Водич за почетнике за иптаблес, Линук заштитни зид

Иптаблес је изузетно флексибилан услужни програм заштитног зида направљен за Линук оперативне системе. Без обзира да ли сте почетник Линук-а или системски администратор, вероватно постоји неки начин на који вам иптаблес могу бити од велике користи. Читајте даље док вам показујемо како да конфигуришете најсвестранији Линук заштитни зид.

Пхото би езиоман.

О иптаблима

иптаблес је услужни програм заштитног зида командне линије који користи ланце политика како би омогућио или блокирао саобраћај. Када се веза покуша успоставити на вашем систему, иптаблес тражи правило на својој листи да би јој се подударало. Ако га не пронађе, прибегава подразумеваној радњи.

иптаблес се готово увек испоручује унапред инсталиран на било којој Линук дистрибуцији. Да бисте га ажурирали / инсталирали, само преузмите пакет иптаблес:

судо апт-гет инсталирај иптаблес

Постоје ГУИ алтернативе иптаблес-има попут Фирестартер-а, али иптаблес није толико тешко када једном направите неколико наредби. Желите да будете изузетно опрезни приликом конфигурисања правила иптаблес, посебно ако сте ССХ ушли у сервер, јер вас једна погрешна команда може трајно закључати док ручно не буде фиксирана на физичкој машини.

Врсте ланаца

иптаблес користи три различита ланца: улаз, прослеђивање и излаз.

Улазни - Овај ланац се користи за контролу понашања долазних веза. На пример, ако корисник покуша ССХ на ваш рачунар / сервер, иптаблес ће покушати да упари ИП адресу и порт са правилом у ланцу уноса.

Напред - Овај ланац се користи за долазне везе које се заправо не испоручују локално. Замислите рутер - подаци му се увек шаљу, али ретко заправо намењени самом рутеру; подаци се само прослеђују свом циљу. Ако на свом систему не радите неку врсту рутирања, НАТинг-а или нешто друго што захтева прослеђивање, нећете ни користити овај ланац.

Постоји један сигуран начин да проверите да ли ваш систем користи / не треба напредни ланац.

иптаблес -Л -в

Снимак екрана изнад је на серверу који ради неколико недеља и нема ограничења за долазне или одлазне везе. Као што видите, улазни ланац је обрадио 11 ГБ пакета, а излазни ланац 17 ГБ. С друге стране, ланац унапред није требао да обради један пакет. То је зато што сервер не врши никакву прослеђивање нити се користи као пролазни уређај.

Оутпут - Овај ланац се користи за одлазне везе. На пример, ако покушате да пингате ховтогеек.цом, иптаблес ће проверити свој излазни ланац да би утврдио која су правила у вези са пинг и ховтогеек.цом пре него што донесе одлуку да дозволи или одбије покушај повезивања.

Упозорење

Иако се пингање спољног хоста чини као нешто што би требало само да пређе излазни ланац, имајте на уму да ће се користити и ланац уноса за враћање података. Када користите иптаблес за закључавање система, имајте на уму да ће многим протоколима бити потребна двосмерна комуникација, тако да ће и улазни и излазни ланци требати бити правилно конфигурисани. ССХ је уобичајени протокол који људи заборављају да дозволе на оба ланца.

Подразумевано понашање ланца политика

Пре него што уђете и конфигуришете одређена правила, желећете да одлучите шта желите да буде подразумевано понашање три ланца. Другим речима, шта желите да иптаблес раде ако веза не одговара ниједном постојећем правилу?

Да бисте видели шта су ваши ланци смерница тренутно конфигурисани да раде са неуспоредивим саобраћајем, покрените иптаблес -Л команда.

Као што видите, такође смо користили наредбу греп да бисмо добили чистији излаз. На том снимку екрана тренутно се претпоставља да наши ланци прихватају саобраћај.

Више пута него не, желећете да ваш систем подразумевано прихвати везе. Ако претходно нисте променили правила ланца смерница, ово подешавање би већ требало да буде конфигурисано. У сваком случају, ево наредбе да подразумевано прихватите везе:

иптаблес --полици УЛАЗИ ПРИХВАТИ


иптаблес --полици ИЗЛАЗНИ ПРИХВАТ


иптаблес --политика НАПРЕД ПРИХВАТИ

Подразумевањем правила прихватања, можете да користите иптаблес да одбијете одређене ИП адресе или бројеве портова, настављајући да прихватате све друге везе. Доћи ћемо до тих команди за минут.

Ако бисте радије одбили све везе и ручно одредили које желите да дозволите да се повежу, требало би да промените подразумевану политику својих ланаца да падну. То би вероватно било корисно само за сервере који садрже осетљиве информације и само икада имају исте ИП адресе које су повезане са њима.

иптаблес --полици ИНПУТ ДРОП


иптаблес --полици ИЗЛАЗНИ ПАД


иптаблес --политика НАПРЕД ДРОП

Одговори специфични за везу

Када су конфигурисане ваше подразумеване смернице ланца, можете започети додавање правила у иптаблес како би он знао шта треба учинити када наиђе на везу са или на одређену ИП адресу или порт. У овом водичу ћемо размотрити три најосновнија и најчешће коришћена „одговора“.

