Linux yadrosiga asoslangan barcha operatsion tizimlarda o'rnatilgan xavfsizlik devori mavjud bo'lib, u ko'rsatilgan yoki platformadagi qoidalar asosida kiruvchi va chiquvchi trafikni boshqarish va filtrlashni amalga oshirish. Centd 7 tarqatish paytida IPTUBEDTAD dasturlari bunday funktsiyani amalga oshiradi, o'rnatilgan netfilter xavfsizlik devori bilan o'zaro aloqada bo'ladi. Ba'zida tizim ma'muri yoki tarmoq menejeri tegishli qoidalarni belgilangan komponentning ishlashini sozlashi kerak. Bugungi maqola doirasida biz yuqorida aytib o'tilgan OT-dagi IPTUBUS konfiguratsiyasining asoslari haqida gaplashmoqchimiz.
CentdoS 7-da IPTPTBE-ni sozlang
Tanlov 7-ni o'rnatgandan so'ng, asbobning o'zi darhol ishlash mumkin, ammo bundan keyin biz suhbatlashadigan ba'zi xizmatlarni o'rnatish kerak. Ko'rib chiqilayotgan platformada yana bir o'rnatilgan asbob mavjud bo'lib, u xavfsizlik devori deb nomlangan xavfsizlik devori funktsiyasini bajaradi. Qo'shimcha ish bilan mojarolarning oldini olish uchun biz ushbu komponentni o'chirib qo'yamiz. Ushbu mavzuni boshqa materialda quyidagi materiallarda o'qish bo'yicha ko'rsatmalar.Batafsil: CentdoS 7-da xavfsizlik devori o'chiring
Ma'lumki, tizimda IPv4 va IPv6 protokollari qo'llanilishi mumkin. Bugun biz IPv4 misoliga e'tibor qaratamiz, ammo agar siz boshqa protokolni sozlashni istasangiz, siz jamoaning o'rniga sizga kerak bo'ladi. Iptables. Konsoldan foydalanishda IP6TUPLAR.
IPTUBTLARNI o'rnatish
Bu bugungi kunda ko'rib chiqilayotgan yordamchining qo'shimcha tarkibiy qismlarini ustuvor ahamiyatga ega bo'lishi kerak. Ular qoidalar va boshqa parametrlarni o'rnatishda yordam beradi. Yuklash rasmiy ombordan amalga oshiriladi, shuning uchun ko'p vaqt talab qilinmaydi.
- Keyingi harakatlar klassik konsolda amalga oshiriladi, shuning uchun har qanday qulay usul bilan harakat qiling.
- SUDO YUM IPTables-Xizmatlar buyrug'i xizmatlarni o'rnatish uchun javobgardir. Uni kiriting va ENTER tugmasini bosing.
- Superuser hisobini tasdiqlovchi parolni tasdiqlang. E'tibor bering, so'rovlar sudoer-da, qatordagi kiritilgan belgilar hech qachon ko'rsatilmaydi.
- Bu tizimga bitta paketni qo'shish taklif etiladi, bu harakatni y versiyasini tanlab tasdiqlaydi.
- O'rnatish tugaganidan so'ng, asbobning mavjud versiyasini tekshiring: sudo iptellteber - -
- Natijada yangi satrda paydo bo'ladi.
Endi OS IPTUBE dasturlari orqali xavfsizlik devorining keyingi konfiguratsiyasiga to'liq tayyor. Biz boshqaruv xizmatlaridan boshlab o'zingizning buyumlardagi konfiguratsiya bilan tanishishni taklif qilamiz.
O'tkazish va IPTUBE xizmatlarini ishga tushirish
IPTUTSETSET MODE MARKAZI MUHOFAZA QILISh UChUN MUHIM QABUL QOIDALARINI KO'RSATIShINGIZ yoki komponentni qayta yoqish kerak bo'lgan hollarda talab qilinadi. Bu o'rnatilgan buyruqlar yordamida amalga oshiriladi.
- SUDE XUSUSIY IPTUBETTBETBETBETBESS-ni kiriting va xizmatlarni to'xtatish uchun Enter tugmachasini bosing.
- Ushbu protsedurani tasdiqlash uchun Superuser parolini ko'rsating.
