiungo kinachofuata.Soma zaidi: Zima Firewalld katika Centos 7.
Kama unavyojua, itifaki za IPv4 na IPv6 zinaweza kutumika katika mfumo. Leo tutazingatia mfano wa IPv4, lakini ikiwa unataka kusanidi kwa itifaki nyingine, utahitaji badala ya timu. Iptables. katika matumizi ya console. IP6tables..
Kuweka Iptables.
Inapaswa kuwa kipaumbele kwa vipengele vya ziada vya mfumo wa matumizi ya chini ya kuzingatia leo. Watasaidia katika kuweka sheria na vigezo vingine. Upakiaji unafanywa kutoka kwenye hifadhi rasmi, kwa hiyo haina kuchukua muda mwingi.
- Hatua zote zaidi zitafanywa katika console ya classical, hivyo kukimbia kwa njia yoyote rahisi.
- Amri ya Sudo ya Iptables-Services ni wajibu wa kufunga huduma. Ingiza na bonyeza kitufe cha kuingia.
- Thibitisha akaunti ya Superuser kwa kutaja nenosiri kutoka kwao. Tafadhali kumbuka kwamba wakati maswali ya sudo, wahusika walioingia kwenye mstari hawajaonyeshwa kamwe.
- Itapendekezwa kuongeza mfuko mmoja kwenye mfumo, kuthibitisha hatua hii kwa kuchagua toleo la Y.
- Baada ya kukamilika kwa ufungaji, angalia toleo la sasa la chombo: sudo iptables --version.
- Matokeo yataonekana katika kamba mpya.
Sasa OS iko tayari kwa usanidi zaidi wa firewall kupitia matumizi ya iptables. Tunashauri kujitambulisha na usanidi juu ya vitu, kuanzia na huduma za kusimamia.
Kuacha na kuzindua huduma za iptables.
Usimamizi wa hali ya iptables inahitajika wakati ambapo unahitaji kuangalia hatua ya sheria fulani au tu kuanzisha upya sehemu. Hii imefanywa kwa kutumia amri zilizoingizwa.
- Ingiza iptables ya Huduma ya Sudo na bonyeza kitufe cha kuingia ili kuacha huduma.
- Ili kuthibitisha utaratibu huu, taja nenosiri la Superuser.
- Ikiwa mchakato umefanikiwa, kamba mpya itaonyeshwa, kuonyesha mabadiliko katika faili ya usanidi.
- Uzinduzi wa huduma hufanyika karibu sawa, tu mstari hupata huduma za Sudo Service Start Start View.
Reboot sawa, kuanzia au kuacha matumizi inapatikana wakati wowote, usisahau tu kurudi thamani ya nyuma wakati itakuwa katika mahitaji.
Angalia na Futa Kanuni.
Kama ilivyoelezwa mapema, udhibiti wa firewall hufanyika kwa mwongozo au kwa moja kwa moja kuongeza sheria. Kwa mfano, baadhi ya maombi ya ziada yanaweza kufikia chombo, kubadilisha sera fulani. Hata hivyo, vitendo vile vile bado vinafanyika kwa mikono. Kuangalia orodha ya sheria zote za sasa zinapatikana kupitia amri ya Sudo iptables -L.
Katika matokeo ya kuonyeshwa kutakuwa na habari juu ya minyororo mitatu: "pembejeo", "pato" na "mbele" - trafiki zinazoingia, zinazotoka na za kupeleka, kwa mtiririko huo.
Unaweza kufafanua hali ya minyororo yote kwa kuingia sudo iptables.
Ikiwa sheria zimeonekana hazina kuridhika na wewe, zinafutwa tu. Orodha nzima imeondolewa kama hii: sudo iptables -f. Baada ya uanzishaji, utawala utaondolewa kabisa kwa minyororo yote mitatu.
Wakati unahitaji kuathiri tu sera kutoka kwa mlolongo mmoja, hoja ya ziada imeongezwa kwenye mstari:
Sudo iptables -f pembejeo.
Sudo iptables -F pato.
Sudo iptables -f mbele.
Kutokuwepo kwa sheria zote kunamaanisha kuwa hakuna mipangilio ya kuchuja trafiki haitumiwi katika sehemu yoyote. Kisha, msimamizi wa mfumo atafafanua vigezo vipya kwa kutumia console sawa, amri na hoja mbalimbali.
Kupokea na kuacha trafiki katika minyororo
Kila mlolongo umewekwa tofauti kwa kupokea au kuzuia trafiki. Kwa kuweka maana fulani, inaweza kupatikana kwamba, kwa mfano, trafiki zote zinazoingia zitazuiwa. Kwa kufanya hivyo, amri lazima iwe sudo iptables - tone ya pembejeo ya pembejeo, ambapo pembejeo ni jina la mlolongo, na kushuka ni thamani ya kutokwa.
Hasa vigezo sawa vinawekwa kwa nyaya nyingine, kwa mfano, sudo iptables - tone pato pato. Ikiwa unahitaji kuweka thamani ya kupokea trafiki, basi mabadiliko ya kushuka juu ya kukubali na inageuka sudo iptables - pembejeo ya kutosha kukubali.
