Sa lahat ng mga operating system batay sa Linux kernel, mayroong built-in na firewall, gumaganap ng kontrol at pag-filter ng papasok at papalabas na trapiko, batay sa mga patakaran na tinukoy o ang platform. Sa distribusyon ng CentOS 7, ang iPtables utility ay gumaganap tulad ng isang function, nakikipag-ugnayan sa built-in netfilter firewall. Minsan ang sistema ng tagapangasiwa o network manager ay kailangang i-configure ang operasyon ng sangkap na ito, na nagreseta ng may-katuturang mga panuntunan. Bilang bahagi ng artikulo ngayon, nais naming pag-usapan ang mga pangunahing kaalaman ng pagsasaayos ng iptables sa nabanggit na OS.
I-configure ang iptables sa CentOS 7.
Ang tool mismo ay naa-access upang gumana kaagad pagkatapos makumpleto ang pag-install ng CentOS 7, ngunit kailangan pa ring mag-install ng ilang mga serbisyo, na aming sasabihin. Sa platform sa pagsasaalang-alang ay may isa pang built-in na tool na gumaganap ng firewall function na tinatawag na Firewalld. Upang maiwasan ang mga kontrahan, sa karagdagang trabaho, inirerekumenda namin ang kapansanan sa sangkap na ito. Mga pinalawak na tagubilin sa paksang ito basahin sa isa pang materyal sa sumusunod na link.Magbasa nang higit pa: Huwag paganahin ang Firewalld sa CentOS 7.
Tulad ng alam mo, ang IPv4 at IPv6 protocol ay maaaring mailapat sa system. Ngayon kami ay tumutuon sa halimbawa ng IPv4, ngunit kung nais mong i-configure para sa isa pang protocol, kakailanganin mo sa halip ng isang koponan. Iptables. sa paggamit ng console. Ip6tables.
Pag-install ng iptables.
Dapat itong maging prayoridad sa mga karagdagang bahagi ng sistema ng utility sa ilalim ng pagsasaalang-alang ngayon. Makakatulong sila sa pagtatakda ng mga patakaran at iba pang mga parameter. Ang paglo-load ay isinasagawa mula sa opisyal na repository, kaya hindi ito kumukuha ng maraming oras.
- Ang lahat ng karagdagang mga pagkilos ay gagawin sa klasikal na console, kaya patakbuhin ito sa pamamagitan ng anumang maginhawang paraan.
- Ang sudo yum install iptables-services command ay responsable para sa pag-install ng mga serbisyo. Ipasok ito at pindutin ang Enter key.
- Kumpirmahin ang Superuser account sa pamamagitan ng pagtukoy sa password mula dito. Mangyaring tandaan na kapag ang mga query sudo, ang ipinasok na mga character sa hilera ay hindi kailanman ipinapakita.
- Ito ay iminungkahi na magdagdag ng isang pakete sa system, kumpirmahin ang pagkilos na ito sa pamamagitan ng pagpili ng Y bersyon.
- Sa pagtatapos ng pag-install, suriin ang kasalukuyang bersyon ng tool: sudo iptables --version.
- Ang resulta ay lilitaw sa bagong string.
Ngayon ang OS ay ganap na handa para sa karagdagang configuration ng firewall sa pamamagitan ng iPtables utility. Iminumungkahi namin ang iyong sarili sa pagsasaayos sa mga item, simula sa pamamahala ng mga serbisyo.
Itigil at paglulunsad ng mga serbisyo ng iptables
Ang iptables mode management ay kinakailangan sa mga kaso kung saan kailangan mong suriin ang pagkilos ng ilang mga panuntunan o i-restart lamang ang bahagi. Ginagawa ito gamit ang naka-embed na mga utos.
- Ipasok ang sudo service iptables itigil at mag-click sa Enter key upang ihinto ang mga serbisyo.
- Upang kumpirmahin ang pamamaraan na ito, tukuyin ang password ng superuser.
- Kung matagumpay ang proseso, ang isang bagong string ay ipapakita, na nagpapahiwatig ng mga pagbabago sa configuration file.
- Ang paglunsad ng mga serbisyo ay ginaganap halos sa parehong paraan, lamang ang linya nakakakuha ng sudo serbisyo iptables simulan view.
