Linux çekirdeğine dayanan tüm işletim sistemlerinde, belirtilen kurallara veya platformlara dayanarak gelen ve giden trafiğin kontrolünü ve filtrelemesini gerçekleştiren yerleşik bir güvenlik duvarı vardır. CentOS 7 dağıtımında, IPTables yardımcı programı, dahili NetFilter güvenlik duvarıyla etkileşime girerek böyle bir işlevi yerine getirir. Bazen sistem yöneticisi veya ağ yöneticisi, bu bileşenin çalışmasını yapılandırmalı, ilgili kuralları reçete ediyor. Günümüzün makalesinin bir parçası olarak, yukarıda belirtilen işletim sisteminin iPtables yapılandırmasının temelleri hakkında konuşmak istiyoruz.
CentOS 7'de IPTables Yapılandırma
CentOS 7'nin kurulmasından hemen sonra aracın kendisi işe erişilebilir, ancak ayrıca konuşacağımız bazı hizmetleri yüklemeniz gerekecektir. Dikkate alınan platformda, Firewalld adlı güvenlik duvarı işlevini gerçekleştiren başka bir yerleşik araç var. Çatışmaları önlemek için, daha fazla işle, bu bileşeni devre dışı bırakmanızı öneririz. Bu konuda genişletilmiş talimatlar Aşağıdaki linkte başka bir malzemede okunur.Devamını oku: CentOS 7'deki güvenlik duvarını devre dışı bırak
Bildiğiniz gibi, sistemde IPv4 ve IPv6 protokolleri uygulanabilir. Bugün IPv4 örneğine odaklanacağız, ancak başka bir protokol için yapılandırmak istiyorsanız, bir takım yerine ihtiyacınız olacaktır. Iptables. konsol kullanımında IP6Tables.
İPtables Yükleme
Bugün göz önünde bulundurulan yardımcı programın sistem ek bileşenlerine öncelik olmalıdır. Kuralların ve diğer parametrelerin ayarlanmasında yardımcı olacaklar. Yükleme, resmi depodan gerçekleştirilir, bu yüzden fazla zaman almaz.
- Tüm diğer işlemler klasik konsolda yapılacaktır, bu nedenle herhangi bir uygun yöntemle çalıştırın.
- Sudo Yum Yükleme Iptables-Services komutu hizmetleri kurmaktan sorumludur. Girin ve ENTER tuşuna basın.
- Şifreyi onaylayarak Superuser hesabını onaylayın. Sorular SUDO'yu, satırdaki girilen karakterlerin asla gösterilmediğini lütfen unutmayın.
- Sisteme bir paket eklenmesi önerilecektir, Y sürümünü seçerek bu işlemi onaylayın.
- Kurulumun tamamlanmasından sonra, aracın geçerli sürümünü kontrol edin: sudo iPtables - inversion.
- Sonuç yeni dizede görünecektir.
Şimdi işletim sistemi, güvenlik duvarının IPTables yardımcı programından daha fazla yapılandırması için tamamen hazırdır. Yönetim hizmetleriyle başlayan öğelerdeki konfigürasyon ile kendinizi tanıdıklarız.
Iptables hizmetlerini durdurma ve başlatma
IPTables Modu yönetimi, belirli kuralların etkisini kontrol etmeniz veya bileşeni yeniden başlatmanız gereken durumlarda gereklidir. Bu, gömülü komutlar kullanılarak yapılır.
- SUDO HİZMETİ İPTABALARI STOP'u girin ve hizmetleri durdurmak için Enter tuşuna tıklayın.
- Bu prosedürü onaylamak için Superuser şifresini belirtin.
- İşlem başarılı olursa, yapılandırma dosyasındaki değişiklikleri gösteren yeni bir dize görüntülenecektir.
- Hizmetlerin piyasaya sürülmesi neredeyse aynı şekilde yapılır, yalnızca satır sudo servis iPtables'ü başlatma görünümünü satın alır.
Benzer bir yeniden başlatma, yardımcı programın çalıştırılması veya durdurulması herhangi bir zamanda mevcuttur, sadece talepte olduğu zaman geri döner değerini iade etmeyi unutmayın.
Kuralları görüntüleyin ve silin
Daha önce de belirtildiği gibi, güvenlik duvarının kontrolü manuel olarak gerçekleştirilir veya otomatik olarak kurallar eklenir. Örneğin, bazı ek uygulamalar araca erişebilir, belirli politikaları değiştirebilir. Ancak, bu tür eylemlerin çoğu hala elle yapılır. Tüm mevcut kuralların listesini görüntüleme Sudo Iptables -L komutu ile kullanılabilir.
Görüntülenen sonuçta, üç zincir hakkında bilgi olacaktır: "Giriş", "Çıktı" ve "İleri" - Gelen, Giden ve İletme Trafiği sırasıyla.
Sudo Iptables -S'e girerek tüm zincirlerin durumunu tanımlayabilirsiniz.
Görülen kurallar sizinle memnun değilse, sadece silinmişlerdir. Tüm liste şöyle temizlenir: sudo iptables -f. Aktivasyondan sonra, kural üç zincir için kesinlikle silinir.
Sadece bazı tek bir zincirdeki politikaları etkilemeniz gerektiğinde, satıra ek bir argüman eklenir:
Sudo iptables -f girişi
Sudo iptables -f çıkışı
Sudo iptables -f ileri
Tüm kuralların yokluğu, herhangi bir bölümde trafik filtreleme ayarlarının kullanılmadığı anlamına gelir. Daha sonra, sistem yöneticisi aynı konsolu, komutu ve çeşitli argümanları kullanarak yeni parametreleri bağımsız olarak belirleyecektir.
