na konfigurovat bránu firewall nebo bránu firewall v systému Linux, můžeme využít iptables, mocný nástroj, který se zdá být zapomenut mnoha uživateli. I když existují i jiné metody, jako jsou ebtables a arptables k filtrování provozu na úrovni odkazu nebo Squid na úrovni aplikace, iptables mohou být ve většině případů velmi užitečné, protože v našem systému implementují dobré zabezpečení na úrovni provozu a dopravy sítě.
Linuxové jádro implementuje iptables, část, která stará se o filtrování paketů a že v tomto článku vás naučíme konfigurovat jednoduchým způsobem. Jednoduše řečeno, iptables identifikuje, jaké informace mohou a nemohou vstoupit, čímž izoluje váš tým od potenciálních hrozeb. A i když existují další projekty, jako je Firehol, Firestarter atd., Mnoho z těchto programů brány firewall používá iptables ...
No, Pojďme se pustit do práce, s příklady pochopíte všechno lépe (pro tyto případy je nutné mít oprávnění, tak použijte sudo před příkazem nebo se staňte rootem):
Obecný způsob použití iptables vytvoření zásady filtrování je:
IPTABLES - ARGUMENTY I / O AKCE
Kde je -ARGUMENT argument, který použijeme, normálně -P k vytvoření výchozí zásady, i když existují i další, například -L, aby se zobrazily zásady, které jsme nakonfigurovali, -F k odstranění vytvořené zásady, -Z k resetování čítačů bajtů a paketů atd. Další možností je -A přidat zásadu (není výchozí), -I vložit pravidlo na konkrétní pozici a -D odstranit dané pravidlo. Budou také existovat další argumenty směřující na -p protokoly, –portový zdrojový port, –dport pro cílový port, -i příchozí rozhraní, -o odchozí rozhraní, -s zdrojová IP adresa a -d cílová IP adresa.
Dále I / O by představovalo, kdyby politika aplikuje se na vstup INPUT, na výstup OUTPUT nebo se jedná o přesměrování provozu VPRAVO (existují i další, například PREROUTING, POSTROUTING, ale nebudeme je používat). Nakonec to, co jsem nazval AKCE, může mít hodnotu PŘIJMOUT, pokud přijmeme, ODMÍTNOUT, pokud odmítneme, nebo DROP, pokud odstraníme. Rozdíl mezi DROP a REJECT spočívá v tom, že když je paket odmítnut s REJECT, stroj, který jej vytvořil, bude vědět, že byl odmítnut, ale s DROP jedná tiše a útočník nebo původ nebude vědět, co se stalo, a nebude vědět, jestli máme bránu firewall nebo připojení právě selhalo. Existují také další, jako je LOG, které posílají sledování syslogu ...
Chcete-li upravit pravidla, můžeme soubor iptables upravit pomocí našeho preferovaného textového editoru, nano, gedit, ... nebo vytvořit skripty s pravidly (pokud je chcete přepsat, můžete to udělat tak, že před řádek umístíte #, aby to bylo ignorováno jako komentář) prostřednictvím konzoly s příkazy, jak to vysvětlíme zde. V Debianu a derivátech můžete také použít nástroje iptables-save a iptables-restore ...
Nejextrémnější politikou je všechno blokovat, absolutně veškerý provoz, ale to nás ponechá izolované, s:
iptables -P INPUT DROP
Přijmout to všechno:
iptables -P INPUT ACCEPT
Pokud to chceme veškerý odchozí provoz z našeho týmu je přijímán:
iptables -P OUTPUT ACEPT
La další radikální akcí by bylo vymazání všech politik z iptables s:
iptables -F
Pojďme ke konkrétnějším pravidlůmPředstavte si, že máte webový server, a proto musí být povolen provoz přes port 80:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
A pokud kromě předchozího pravidla chceme tým s iptables být viditelné pouze počítači v naší podsíti a to si externí síť nevšimne:
iptables -A INPUT -p tcp -s 192.168.30.0/24 --dport 80 -j ACCEPT
V předchozím řádku říkáme iptables přidání pravidla -A, aby byly přijímány vstupy INPUT a protokol TCP přes port 80. Teď si představte, že to chcete procházení webu je odmítnuto pro místní stroje procházející strojem se spuštěnými iptables:
iptables -t filter -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 DROP
Myslím, že použití je jednoduché, s přihlédnutím k tomu, k čemu každý parametr iptables slouží, můžeme přidat jednoduchá pravidla. Můžete provést všechny kombinace a pravidla, která si představujeme ... Aby se mi více nerozšířilo, stačí přidat ještě jednu věc, a to, že pokud se počítač restartuje, budou vytvořené zásady odstraněny. Tabulky jsou restartovány a zůstanou jako dříve, proto jakmile správně definujete pravidla, pokud je chcete nastavit jako trvalé, musíte je spustit z /etc/rc.local, nebo pokud máte Debian nebo deriváty, použijte nástroje, které jsme dostali (iptables-save, iptables-restore a iptables-apply).
Toto je první článek, který vidím na IPTABLES, který, i když je hustý - vyžaduje střední úroveň znalostí -, JE PŘÍMO K ZRNU.
Doporučuji každému, aby jej použil jako „rychlý referenční manuál“, protože je velmi dobře zhuštěný a vysvětlený. 8-)
Byl bych rád, kdybyste v budoucím článku hovořili o tom, zda změna systemd ve většině linuxových distribucí ovlivňuje nějakým způsobem bezpečnost linuxu obecně a jestli je tato změna pro lepší nebo horší budoucnost a linuxové distribuce. Také bych rád věděl, co je známo o budoucnosti devuanu (debian bez systemd).
Děkuji moc, že děláte velmi dobré články.
Mohl byste vytvořit článek vysvětlující mangelovou tabulku?
Blokovat pouze Facebook?