Прихвати - Дозволи везу.

Кап - Прекини везу, понашај се као да се никада није догодило. Ово је најбоље ако не желите да извор схвати да ваш систем постоји.

Одбити - Не дозволите везу, али вратите грешку. Ово је најбоље ако не желите да се одређени извор повеже са вашим системом, али желите да знају да их је заштитни зид блокирао.

Најбољи начин да се покаже разлика између ова три правила је да се покаже како то изгледа када рачунар покушава да пингује Линук машину помоћу иптабле-а конфигурисаних за свако од ових подешавања.

Омогућавање везе:

Искључивање везе:

Одбијање везе:

Омогућавање или блокирање одређених веза

Када су ваши ланци смерница конфигурисани, сада можете да конфигуришете иптаблес да дозвољавају или блокирају одређене адресе, опсеге адреса и портове. У овим примерима ћемо поставити везе на КАП, али их можете пребацити на ПРИХВАТИ или ОДБИТИ, у зависности од ваших потреба и начина на који сте конфигурисали своје ланце политика.

Напомена: У овим примерима ћемо користити иптаблес -А за додавање правила постојећем ланцу. иптаблес започиње на врху листе и пролази кроз свако правило док не пронађе оно које му одговара. Ако требате уметнути правило изнад другог, можете га користити иптаблес -И [ланац] [број] да наведете број који би требало да буде на листи.

Везе са једне ИП адресе

Овај пример показује како блокирати све везе са ИП адресе 10.10.10.10.

иптаблес -А ИНПУТ -с 10.10.10.10 -ј ДРОП

Везе из низа ИП адреса

Овај пример показује како блокирати све ИП адресе у мрежном опсегу 10.10.10.0/24. Можете одредити опсег ИП адреса помоћу мрежне маске или стандардне косе црте.

иптаблес -А ИНПУТ -с 10.10.10.0/24 -ј ДРОП

или

иптаблес -А ИНПУТ -с 10.10.10.0/255.255.255.0 -ј ДРОП

Везе до одређеног порта

Овај пример показује како блокирати ССХ везе од 10.10.10.10.

иптаблес -А ИНПУТ -п тцп --дпорт ссх -с 10.10.10.10 -ј ДРОП

Можете заменити „ссх“ било којим бројем протокола или порта. Тхе -п тцп део кода говори иптаблес-у какву везу протокол користи. Ако сте блокирали протокол који користи УДП, а не ТЦП, онда -п удп уместо тога би било потребно.

Овај пример показује како блокирати ССХ везе са било које ИП адресе.

иптаблес -А УЛАЗ -п тцп --дпорт ссх -ј ДРОП

Државе везе

Као што смо раније поменули, многим протоколима биће потребна двосмерна комуникација. На пример, ако желите да дозволите ССХ везе са вашим системом, улазни и излазни ланци ће им требати додати правило. Али, шта ако желите само да ССХ који улази у ваш систем буде дозвољен? Неће ли додавање правила у излазни ланац такође омогућити одлазне ССХ покушаје?

Ту долазе стања везе која вам пружају могућност да омогућите двосмерну комуникацију, али омогућавају успостављање само једносмерних веза. Погледајте овај пример, где су ССХ везе ОД 10.10.10.10 дозвољене, али ССХ везе ДО 10.10.10.10 нису. Међутим, систему је дозвољено да враћа информације преко ССХ све док је сесија већ успостављена, што омогућава ССХ комуникацију између ова два хоста.

иптаблес -А ИНПУТ -п тцп --дпорт ссх -с 10.10.10.10 -м стате --стате НОВО, УСТАНОВЉЕНО -ј АЦЦЕПТ

иптаблес -А ИЗЛАЗ -п тцп - спорт 22 -д 10.10.10.10 -м стање --држава УСТАНОВЉЕНО -ј ПРИХВАТИ

Спремање промена

Промене које направите у својим иптаблес правилима биће укинуте следећи пут када се иптаблес услуга поново покрене, осим ако не извршите наредбу за спремање промена. Ова наредба се може разликовати у зависности од ваше дистрибуције:

Убунту:

судо / сбин / иптаблес-саве

Ред Хат / ЦентОС:

/ сбин / сервице иптаблес саве

Или

/етц/инит.д/иптаблес саве

Остале команде

Наведите тренутно конфигурисана правила иптаблес:

иптаблес -Л

Додавање опција ће вам дати информације о пакетима и бајтовима и додавање побројаће све нумерички. Другим речима - имена хостова, протоколи и мреже наведени су као бројеви.

Да бисте обрисали сва тренутно конфигурисана правила, можете издати наредбу за испирање.

иптаблес -Ф


Популар Постс

Рецент Постс

Copyright sr.agwebrunner.com 2024
$config[zx-auto] not found$config[zx-overlay] not found