- Agar jarayon muvaffaqiyatli bo'lsa, konfiguratsiya faylidagi o'zgarishlarni ko'rsatadigan yangi satr namoyish etiladi.
- Xizmatlarning ishga tushirilishi deyarli bir xil tarzda amalga oshiriladi, faqat satr sudoer servis ipptellsni boshlashni amalga oshiradi.
Shu kabi qayta ishga tushirish, yordamchi dasturni istalgan vaqtda olish yoki to'xtatish har qanday vaqtda, uni talabga binoan qaytarishni unutmang.
Qoidalarni ko'rish va o'chirish
Yuqorida aytib o'tilganidek, xavfsizlik devori nazorati qo'lda yoki avtomatik ravishda qoidalarni qo'shish orqali amalga oshiriladi. Masalan, ba'zi qo'shimcha dasturlar ba'zi bir siyosatlarni o'zgartirib, vositalarga kirishi mumkin. Biroq, bunday harakatlar hali ham qo'lda bajariladi. Barcha amaldagi qoidalar ro'yxatini ko'rish sud ixtiyoriy -l buyrug'i orqali mavjud.
Ko'rsatilgan natijada uchta zanjirlar: "Kirish", "Chiqish" va "oldinga" va mos ravishda "kirish, chiqish va yo'naltirishlar.
Siz sudda iPTUPTBUTSES-ga kirib, barcha zanjir holatini aniqlay olasiz.
Agar ko'rilgan qoidalar sizdan qoniqmasa, ular shunchaki o'chiriladi. Barcha ro'yxat shu kabi tozalanadi: sudo ixtiyoriy -F. Ulanishdan so'ng, qoida barcha uchta zanjir uchun mutlaqo o'chiriladi.
Faqat bir nechta zanjirning siyosatiga ta'sir qilish kerak bo'lganda, qo'shimcha dalil kiritiladi:
Sudo iptabebsulot -F kirish
Sudo iptabebe -F chiqishi
Sudo ixtiyoriy - oldinga
Barcha qoidalarning yo'qligi hech qanday trafikni filtrlash sozlamalari hech qanday qismida ishlatilmaydi. Keyinchalik tizim ma'muri bir xil konsoldan foydalangan holda yangi parametrlarni, buyruq va turli dalillarni belgilaydi.
Zanjirlarda trafikni qabul qilish va tushirish
Har bir zanjir trafikni qabul qilish yoki to'sish uchun alohida konfiguratsiya qilinadi. Muayyan ma'noni belgilab, bunga erishish mumkin, masalan, barcha kiruvchi trafik bloklanadi. Buning uchun bu buyruq subkaty ipptectsion tushishi kerak, bu erda kirish zanjirning nomi bo'lgan va tomchi oqindi qiymatidir.
Aynan bir xil parametrlar boshqa ayirboshlash uchun, masalan, sudo iPTPTables-SuPolicy Aspartambor ekish. Agar siz trafikni olish uchun qiymatni belgilashingiz kerak bo'lsa, unda qabul qilishda tomchi o'zgarishlar o'zgaradi va u sudda iPTPTables-ni qabul qiladi.
Portning o'lchamlari va qulfi
Ma'lumki, barcha tarmoq arizalari va jarayonlar ma'lum port orqali ishlaydi. Muayyan manzillarni blokirovka qilish yoki hal qilish orqali siz barcha tarmoq maqsadlari mavjudligini kuzatishingiz mumkin. Keling, portni misol bo'yicha tahlil qilaylik. Terminalda Su a Sta IPPTSTSUSSSES-ga kirish kifoya, bu erda yangi qoida, kirish - taklifni qo'shish buyrug'i Zanjir, -p - bu holatda protokol ta'rifi, TCP, A --Sport manzil porti.
Xuddi shu buyruq 22-bandda qo'llaniladigan 22-portga ham tegishli: SSH xizmati tomonidan qo'llaniladi - Sudo Ipptabe -p TCP -Dport 22 -J qabul qiling.
Belgilangan portni blokirovka qilish uchun satr aynan bir xil turdagi, faqat qabul qilingan o'zgarishlar tugashiga olib keladi. Natijada, u, masalan, sudo ixtiyoriy -Amp -p tcp-chet - 2450 -J pasayishi.
