Trong tất cả các hệ điều hành dựa trên Kernel Linux, có một tường lửa tích hợp, thực hiện điều khiển và lọc lưu lượng đến và đi, dựa trên các quy tắc được chỉ định hoặc nền tảng. Trong phân phối CentOS 7, tiện ích iptables thực hiện một chức năng như vậy, tương tác với tường lửa Netfilter tích hợp. Đôi khi quản trị viên hệ thống hoặc trình quản lý mạng phải định cấu hình hoạt động của thành phần này, quy định các quy tắc có liên quan. Là một phần của bài viết hôm nay, chúng tôi muốn nói về những điều cơ bản của cấu hình iptables trong HĐH đã đề cập ở trên.
Cấu hình iptables trong CentOS 7
Công cụ này có thể truy cập được để hoạt động ngay sau khi cài đặt CentOS 7 hoàn tất, nhưng sẽ cần phải cài đặt một số dịch vụ, mà chúng ta sẽ nói về. Trong nền tảng đang xem xét, có một công cụ tích hợp khác thực hiện chức năng tường lửa có tên Tường lửa. Để tránh xung đột, với công việc tiếp theo, chúng tôi khuyên bạn nên vô hiệu hóa thành phần này. Hướng dẫn mở rộng về chủ đề này đọc trong một tài liệu khác trên liên kết sau.Đọc thêm: Vô hiệu hóa Tường lửa trong CentOS 7
Như bạn đã biết, các giao thức IPv4 và IPv6 có thể được áp dụng trong hệ thống. Hôm nay chúng tôi sẽ tập trung vào ví dụ IPv4, nhưng nếu bạn muốn định cấu hình cho một giao thức khác, bạn sẽ cần thay vì một nhóm. Iptables. trong sử dụng bảng điều khiển Ip6tables..
Cài đặt iptables.
Cần ưu tiên cho hệ thống các thành phần bổ sung của tiện ích đang được xem xét ngày nay. Họ sẽ giúp thiết lập các quy tắc và các tham số khác. Đang tải được thực hiện từ kho lưu trữ chính thức, vì vậy nó không mất nhiều thời gian.
- Tất cả các hành động khác sẽ được thực hiện trong bảng điều khiển cổ điển, vì vậy hãy chạy nó bằng bất kỳ phương pháp thuận tiện nào.
- Sudo Yum cài đặt lệnh iptables-Services có trách nhiệm cài đặt các dịch vụ. Nhập nó và nhấn phím Enter.
- Xác nhận tài khoản SuperUser bằng cách chỉ định mật khẩu từ nó. Xin lưu ý rằng khi truy vấn sudo, các ký tự đã nhập trong hàng không bao giờ được hiển thị.
- Nó sẽ được đề xuất để thêm một gói vào hệ thống, xác nhận hành động này bằng cách chọn phiên bản Y.
- Sau khi hoàn thành việc cài đặt, hãy kiểm tra phiên bản hiện tại của công cụ: sudo iptables --version.
- Kết quả sẽ xuất hiện trong chuỗi mới.
Bây giờ hệ điều hành đã sẵn sàng hoàn toàn để cấu hình thêm của tường lửa thông qua tiện ích iptables. Chúng tôi khuyên bạn nên làm quen với cấu hình trên các mục, bắt đầu với các dịch vụ quản lý.
Dừng và khởi chạy dịch vụ iptables
Quản lý chế độ Iptables được yêu cầu trong trường hợp bạn cần kiểm tra hành động của các quy tắc nhất định hoặc chỉ cần khởi động lại thành phần. Điều này được thực hiện bằng cách sử dụng các lệnh nhúng.
- Nhập dịch vụ sudo Iptables dừng và nhấp vào phím Enter để dừng các dịch vụ.
- Để xác nhận quy trình này, chỉ định mật khẩu SuperUser.
- Nếu quá trình thành công, một chuỗi mới sẽ được hiển thị, cho biết các thay đổi trong tệp cấu hình.