Azimio la Port na Lock.
Kama unavyojua, maombi yote ya mtandao na michakato hufanya kazi kupitia bandari fulani. Kwa kuzuia au kutatua anwani fulani, unaweza kufuatilia upatikanaji wa madhumuni yote ya mtandao. Hebu tuchambue bandari mbele kwa mfano 80. Katika terminal, itakuwa ya kutosha kuingia sudo iptables-kuingia -P tcp --dport 80 -J kukubali amri, ambapo - kuongeza utawala mpya, pembejeo - pendekezo la Ufafanuzi, -P - ufafanuzi wa itifaki katika kesi hii, TCP, A --DPORT ni bandari ya marudio.
Hasa amri hiyo pia inatumika kwa bandari 22, ambayo hutumiwa na huduma ya SSH: sudo iptables -A kuingiza -P tcp --dport 22 -J kukubali.
Ili kuzuia bandari maalum, kamba hutumiwa hasa aina hiyo, tu mwisho wa Kukubali mabadiliko ya kushuka. Matokeo yake, inageuka, kwa mfano, sudo iptables-kuingia -p tcp --dport 2450 -j tone.
Sheria hizi zote zimeingia kwenye faili ya usanidi na unaweza kuwaona wakati wowote. Tunakukumbusha, hufanyika kupitia Sudo Iptables -l. Ikiwa unahitaji kuruhusu anwani ya IP ya mtandao na bandari pamoja na bandari, kamba imebadilishwa kidogo - baada ya TPC imeongezwa-na anwani yenyewe. Sudo iptables -A Input -p TCP -S 12.12.12.12/32 --DPORT 22 -J Kukubali, ambapo 12.12.12.12/32 ni anwani ya IP muhimu.
Kuzuia hutokea kwa kanuni sawa na kubadilisha mwisho thamani ya kukubali kwenye tone. Kisha inageuka, kwa mfano, sudo iptables -A input -p tcp -s 12.12.12.0/224 --DPORT 22 -J Drop.
ICMP kuzuia.
ICMP (Itifaki ya Ujumbe wa Internet) - Itifaki ambayo imejumuishwa katika TCP / IP na inahusishwa katika kupeleka ujumbe wa kosa na hali ya dharura wakati wa kufanya kazi na trafiki. Kwa mfano, wakati seva iliyoombwa haipatikani, chombo hiki kinafanya kazi za huduma. Huduma ya iptables inakuwezesha kuizuia kupitia firewall, na unaweza kuifanya kutumia sudo iptables -A pato -P ICMP --ICMP-Aina ya 8 -J Amri. Itazuia maombi kutoka kwa seva yako na kwa seva yako.
Maombi yanayoingia yanazuiwa tofauti kidogo. Kisha unahitaji kuingia sudo iptables -Ni Input -P ICMP --ICMP-Aina 8 -J Drop. Baada ya kuanzisha sheria hizi, seva haitashughulikia maombi ya ping.
Zuia vitendo visivyoidhinishwa kwenye seva
Wakati mwingine seva zinakabiliwa na mashambulizi ya DDO au vitendo vingine visivyoidhinishwa kutoka kwa wahusika. Marekebisho sahihi ya firewall itawawezesha kujilinda kutokana na aina hii ya hacking. Kuanza na, tunapendekeza kuweka sheria hizo:
- Tunaandika katika iptables-INPUT -P TCP --DPORT 80 -M Limit --Limit 20 / Dakika --Limit-Burst 100 -J kukubali, ambapo --Limita 20 / dakika ni kikomo juu ya mzunguko wa matokeo mazuri . Unaweza kutaja kitengo cha kipimo mwenyewe, kwa mfano, / pili, / dakika, / saa, / siku. - Nambari ya kupasuka - kikomo juu ya idadi ya paket kukosa. Maadili yote yanaonyeshwa kwa kila mmoja kulingana na mapendekezo ya msimamizi.
- Kisha, unaweza kuzuia skanning ya bandari wazi ili kuondoa moja ya sababu zinazowezekana za hacking. Ingiza amri ya kwanza ya Sudo Iptables -n Block-Scan.
- Kisha taja sudo iptables-block-scan -p tcp -tcp-bendera syn, ACK, FIN, RST -M -Limit 1 / s -j kurudi.
- Amri ya mwisho ya tatu ni: sudo iptables-kuacha-scan -j tone. Kumbukumbu ya kuzuia-scan katika kesi hizi - jina la mzunguko uliotumiwa.
Mipangilio iliyoonyeshwa leo ni msingi tu wa kazi katika chombo cha kudhibiti cha firewall. Katika nyaraka rasmi za matumizi utapata maelezo ya hoja zote zilizopo na chaguo na unaweza kusanidi firewall hasa chini ya maombi yako. Juu ya sheria za kawaida za usalama, ambazo hutumiwa mara nyingi na katika hali nyingi zinahitajika.