Ushbu qoidalarning barchasi konfiguratsiya fayliga kiritilgan va siz ularni istalgan vaqtda ko'rishingiz mumkin. Sizga eslatib o'tamiz, u sudo iptptabes -l orqali amalga oshiriladi. Agar siz port bilan birga bo'lgan IP manziliga qo'nma bilan birgalikda qo'nma bilan birga bo'lishingiz kerak bo'lsa, satr biroz o'zgartirilgan - TPC qo'shilgandan keyin va manzilning o'zi. Sudo ipptabebsulot -A kiritilgan -S-lar 12.12.12.12/32 - 2002 - XX.
Bloklash bir xil printsipda pasayish qiymati tugashining qiymati tugashi bilan bir xil printsipda sodir bo'ladi. Keyin u, masalan, sudo ipptables -A kiritilgan -Appab mahsulotlari 12.12.12.0/224 - Drop.
ICMP blokirovka
ICMP (Internetni boshqarish xabarlari protokoli) - TCP / IP-ga kiritilgan protokol va transport xabarlari xabarlarini va favqulodda vaziyatlarda trafik bilan ishlashda ishtirok etadigan protokol. Masalan, so'ralgan server mavjud bo'lmaganda, ushbu vositani xizmat vazifalarini bajaradi. IPTUBS yordam dasturi uni xavfsizlik devori orqali blokirovka qilish imkonini beradi va siz uni sudo ipptabe-i iCMP -p-ICMP-ICMP-ptactmp-drip-drip-tipidagi - tushirish buyrug'i yordamida amalga oshirishingiz mumkin. Bu sizning serveringiz va serveringiz so'rovlarini blokirovka qiladi.
Kiruvchi so'rovlar biroz boshqacha bloklanadi. Keyin siz SUDO IPTUPSTSESSES-ICMP-ICMP-ICMP-ICMP-ICMP-&p drop-tipiga kirishingiz kerak. Ushbu qoidalarni faollashtirgandan so'ng, server Ping so'rovlariga javob bermaydi.
Serverda ruxsatsiz harakatlarning oldini olish
Ba'zida serverlar DDUS hujumlariga yoki boshqa ruxsatsiz harakatlarga duch kelishadi. Xavfsizlik devori sizni bunday xakerlikdan himoya qilishga imkon beradi. Boshlash uchun biz bunday qoidalarni o'rnatishni tavsiya etamiz:
- Biz IPPTSESS-da yozamiz - Kirple -Dport - 20-daqiqada - 20-daqiqada - 20 / daqiqada - 20/ daqiqa - bu ijobiy natijalarning cheklanishidir . Siz o'zingizni o'lchash birligini o'zingiz, masalan, / ikkinchi, / daqiqasi, / kun / kunni belgilashingiz mumkin. - Burst raqami - etishmayotgan paketlar soniga cheklovlar. Barcha qadriyatlar administrator imtiyozlariga binoan alohida namoyish etiladi.
- Keyinchalik, xakerlikning mumkin bo'lgan sabablaridan birini olib tashlash uchun ochiq portlarni skanerlashni taqiqlashingiz mumkin. Birinchi sudo iPTUTS-ga kiring -n blokirovka buyrug'i.
- Keyin Su a iPptabe -A-ni blokirovka-skaner-bayroq-scp-bayroqlari Syc, Ack, Fin, RST -M Limit -M Limit -M Limit -M Limit -M Limit -M Limit -M Limit -M Limit-2-ning qaytishini belgilang.
- Oxirgi uchinchi buyruq: SUDO IPTUSBETSESA-SCAN-SCAN -J pasayishi. Ushbu holatlarda skanerlash ifodasi - ishlatiladigan ayirboshlashning nomi.
Bugungi kunda ko'rsatilgan sozlamalar faqat xavfsizlik devori boshqarish vositasidagi ish uchun asosdir. Kommunal dasturning rasmiy hujjatlarida siz barcha mavjud argumentlar va variantlarning tavsifini topasiz va siz o'zingizning so'rovingiz ostida xavfsizlik devorini sozlashingiz mumkin. Ko'pincha qo'llaniladigan va ko'p hollarda talab qilinadigan standart xavfsizlik qoidalaridan yuqori.