- Sự ra mắt của các dịch vụ được thực hiện gần giống như một cách tương tự, chỉ có dòng thu được dịch vụ sudo iptables bắt đầu xem.
Khởi động lại tương tự, bắt đầu hoặc dừng các tiện ích có sẵn bất cứ lúc nào, đừng quên chỉ trả về giá trị ngược lại khi nó sẽ có nhu cầu.
Xem và xóa quy tắc
Như đã đề cập trước đó, việc kiểm soát tường lửa được thực hiện bởi thủ công hoặc tự động thêm các quy tắc. Ví dụ: một số ứng dụng bổ sung có thể truy cập vào công cụ, thay đổi một số chính sách. Tuy nhiên, hầu hết các hành động như vậy vẫn được thực hiện bằng tay. Xem danh sách tất cả các quy tắc hiện tại có sẵn thông qua lệnh sudo iptables -l.
Trong kết quả được hiển thị, sẽ có thông tin về ba chuỗi: "đầu vào", "đầu ra" và "chuyển tiếp" - giao dịch chuyển tiếp, đi và chuyển tiếp, tương ứng.
Bạn có thể xác định trạng thái của tất cả các chuỗi bằng cách vào sudo iptables -s.
Nếu các quy tắc nhìn thấy không hài lòng với bạn, đơn giản là họ vừa bị xóa. Toàn bộ danh sách được xóa như thế này: sudo iptables -f. Sau khi kích hoạt, quy tắc sẽ bị xóa hoàn toàn đối với cả ba chuỗi.
Khi bạn chỉ cần ảnh hưởng đến các chính sách từ một số chuỗi, một đối số bổ sung sẽ được thêm vào dòng:
Sudo iptables -f đầu vào
Sudo iptables -f đầu ra
Sudo iptables -f chuyển tiếp
Sự vắng mặt của tất cả các quy tắc có nghĩa là không có cài đặt lọc lưu lượng không được sử dụng trong bất kỳ phần nào. Tiếp theo, quản trị viên hệ thống sẽ độc lập chỉ định các tham số mới bằng cùng một bảng điều khiển, lệnh và các đối số khác nhau.
Nhận và giảm lưu lượng trong chuỗi
Mỗi chuỗi được cấu hình riêng để nhận hoặc chặn lưu lượng. Bằng cách đặt một ý nghĩa nhất định, nó có thể đạt được điều đó, ví dụ, tất cả lưu lượng truy cập đến sẽ bị chặn. Để thực hiện việc này, lệnh phải là sudo iptables --policy đầu vào thả, trong đó đầu vào là tên của chuỗi và thả là giá trị xả.
Chính xác các tham số tương tự được đặt cho các mạch khác, ví dụ, sudo iptables --policy đầu ra giảm. Nếu bạn cần đặt một giá trị để nhận lưu lượng truy cập, thì sự thay đổi của sự thay đổi khi chấp nhận và hóa ra sự chấp nhận đầu vào sudo iplables --policy.
Độ phân giải và khóa cổng
Như bạn đã biết, tất cả các ứng dụng mạng và quy trình hoạt động thông qua một cổng nhất định. Bằng cách chặn hoặc giải quyết một số địa chỉ nhất định, bạn có thể theo dõi quyền truy cập của tất cả các mục đích mạng. Hãy phân tích cổng về phía trước ví dụ 80. Trong thiết bị đầu cuối, nó sẽ đủ để nhập sudo iptables -a nhập -p -port lệnh chấp nhận 80 -J, trong đó -a - thêm quy tắc mới, đầu vào - Đề xuất của Chuỗi, -P - Định nghĩa giao thức trong trường hợp này, TCP, A --DPort là một cổng đích.
Chính xác cùng một lệnh cũng áp dụng cho cổng 22, được sử dụng bởi dịch vụ SSH: sudo iptables -a nhập -p tcp --dort 22 -j chấp nhận.
Để chặn cổng được chỉ định, chuỗi được sử dụng chính xác cùng loại, chỉ ở cuối các thay đổi chấp nhận để thả. Do đó, hóa ra, ví dụ, sudo iptables -a nhập -p tcp --dort 2450 -j thả.