Zincirlerde trafiği alma ve bırakma
Her zincir, trafiği almak veya engellemek için ayrı ayrı yapılandırılmıştır. Belli bir anlam belirleyerek, örneğin, gelen tüm trafiğin engelleneceği sağlanabilir. Bunu yapmak için, komutun sudo iPtables --policy giriş damlası olmalıdır, burada giriş zincirin adıdır ve damla boşaltma değeridir.
Tam olarak aynı parametreler diğer devreler için ayarlanır, örneğin, Sudo Iptables --Policy çıkış düşüşü. Trafiği almak için bir değer belirlemeniz gerekirse, daha sonra kabul edilen değişiklikler kabul edilir ve Sudo Iptables --Policy giriş kabulü açar.
Port çözünürlüğü ve kilit
Bildiğiniz gibi, tüm ağ uygulamaları ve işlemleri belirli bir bağlantı noktasıyla çalışır. Belirli adresleri engelleyerek veya çözerek, tüm ağ amacıyla erişimi izleyebilirsiniz. Portu Örnek 80'i öne çıkaralım. Terminalde, terminalde, sudo iPtables'a girmek için yeterli olacaktır - bir giriş -P TCP - PROTS 80 -J kabul komutu, nerede -a - yeni bir kural ekleme, giriş - önerisi Zincir, -P - Protokol Tanımı Bu durumda, TCP, A --DPORT bir hedef bağlantı noktasıdır.
Tam olarak aynı komut, SSH servisi tarafından kullanılan Port 22 için de geçerlidir: sudo iPtables -a Giriş -P TCP --DPORT 22 -J kabul.
Belirtilen bağlantı noktasını engellemek için, dize tam olarak aynı türde kullanılır, yalnızca kabul edilecek kabul değişikliklerinin sonunda. Sonuç olarak, örneğin, Sudo Iptables -a Giriş -P TCP --DPORT 2450 -J Bırak.
Tüm bu kurallar yapılandırma dosyasına girilir ve istediğiniz zaman görüntüleyebilirsiniz. Size hatırlatıyoruz, sudo iptables -L ile yapıldığını. Bağlantı noktasıyla birlikte bağlantı noktasına sahip bir ağ IP adresine izin vermeniz gerekirse, dize biraz değiştirilir - TPC eklendikten sonra ve adresin kendisi. Sudo Iptables -a Giriş -P TCP -S 12.12.12.12/32 - PRIT 22 -J Kabul, burada 12.12.12.12/32 gerekli IP adresidir.
Bloking, sonda kabul ederek aynı prensipte meydana gelir. Sonra ortaya çıktı, örneğin, Sudo Iptables -a giriş -P TCP -S 12.12.12.0/224 --dport 22 -J Bırak.
ICMP Blokaj
ICMP (İnternet Kontrol Mesaj Protokolü) - TCP / IP'de bulunan ve trafikle çalışırken hata mesajlarını ve acil durum durumlarını iletmeye dahil olan bir protokol. Örneğin, istenen sunucu kullanılamadığında, bu araç servis fonksiyonlarını gerçekleştirir. İPTables yardımcı programı, güvenlik duvarı boyunca engellemenizi sağlar ve sudo iptables -a çıkış -P ICMP --ICMP tipi 8 -J Drop komutunu kullanarak yapabilirsiniz. Sunucunuzdan ve sunucunuzdan gelen istekleri engelleyecektir.
Gelen talepler biraz farklı engellenir. Ardından, sudo iptables -i girişini girmeniz gerekir. Bu kuralları etkinleştirdikten sonra, sunucu ping isteklerine cevap vermez.
Sunucuda yetkisiz eylemleri önleyin
Bazen sunucular DDOS saldırılarına veya davetsiz misafirlerden yetkisiz diğer eylemlere tabi tutulur. Güvenlik duvarının doğru şekilde ayarlanması, kendinizi bu tür bir hacklemeden korumanıza izin verecektir. Başlamak için, bu tür kuralları ayarlamanızı öneririz:
- Iptables'a yazıyoruz - bir giriş -P TCP --dport 80 -m limit --limit 20 / dakika - Limit-Patch 100 -J Kabul, burada --limit 20 / dakika olumlu sonuçların sıklığı üzerindeki bir sınırdır . Bir ölçüm birimini kendiniz, örneğin, / saniye / dakika / saat / gün belirleyebilirsiniz. --Limit-Serig Sayı - Kayıp paketlerin sayısını sınırlayın. Tüm değerler, yönetici tercihlerine göre bireysel olarak sergilenir.
- Daha sonra, açık bağlantı noktalarının taranmasını yasaklamanın olası nedenlerinden birini kaldırmak için yasaklayabilirsiniz. İlk Sudo Iptables -N BLOCK-SCAN komutunu girin.
- Sonra sudo iptables -a blok-taraması -P TCP -TCP-Flags SYN, ACK, Fin, RST -M Sınırı -Limit 1 / s -J dönüşünü belirtin.
- Son üçüncü komut şudur: sudo iPtables - Block-scan -j damla. Bu durumlarda blok tarama ifadesi - kullanılan devrenin adı.
Bugün gösterilen ayarlar, güvenlik duvarının kontrol cihazındaki çalışmanın temelidir. Yardımcı programın resmi belgelerinde, mevcut tüm argümanların ve seçeneklerin bir açıklamasını bulacaksınız ve güvenlik duvarını özellikle istekleriniz kapsamında yapılandırabilirsiniz. En sık uygulanan standart güvenlik kurallarının üstünde ve çoğu durumda gereklidir.