CentdoS 7-dagi sozlash

Linux yadrosiga asoslangan barcha operatsion tizimlarda o'rnatilgan xavfsizlik devori mavjud bo'lib, u ko'rsatilgan yoki platformadagi qoidalar asosida kiruvchi va chiquvchi trafikni boshqarish va filtrlashni amalga oshirish. Centd 7 tarqatish paytida IPTUBEDTAD dasturlari bunday funktsiyani amalga oshiradi, o'rnatilgan netfilter xavfsizlik devori bilan o'zaro aloqada bo'ladi. Ba'zida tizim ma'muri yoki tarmoq menejeri tegishli qoidalarni belgilangan komponentning ishlashini sozlashi kerak. Bugungi maqola doirasida biz yuqorida aytib o'tilgan OT-dagi IPTUBUS konfiguratsiyasining asoslari haqida gaplashmoqchimiz.

CentdoS 7-da IPTPTBE-ni sozlang

Tanlov 7-ni o'rnatgandan so'ng, asbobning o'zi darhol ishlash mumkin, ammo bundan keyin biz suhbatlashadigan ba'zi xizmatlarni o'rnatish kerak. Ko'rib chiqilayotgan platformada yana bir o'rnatilgan asbob mavjud bo'lib, u xavfsizlik devori deb nomlangan xavfsizlik devori funktsiyasini bajaradi. Qo'shimcha ish bilan mojarolarning oldini olish uchun biz ushbu komponentni o'chirib qo'yamiz. Ushbu mavzuni boshqa materialda quyidagi materiallarda o'qish bo'yicha ko'rsatmalar.

Batafsil: CentdoS 7-da xavfsizlik devori o'chiring

Ma'lumki, tizimda IPv4 va IPv6 protokollari qo'llanilishi mumkin. Bugun biz IPv4 misoliga e'tibor qaratamiz, ammo agar siz boshqa protokolni sozlashni istasangiz, siz jamoaning o'rniga sizga kerak bo'ladi. Iptables. Konsoldan foydalanishda IP6TUPLAR.

IPTUBTLARNI o'rnatish

Bu bugungi kunda ko'rib chiqilayotgan yordamchining qo'shimcha tarkibiy qismlarini ustuvor ahamiyatga ega bo'lishi kerak. Ular qoidalar va boshqa parametrlarni o'rnatishda yordam beradi. Yuklash rasmiy ombordan amalga oshiriladi, shuning uchun ko'p vaqt talab qilinmaydi.

Keyingi harakatlar klassik konsolda amalga oshiriladi, shuning uchun har qanday qulay usul bilan harakat qiling.

Terminalni soat 7-yilda IPTUBE dasturlarini sozlash uchun boshlash

SUDO YUM IPTables-Xizmatlar buyrug'i xizmatlarni o'rnatish uchun javobgardir. Uni kiriting va ENTER tugmasini bosing.

CentdoS 7-da IPTUBE dasturlarini o'rnatish

Superuser hisobini tasdiqlovchi parolni tasdiqlang. E'tibor bering, so'rovlar sudoer-da, qatordagi kiritilgan belgilar hech qachon ko'rsatilmaydi.

Terminal orqali Centos 7-dagi IMPTUTS-ni o'rnatish uchun parolni kiriting

Bu tizimga bitta paketni qo'shish taklif etiladi, bu harakatni y versiyasini tanlab tasdiqlaydi.

CentdoS 7-da IPTUBBUS XIZMATLAR paketlarini qo'shish tasdiqlandi

O'rnatish tugaganidan so'ng, asbobning mavjud versiyasini tekshiring: sudo iptellteber - -

Terminal orqali Centos 7-dagi IPTUBSning 7-chi versiyasining versiyasini tekshirish

Natijada yangi satrda paydo bo'ladi.

Terminal orqali Centos 7-dagi IPTUPTBET dasturlarining joriy versiyasini namoyish qilish

Endi OS IPTUBE dasturlari orqali xavfsizlik devorining keyingi konfiguratsiyasiga to'liq tayyor. Biz boshqaruv xizmatlaridan boshlab o'zingizning buyumlardagi konfiguratsiya bilan tanishishni taklif qilamiz.

O'tkazish va IPTUBE xizmatlarini ishga tushirish

IPTUTSETSET MODE MARKAZI MUHOFAZA QILISh UChUN MUHIM QABUL QOIDALARINI KO'RSATIShINGIZ yoki komponentni qayta yoqish kerak bo'lgan hollarda talab qilinadi. Bu o'rnatilgan buyruqlar yordamida amalga oshiriladi.

SUDE XUSUSIY IPTUBETTBETBETBETBESS-ni kiriting va xizmatlarni to'xtatish uchun Enter tugmachasini bosing.

Terminal orqali Centos 7-dagi yordam xizmatlarini to'xtatish

Ushbu protsedurani tasdiqlash uchun Superuser parolini ko'rsating.

CentdoS 7-da ITPTUBT yordamida yordam dasturini parolimga kirish

Agar jarayon muvaffaqiyatli bo'lsa, konfiguratsiya faylidagi o'zgarishlarni ko'rsatadigan yangi satr namoyish etiladi.

