在基于Linux内核的所有操作系统中,基于指定的规则或平台,存在内置防火墙,执行传入和传出流量的控制和过滤。在CentOS 7分发中,IPTABLE实用程序执行此类功能,与内置NetFilter防火墙进行交互。有时系统管理员或网络管理器必须配置此组件的操作,规定相关规则。作为今天文章的一部分,我们想讨论上述操作系统中的IPTables配置的基础知识。
在CentOS 7中配置IPTABLES
在安装CentOS 7完成后,该刀具本身可以立即开始工作,但进一步需要安装一些服务,我们将谈论。在正在考虑的平台中,还有另一个内置工具,执行名为防火墙的防火墙函数。为避免冲突,通过进一步的工作,我们建议您禁用此组件。在以下链接上的另一种材料中读取了此主题的扩展说明。阅读更多:在CentOS 7中禁用防火墙
如您所知,IPv4和IPv6协议可以应用于系统。今天,我们将专注于IPv4示例,但如果要为另一种协议配置,则需要代替团队。iptables。在控制台使用中IP6Tables..
安装iptables.
它应该优先于今天考虑的实用程序的其他组成部分。它们将有助于设置规则和其他参数。加载是从官方存储库进行的,因此它没有花费很多时间。
- 所有进一步的操作都将在古典控制台中进行,因此通过任何方便的方法运行它。
- sudo yum安装iptables-services命令负责安装服务。输入它并按Enter键。
- 通过指定其中密码来确认超级用户帐户。请注意,当查询sudo时,永远不会显示行中输入的字符。
- 建议将一个包添加到系统中,通过选择Y版本来确认此操作。
- 完成安装后,请检查工具的当前版本:sudo iptables --version。
- 结果将显示在新字符串中。
现在,操作系统已完全准备好通过iptables实用程序进一步配置防火墙。我们建议从管理服务开始熟悉物品的配置。
停止和启动iptables服务
在需要检查某些规则的操作或简单地重新启动组件时需要IPTables模式管理。这是使用嵌入命令完成的。
- 进入Sudo Service Iptables停止,然后单击Enter键以停止服务。
- 要确认此过程,请指定超级用户密码。
- 如果进程成功,将显示一个新字符串,指示配置文件中的更改。
- Service的启动几乎相同,只有线获取sudo服务iptables的开始视图。
在任何时候都可以使用类似的重新启动,启动或停止该实用程序,不要忘记在需求时返回反向值。
查看和删除规则
如前所述,防火墙的控制由手动或自动添加规则执行。例如,一些其他应用程序可以访问该工具,更改某些策略。但是,大多数此类行动仍然是手动完成的。查看所有当前规则的列表可通过sudo iptables -l命令获得。
在显示的结果中,将有三个链条的信息:“输入”,“输出”和“向前” - 传入,传出和转发流量。
您可以通过输入sudo iptables -s来定义所有链条的状态。
如果看到的规则对您不满意,他们只是删除。整个列表如下所示:sudo iptables -f。激活后,规则将绝对用于所有三个链条。
当您只需要影响某些单链的策略时,将添加其他参数:
sudo iptables -f输入
sudo iptables -f输出
sudo iptables -f forward
缺少所有规则意味着任何部分都不使用流量过滤设置。接下来,系统管理员将独立地使用相同的控制台,命令和各种参数来指定新参数。
接收和删除链中的交通
每个链分别配置以接收或阻止流量。通过设置某个含义,可以实现,例如,所有传入流量都将被阻止。为此,命令必须是sudo iptables - policy输入丢弃,其中输入是链的名称,下降是放电值。
为其他电路设置了完全相同的参数,例如sudo iptables - policy输出丢弃。如果您需要将值设置为接收流量,那么删除接受的更改,结果掉了sudo iptables --policy输入接受。
端口分辨率和锁定
如您所知,所有网络应用程序和流程都通过某个端口进行工作。通过阻止或解析某些地址,您可以监视所有网络目的的访问。让我们分析前进的端口前进80.在终端中,它足以输入sudo iptables -a输入-p tcp --dport 80 -j接受命令,其中 - 添加新规则,输入 - 建议在这种情况下,链条-P - 协议定义,TCP,A --dport是目标端口。
完全相同的命令也适用于SSH服务使用的端口22:sudo iptables -a输入-p tcp -dport 22 -j接受。
要阻止指定的端口,字符串可以完全相同类型,只在接受更改的末尾删除。结果,事实证明,sudo iptables -a输入-p tcp -dport 2450 -j drop。
所有这些规则都输入配置文件,您可以随时查看它们。我们提醒您,它是通过sudo iptables -l完成的。如果需要允许与端口一起使用端口的网络IP地址,则略微修改字符串 - 在添加TPC和地址本身之后。 sudo iptables -a输入-p tcp -s 12.12.12.12/32 --dport 22 -J接受,其中12.12.12.12/32是必要的IP地址。
通过在末端改变时,通过更改液滴的值来发生相同的原则。然后,事实证明,sudo iptables -a输入-p tcp -s 12.12.12.0/224 --dport 22 -J滴。
ICMP阻止
ICMP(Internet Control消息协议) - 包含在TCP / IP中的协议,并在使用流量时传输错误消息和紧急情况。例如,当请求的服务器不可用时,此工具执行服务功能。 iptables实用程序允许您通过防火墙阻止它,您可以使用sudo iptables -a output -p icmp -icmp-type 8 -j drop命令进行。它将阻止来自您的服务器的请求。
传入的请求被阻止有点不同。然后,您需要输入sudo iptables -i输入-p icmp --icmp-type 8 -j drop。激活这些规则后,服务器不会响应ping请求。
防止在服务器上未经授权的操作
有时服务器遭到DDOS攻击或入侵者的其他未经授权的行动。防火墙的正确调整将使您可以保护自己免受这种黑客攻击。首先,我们建议设定这样的规则:
- 我们在iptables -a输入-p tcp --dport 80-m limit --limit 20 / mime --limit-burst 100 -j接受,其中 - 主要结果是积极结果的频率限制。您可以自己指定测量单位,例如/秒,/分钟,/每天。 - 突发号码 - 限制丢失包数。所有值按照管理员偏好单独展示。
- 接下来,您可以禁止扫描开放端口以删除黑客的可能原因之一。输入第一个sudo iptables -n block-scan命令。
- 然后指定sudo iptables -a block-scan -p tcp -tcp-flags syn,ack,fin,rst -m limit --limit 1 / s-j返回。
- 最后的第三个命令是:sudo iptables -a block-scan -j drop。在这些情况下块扫描表达式 - 所使用的电路的名称。
今天所示的设置仅是防火墙控制仪器中的工作的基础。在该实用程序的官方文档中,您将找到对所有可用参数和选项的描述,您可以在您的请求下专门配置防火墙。高于标准的安全规则,最常应用,在大多数情况下都是必需的。