Ang isang katulad na reboot, simula o paghinto ng utility ay magagamit sa anumang oras, huwag kalimutan lamang upang ibalik ang reverse value kapag ito ay sa demand.
Tingnan at tanggalin ang mga panuntunan
Tulad ng nabanggit mas maaga, ang kontrol ng firewall ay ginagampanan ng manu-manong o awtomatikong pagdaragdag ng mga panuntunan. Halimbawa, maaaring ma-access ng ilang karagdagang mga application ang tool, pagbabago ng ilang mga patakaran. Gayunpaman, ang karamihan sa mga naturang pagkilos ay tapos na pa rin. Ang pagtingin sa isang listahan ng lahat ng kasalukuyang mga panuntunan ay magagamit sa pamamagitan ng sudo iptables -L command.
Sa ipinapakita na resulta magkakaroon ng impormasyon sa tatlong kadena: "input", "output" at "forward" - papasok, papalabas at pagpapasa ng trapiko, ayon sa pagkakabanggit.
Maaari mong tukuyin ang katayuan ng lahat ng mga tanikala sa pamamagitan ng pagpasok ng sudo iptables -s.
Kung ang mga tuntunin na nakikita ay hindi nasiyahan sa iyo, sila ay tinanggal lamang. Ang buong listahan ay na-clear tulad nito: sudo iptables -f. Pagkatapos ng pag-activate, ang panuntunan ay ganap na mabubura para sa lahat ng tatlong chain.
Kapag kailangan mong makaapekto lamang sa mga patakaran mula sa ilang solong kadena, ang isang karagdagang argument ay idinagdag sa linya:
Sudo iptables -f input.
Sudo iptables -f output.
Sudo iptables -f forward.
Ang kawalan ng lahat ng mga patakaran ay nangangahulugan na walang mga setting ng pag-filter ng trapiko ay hindi ginagamit sa anumang bahagi. Susunod, ang administrator ng system ay malaya na tukuyin ang mga bagong parameter gamit ang parehong console, ang utos at iba't ibang mga argumento.
Pagtanggap at pag-drop ng trapiko sa chains.
Ang bawat kadena ay naka-configure nang hiwalay para sa pagtanggap o pagharang ng trapiko. Sa pamamagitan ng pagtatakda ng isang tiyak na kahulugan, maaari itong makamit na, halimbawa, ang lahat ng papasok na trapiko ay mai-block. Upang gawin ito, ang utos ay dapat na sudo iptables - Policy input drop, kung saan ang input ay ang pangalan ng chain, at drop ay isang discharge value.
Eksakto ang parehong mga parameter ay nakatakda para sa iba pang mga circuits, halimbawa, sudo iptables --Policy output drop. Kung kailangan mong magtakda ng isang halaga sa pagtanggap ng trapiko, pagkatapos ay ang mga pagbabago sa drop sa pagtanggap at ito ay lumiliko out sudo iptables --Policy input tanggapin.
Port resolution at lock
Tulad ng alam mo, ang lahat ng mga application ng network at mga proseso ay gumagana sa isang partikular na port. Sa pamamagitan ng pagharang o paglutas ng ilang mga address, maaari mong subaybayan ang pag-access ng lahat ng layunin ng network. Suriin natin ang port forward para sa halimbawa 80. Sa terminal, ito ay sapat na upang ipasok ang sudo iptables -a input -P TCP - DPORT 80 -J Tanggapin ang utos, kung saan-isang pagdaragdag ng isang bagong panuntunan, input - mungkahi ng Ang kadena, -P - kahulugan ng protocol sa kasong ito, ang TCP, isang - DPORT ay isang destination port.
Ang eksaktong parehong utos ay nalalapat din sa port 22, na ginagamit ng SSH service: sudo iptables -a input -P TCP - DPORT 22 -J Accept.
Upang harangan ang tinukoy na port, ang string ay ginagamit nang eksakto ang parehong uri, lamang sa dulo ng mga pagbabago sa pagtanggap sa drop. Bilang isang resulta, ito ay lumiliko, halimbawa, sudo iptables -a input -P TCP - DPORT 2450 -J drop.
