在基於Linux內核的所有操作系統中,基於指定的規則或平台,存在內置防火牆,執行傳入和傳出流量的控制和過濾。在CentOS 7分發中,IPTABLE實用程序執行此類功能,與內置NetFilter防火牆進行交互。有時系統管理員或網絡管理器必須配置此組件的操作,規定相關規則。作為今天文章的一部分,我們想討論上述操作系統中的IPTables配置的基礎知識。
在CentOS 7中配置IPTABLES
在安裝CentOS 7完成後,該刀具本身可以立即開始工作,但進一步需要安裝一些服務,我們將談論。在正在考慮的平台中,還有另一個內置工具,執行名為防火牆的防火牆函數。為避免衝突,通過進一步的工作,我們建議您禁用此組件。在以下鏈接上的另一種材料中讀取了此主題的擴展說明。閱讀更多:在CentOS 7中禁用防火牆
如您所知,IPv4和IPv6協議可以應用於系統。今天,我們將專注於IPv4示例,但如果要為另一種協議配置,則需要代替團隊。iptables。在控制台使用中IP6Tables..
安裝iptables.
它應該優先於今天考慮的實用程序的其他組成部分。它們將有助於設置規則和其他參數。加載是從官方存儲庫進行的,因此它沒有花費很多時間。
- 所有進一步的操作都將在古典控制台中進行,因此通過任何方便的方法運行它。
- sudo yum安裝iptables-services命令負責安裝服務。輸入它並按Enter鍵。
- 通過指定其中密碼來確認超級用戶帳戶。請注意,當查詢sudo時,永遠不會顯示行中輸入的字符。
- 建議將一個包添加到系統中,通過選擇Y版本來確認此操作。
- 完成安裝後,請檢查工具的當前版本:sudo iptables --version。
- 結果將顯示在新字符串中。
現在,操作系統已完全準備好通過iptables實用程序進一步配置防火牆。我們建議從管理服務開始熟悉物品的配置。
停止和啟動iptables服務
在需要檢查某些規則的操作或簡單地重新啟動組件時需要IPTables模式管理。這是使用嵌入命令完成的。
- 進入Sudo Service Iptables停止,然後單擊Enter鍵以停止服務。
- 要確認此過程,請指定超級用戶密碼。
- 如果進程成功,將顯示一個新字符串,指示配置文件中的更改。
- Service的啟動幾乎相同,只有線獲取sudo服務iptables的開始視圖。
在任何時候都可以使用類似的重新啟動,啟動或停止該實用程序,不要忘記在需求時返回反向值。
查看和刪除規則
如前所述,防火牆的控制由手動或自動添加規則執行。例如,一些其他應用程序可以訪問該工具,更改某些策略。但是,大多數此類行動仍然是手動完成的。查看所有當前規則的列表可通過sudo iptables -l命令獲得。
在顯示的結果中,將有三個鏈條的信息:“輸入”,“輸出”和“向前” - 傳入,傳出和轉發流量。
您可以通過輸入sudo iptables -s來定義所有鏈條的狀態。
如果看到的規則對您不滿意,他們只是刪除。整個列表如下所示:sudo iptables -f。激活後,規則將絕對用於所有三個鏈條。
當您只需要影響某些單鏈的策略時,將添加其他參數:
sudo iptables -f輸入
sudo iptables -f輸出
sudo iptables -f forward
缺少所有規則意味著任何部分都不使用流量過濾設置。接下來,系統管理員將獨立地使用相同的控制台,命令和各種參數來指定新參數。
接收和刪除鏈中的交通
每個鏈分別配置以接收或阻止流量。通過設置某個含義,可以實現,例如,所有傳入流量都將被阻止。為此,命令必須是sudo iptables - policy輸入丟棄,其中輸入是鏈的名稱,下降是放電值。
為其他電路設置了完全相同的參數,例如sudo iptables - policy輸出丟棄。如果您需要將值設置為接收流量,那麼刪除接受的更改,結果掉了sudo iptables --policy輸入接受。
端口分辨率和鎖定
如您所知,所有網絡應用程序和流程都通過某個端口進行工作。通過阻止或解析某些地址,您可以監視所有網絡目的的訪問。讓我們分析前進的端口前進80.在終端中,它足以輸入sudo iptables -a輸入-p tcp --dport 80 -j接受命令,其中 - 添加新規則,輸入 - 建議在這種情況下,鏈條-P - 協議定義,TCP,A --dport是目標端口。
完全相同的命令也適用於SSH服務使用的端口22:sudo iptables -a輸入-p tcp -dport 22 -j接受。
要阻止指定的端口,字符串可以完全相同類型,只在接受更改的末尾刪除。結果,事實證明,sudo iptables -a輸入-p tcp -dport 2450 -j drop。
所有這些規則都輸入配置文件,您可以隨時查看它們。我們提醒您,它是通過sudo iptables -l完成的。如果需要允許與端口一起使用端口的網絡IP地址,則略微修改字符串 - 在添加TPC和地址本身之後。 sudo iptables -a輸入-p tcp -s 12.12.12.12/32 --dport 22 -J接受,其中12.12.12.12/32是必要的IP地址。
通過在末端改變時,通過更改液滴的值來發生相同的原則。然後,事實證明,sudo iptables -a輸入-p tcp -s 12.12.12.0/224 --dport 22 -J滴。
ICMP阻止
ICMP(Internet Control消息協議) - 包含在TCP / IP中的協議,並在使用流量時傳輸錯誤消息和緊急情況。例如,當請求的服務器不可用時,此工具執行服務功能。 iptables實用程序允許您通過防火牆阻止它,您可以使用sudo iptables -a output -p icmp -icmp-type 8 -j drop命令進行。它將阻止來自您的服務器的請求。
傳入的請求被阻止有點不同。然後,您需要輸入sudo iptables -i輸入-p icmp --icmp-type 8 -j drop。激活這些規則後,服務器不會響應ping請求。
防止在服務器上未經授權的操作
有時服務器遭到DDOS攻擊或入侵者的其他未經授權的行動。防火牆的正確調整將使您可以保護自己免受這種黑客攻擊。首先,我們建議設定這樣的規則:
- 我們在iptables -a輸入-p tcp --dport 80-m limit --limit 20 / mime --limit-burst 100 -j接受,其中 - 主要結果是積極結果的頻率限制。您可以自己指定測量單位,例如/秒,/分鐘,/每天。 - 突發號碼 - 限制丟失包數。所有值按照管理員偏好單獨展示。
- 接下來,您可以禁止掃描開放端口以刪除黑客的可能原因之一。輸入第一個sudo iptables -n block-scan命令。
- 然後指定sudo iptables -a block-scan -p tcp -tcp-flags syn,ack,fin,rst -m limit --limit 1 / s-j返回。
- 最後的第三個命令是:sudo iptables -a block-scan -j drop。在這些情況下塊掃描表達式 - 所使用的電路的名稱。
今天所示的設置僅是防火牆控制儀器中的工作的基礎。在該實用程序的官方文檔中,您將找到對所有可用參數和選項的描述,您可以在您的請求下專門配置防火牆。高於標準的安全規則,最常應用,在大多數情況下都是必需的。