Tất cả các quy tắc này được nhập vào tệp cấu hình và bạn có thể xem chúng bất cứ lúc nào. Chúng tôi nhắc nhở bạn, nó được thực hiện thông qua sudo iptables -l. Nếu bạn cần cho phép một địa chỉ IP mạng với cổng cùng với cổng, chuỗi được sửa đổi một chút - sau khi TPC được thêm vào và chính địa chỉ. Sudo iptables -a đầu vào -p tcp -s 12.12.12.12/32 --dort 22 -j chấp nhận, trong đó 12.12.12.12/32 là địa chỉ IP cần thiết.
Chặn xảy ra theo cùng một nguyên tắc bằng cách thay đổi ở cuối giá trị của chấp nhận khi thả. Sau đó, hóa ra, ví dụ, sudo iptables -a nhập -p tcp -s 12.12.12.0/224 --dort 22 -j thả.
Chặn ICMP
ICMP (Giao thức thông báo Internet) - Giao thức được bao gồm trong TCP / IP và có liên quan đến việc truyền thông báo lỗi và các tình huống khẩn cấp khi làm việc với lưu lượng truy cập. Ví dụ: khi máy chủ được yêu cầu không khả dụng, công cụ này thực hiện các chức năng dịch vụ. Tiện ích iptables cho phép bạn chặn nó qua tường lửa và bạn có thể tạo nó bằng cách sử dụng sudo iptables -a đầu ra -p icmp - icmp-type 8 -J Drop Drop Drop. Nó sẽ chặn các yêu cầu từ máy chủ của bạn và đến máy chủ của bạn.
Yêu cầu đến bị chặn một chút khác biệt. Sau đó, bạn cần nhập sudo iptables -i Nhập -p ICMP - loại 8 -J loại bỏ. Sau khi kích hoạt các quy tắc này, máy chủ sẽ không đáp ứng với các yêu cầu Ping.
Ngăn chặn các hành động trái phép trên máy chủ
Đôi khi các máy chủ phải chịu các cuộc tấn công DDoS hoặc các hành động trái phép khác từ những kẻ xâm nhập. Việc điều chỉnh chính xác của tường lửa sẽ cho phép bạn bảo vệ bản thân khỏi loại hack này. Để bắt đầu, chúng tôi khuyên bạn nên thiết lập các quy tắc như vậy:
- Chúng tôi viết trong iptables -a đầu vào -p tcp --dport 80 -m giới hạn --Limit 20 / phút - Chấp nhận 100 -J -j -j, trong đó --Limit 20 / phút là giới hạn về tần suất kết quả tích cực . Bạn có thể chỉ định một đơn vị đo lường chính mình, ví dụ: / giây, / phút, / giờ hoặc ngày. - Số Burst - Giới hạn số lượng gói bị thiếu. Tất cả các giá trị được trưng bày riêng theo sở thích của quản trị viên.
- Tiếp theo, bạn có thể cấm quét các cổng mở để loại bỏ một trong những nguyên nhân có thể xảy ra. Nhập lệnh sudo iptables đầu tiên -n quét khối.
- Sau đó, chỉ định sudo iptables -a khối-scan -p -p -tcp-flag syn, ack, vây, rst -m giới hạn -limit 1 / s -j return.
- Lệnh thứ ba cuối cùng là: sudo iptables -a khối-scan -j thả. Biểu thức quét khối trong những trường hợp này - tên của mạch được sử dụng.
Các cài đặt hiển thị ngày nay chỉ là cơ sở cho công việc trong công cụ kiểm soát của tường lửa. Trong tài liệu chính thức của tiện ích, bạn sẽ tìm thấy một mô tả về tất cả các đối số và tùy chọn có sẵn và bạn có thể định cấu hình tường lửa cụ thể theo yêu cầu của mình. Trên các quy tắc bảo mật tiêu chuẩn, thường được áp dụng và trong hầu hết các trường hợp được yêu cầu.