STEPTPETTETTETS STRESSESS 7-da AMTPTBESSA

Xizmatlarning ishga tushirilishi deyarli bir xil tarzda amalga oshiriladi, faqat satr sudoer servis ipptellsni boshlashni amalga oshiradi.

Terminalda CentdoS 7-da IPTUBE kommunal xizmatlarini boshqaring

Shu kabi qayta ishga tushirish, yordamchi dasturni istalgan vaqtda olish yoki to'xtatish har qanday vaqtda, uni talabga binoan qaytarishni unutmang.

Qoidalarni ko'rish va o'chirish

Yuqorida aytib o'tilganidek, xavfsizlik devori nazorati qo'lda yoki avtomatik ravishda qoidalarni qo'shish orqali amalga oshiriladi. Masalan, ba'zi qo'shimcha dasturlar ba'zi bir siyosatlarni o'zgartirib, vositalarga kirishi mumkin. Biroq, bunday harakatlar hali ham qo'lda bajariladi. Barcha amaldagi qoidalar ro'yxatini ko'rish sud ixtiyoriy -l buyrug'i orqali mavjud.

CentdoS 7-dagi barcha Adaptlarning barcha IPPTBES qoidalarining ro'yxatini ko'rsatish

Ko'rsatilgan natijada uchta zanjirlar: "Kirish", "Chiqish" va "oldinga" va mos ravishda "kirish, chiqish va yo'naltirishlar.

Qoidalarning 7-sentyabrida barcha Qoidalar yordami ro'yxatini ko'rish

Siz sudda iPTUPTBUTSES-ga kirib, barcha zanjir holatini aniqlay olasiz.

CentdoS 7-dagi IPTUPSESTUMLARNING RO'YXATLARI ro'yxatini ko'rsatish

Agar ko'rilgan qoidalar sizdan qoniqmasa, ular shunchaki o'chiriladi. Barcha ro'yxat shu kabi tozalanadi: sudo ixtiyoriy -F. Ulanishdan so'ng, qoida barcha uchta zanjir uchun mutlaqo o'chiriladi.

Centos 7-dagi barcha qoidalarning barcha qoidalarining aniq ro'yxati

Faqat bir nechta zanjirning siyosatiga ta'sir qilish kerak bo'lganda, qo'shimcha dalil kiritiladi:

Sudo iptabebsulot -F kirish

Sudo iptabebe -F chiqishi

Sudo ixtiyoriy - oldinga

CentdoS 7-da maxsus iPustab mahsulotlar zanjiri uchun qoidalar ro'yxatini tozalang

Barcha qoidalarning yo'qligi hech qanday trafikni filtrlash sozlamalari hech qanday qismida ishlatilmaydi. Keyinchalik tizim ma'muri bir xil konsoldan foydalangan holda yangi parametrlarni, buyruq va turli dalillarni belgilaydi.

Zanjirlarda trafikni qabul qilish va tushirish

Har bir zanjir trafikni qabul qilish yoki to'sish uchun alohida konfiguratsiya qilinadi. Muayyan ma'noni belgilab, bunga erishish mumkin, masalan, barcha kiruvchi trafik bloklanadi. Buning uchun bu buyruq subkaty ipptectsion tushishi kerak, bu erda kirish zanjirning nomi bo'lgan va tomchi oqindi qiymatidir.

Kandod 7-da yordamchi dasturlarda kiruvchi so'rovlarni tiklash

Aynan bir xil parametrlar boshqa ayirboshlash uchun, masalan, sudo iPTPTables-SuPolicy Aspartambor ekish. Agar siz trafikni olish uchun qiymatni belgilashingiz kerak bo'lsa, unda qabul qilishda tomchi o'zgarishlar o'zgaradi va u sudda iPTPTables-ni qabul qiladi.

Portning o'lchamlari va qulfi

Ma'lumki, barcha tarmoq arizalari va jarayonlar ma'lum port orqali ishlaydi. Muayyan manzillarni blokirovka qilish yoki hal qilish orqali siz barcha tarmoq maqsadlari mavjudligini kuzatishingiz mumkin. Keling, portni misol bo'yicha tahlil qilaylik. Terminalda Su a Sta IPPTSTSUSSSES-ga kirish kifoya, bu erda yangi qoida, kirish - taklifni qo'shish buyrug'i Zanjir, -p - bu holatda protokol ta'rifi, TCP, A --Sport manzil porti.

Centos 7-dagi IPTUBE dasturlarida 80 portni ochish qoidasi

Xuddi shu buyruq 22-bandda qo'llaniladigan 22-portga ham tegishli: SSH xizmati tomonidan qo'llaniladi - Sudo Ipptabe -p TCP -Dport 22 -J qabul qiling.

Ketdod 7-da yordam dasturida 22-portni ochish uchun qoida

Belgilangan portni blokirovka qilish uchun satr aynan bir xil turdagi, faqat qabul qilingan o'zgarishlar tugashiga olib keladi. Natijada, u, masalan, sudo ixtiyoriy -Amp -p tcp-chet - 2450 -J pasayishi.