Ang lahat ng mga panuntunang ito ay ipinasok sa configuration file at maaari mong tingnan ang mga ito anumang oras. Ipinaaalala namin sa iyo, ginagawa ito sa pamamagitan ng sudo iptables -l. Kung kailangan mo upang payagan ang isang network IP address sa port kasama ang port, ang string ay bahagyang binago - pagkatapos ng TPC ay idinagdag -s at ang address mismo. Sudo iptables -a input -p tcp -s 12.12.12.12/32 - Dport 22 -j tanggapin, kung saan 12.12.12.12/32 ay ang kinakailangang IP address.
Ang pagharang ay nangyayari sa parehong prinsipyo sa pamamagitan ng pagbabago sa dulo ng halaga ng pagtanggap sa drop. Pagkatapos ay lumiliko ito, halimbawa, sudo iptables -a input -p tcp -s 12.12.12.0/224 - Dport 22 -j drop.
ICMP Blocking.
ICMP (Internet Control Message Protocol) - Isang protocol na kasama sa TCP / IP at kasangkot sa pagpapadala ng mga mensahe ng error at mga emerhensiyang sitwasyon kapag nagtatrabaho sa trapiko. Halimbawa, kapag hindi available ang hiniling na server, ang tool na ito ay gumaganap ng mga function ng serbisyo. Ang iPtables utility ay nagbibigay-daan sa iyo upang i-block ito sa pamamagitan ng firewall, at maaari mong gawin ito gamit ang sudo iptables -a output -P ICMP --Ikmp-uri 8 -j drop command. I-block ang mga kahilingan mula sa iyong at sa iyong server.
Ang mga papasok na kahilingan ay naharang ng kaunti. Pagkatapos ay kailangan mong ipasok ang sudo iptables -i input -p ICMP --Ikmp-type 8 -J drop. Pagkatapos i-activate ang mga panuntunang ito, ang server ay hindi tutugon sa mga kahilingan ng ping.
Pigilan ang hindi awtorisadong pagkilos sa server
Minsan ang mga server ay napapailalim sa pag-atake ng DDoS o iba pang hindi awtorisadong pagkilos mula sa mga intruder. Ang tamang pagsasaayos ng firewall ay magbibigay-daan sa iyo upang protektahan ang iyong sarili mula sa ganitong uri ng pag-hack. Upang magsimula, inirerekumenda namin ang pagtatakda ng mga panuntunan:
- Sumulat kami sa iptables -a input -p TCP - Dport 80 -m limitasyon - lima 20 / minutong --Limit-Burst 100 -J Tanggapin, kung saan - limot na 20 / minuto ay isang limitasyon sa dalas ng positibong resulta . Maaari mong tukuyin ang isang yunit ng pagsukat sa iyong sarili, halimbawa, / segundo, / minuto, / oras, / araw. --Limit-Burst number - limitasyon sa bilang ng mga nawawalang pakete. Ang lahat ng mga halaga ay ipinakita nang isa-isa ayon sa mga kagustuhan ng administrator.
- Susunod, maaari mong ipagbawal ang pag-scan ng mga bukas na port upang alisin ang isa sa mga posibleng dahilan ng pag-hack. Ipasok ang unang sudo iptables -n block-scan command.
- Pagkatapos ay tukuyin ang sudo iptables -a block-scan -P TCP -TCP-Flags Syn, ACK, FIN, RST -M limitasyon -Limit 1 / S -J return.
- Ang huling ikatlong utos ay: sudo iptables -a block-scan -j drop. Block-scan expression sa mga kasong ito - ang pangalan ng circuit na ginamit.
Ang mga setting na ipinapakita ngayon ay lamang ang batayan para sa trabaho sa instrumento ng kontrol ng firewall. Sa opisyal na dokumentasyon ng utility makikita mo ang isang paglalarawan ng lahat ng magagamit na mga argumento at mga pagpipilian at maaari mong i-configure ang firewall partikular sa ilalim ng iyong mga kahilingan. Sa itaas ng karaniwang mga panuntunan sa seguridad, na kung saan ay madalas na inilalapat at sa karamihan ng mga kaso ay kinakailangan.