Port-7-senta-da yordam dasturida portni taqiqlashda qoida

Ushbu qoidalarning barchasi konfiguratsiya fayliga kiritilgan va siz ularni istalgan vaqtda ko'rishingiz mumkin. Sizga eslatib o'tamiz, u sudo iptptabes -l orqali amalga oshiriladi. Agar siz port bilan birga bo'lgan IP manziliga qo'nma bilan birgalikda qo'nma bilan birga bo'lishingiz kerak bo'lsa, satr biroz o'zgartirilgan - TPC qo'shilgandan keyin va manzilning o'zi. Sudo ipptabebsulot -A kiritilgan -S-lar 12.12.12.12/32 - 2002 - XX.

IP manzillari va IP manzillarini qabul qilish qoidasi

Bloklash bir xil printsipda pasayish qiymati tugashining qiymati tugashi bilan bir xil printsipda sodir bo'ladi. Keyin u, masalan, sudo ipptables -A kiritilgan -Appab mahsulotlari 12.12.12.0/224 - Drop.

IP manzillarni blokirovka qilish va IP-manzillar portidagi CentdoS 7-da

ICMP blokirovka

ICMP (Internetni boshqarish xabarlari protokoli) - TCP / IP-ga kiritilgan protokol va transport xabarlari xabarlarini va favqulodda vaziyatlarda trafik bilan ishlashda ishtirok etadigan protokol. Masalan, so'ralgan server mavjud bo'lmaganda, ushbu vositani xizmat vazifalarini bajaradi. IPTUBS yordam dasturi uni xavfsizlik devori orqali blokirovka qilish imkonini beradi va siz uni sudo ipptabe-i iCMP -p-ICMP-ICMP-ptactmp-drip-drip-tipidagi - tushirish buyrug'i yordamida amalga oshirishingiz mumkin. Bu sizning serveringiz va serveringiz so'rovlarini blokirovka qiladi.

IPTUBESS-pleyabe-ni bloklash uchun birinchi qoida

Kiruvchi so'rovlar biroz boshqacha bloklanadi. Keyin siz SUDO IPTUPSTSESSES-ICMP-ICMP-ICMP-ICMP-ICMP-&p drop-tipiga kirishingiz kerak. Ushbu qoidalarni faollashtirgandan so'ng, server Ping so'rovlariga javob bermaydi.

Impton-dagi IPTUT-ptell-dagi 1-CENTAS-ppell-dagi ikkinchi qoida

Serverda ruxsatsiz harakatlarning oldini olish

Ba'zida serverlar DDUS hujumlariga yoki boshqa ruxsatsiz harakatlarga duch kelishadi. Xavfsizlik devori sizni bunday xakerlikdan himoya qilishga imkon beradi. Boshlash uchun biz bunday qoidalarni o'rnatishni tavsiya etamiz:

Biz IPPTSESS-da yozamiz - Kirple -Dport - 20-daqiqada - 20-daqiqada - 20 / daqiqada - 20/ daqiqa - bu ijobiy natijalarning cheklanishidir . Siz o'zingizni o'lchash birligini o'zingiz, masalan, / ikkinchi, / daqiqasi, / kun / kunni belgilashingiz mumkin. - Burst raqami - etishmayotgan paketlar soniga cheklovlar. Barcha qadriyatlar administrator imtiyozlariga binoan alohida namoyish etiladi.

Keyinchalik, xakerlikning mumkin bo'lgan sabablaridan birini olib tashlash uchun ochiq portlarni skanerlashni taqiqlashingiz mumkin. Birinchi sudo iPTUTS-ga kiring -n blokirovka buyrug'i.

CentdoS 7-da iPTUPS portlarini taqiqlash uchun birinchi qoida

Keyin Su a iPptabe -A-ni blokirovka-skaner-bayroq-scp-bayroqlari Syc, Ack, Fin, RST -M Limit -M Limit -M Limit -M Limit -M Limit -M Limit -M Limit -M Limit-2-ning qaytishini belgilang.

CentdoS 7-da ISPTUTS portlarini taqiqlash uchun ikkinchi qoida

Oxirgi uchinchi buyruq: SUDO IPTUSBETSESA-SCAN-SCAN -J pasayishi. Ushbu holatlarda skanerlash ifodasi - ishlatiladigan ayirboshlashning nomi.

Skanerlarning 7-skanerlarining skanerlari portini blokirovka qilish uchun uchinchi qoida

Bugungi kunda ko'rsatilgan sozlamalar faqat xavfsizlik devori boshqarish vositasidagi ish uchun asosdir. Kommunal dasturning rasmiy hujjatlarida siz barcha mavjud argumentlar va variantlarning tavsifini topasiz va siz o'zingizning so'rovingiz ostida xavfsizlik devorini sozlashingiz mumkin. Ko'pincha qo'llaniladigan va ko'p hollarda talab qilinadigan standart xavfsizlik qoidalaridan yuqori.