Úvod do IPTABLES: konfigurace brány firewall v systému Linux

iptables

na konfigurovat bránu firewall nebo bránu firewall v systému Linux, můžeme využít iptables, mocný nástroj, který se zdá být zapomenut mnoha uživateli. I když existují i ​​jiné metody, jako jsou ebtables a arptables k filtrování provozu na úrovni odkazu nebo Squid na úrovni aplikace, iptables mohou být ve většině případů velmi užitečné, protože v našem systému implementují dobré zabezpečení na úrovni provozu a dopravy sítě.

Linuxové jádro implementuje iptables, část, která stará se o filtrování paketů a že v tomto článku vás naučíme konfigurovat jednoduchým způsobem. Jednoduše řečeno, iptables identifikuje, jaké informace mohou a nemohou vstoupit, čímž izoluje váš tým od potenciálních hrozeb. A i když existují další projekty, jako je Firehol, Firestarter atd., Mnoho z těchto programů brány firewall používá iptables ...

No, Pojďme se pustit do práce, s příklady pochopíte všechno lépe (pro tyto případy je nutné mít oprávnění, tak použijte sudo před příkazem nebo se staňte rootem):

Obecný způsob použití iptables vytvoření zásady filtrování je:

IPTABLES - ARGUMENTY I / O AKCE

Kde je -ARGUMENT argument, který použijeme, normálně -P k vytvoření výchozí zásady, i když existují i ​​další, například -L, aby se zobrazily zásady, které jsme nakonfigurovali, -F k odstranění vytvořené zásady, -Z k resetování čítačů bajtů a paketů atd. Další možností je -A přidat zásadu (není výchozí), -I vložit pravidlo na konkrétní pozici a -D odstranit dané pravidlo. Budou také existovat další argumenty směřující na -p protokoly, –portový zdrojový port, –dport pro cílový port, -i příchozí rozhraní, -o odchozí rozhraní, -s zdrojová IP adresa a -d cílová IP adresa.

iptables vstup-výstup

Dále I / O by představovalo, kdyby politika aplikuje se na vstup INPUT, na výstup OUTPUT nebo se jedná o přesměrování provozu VPRAVO (existují i ​​další, například PREROUTING, POSTROUTING, ale nebudeme je používat). Nakonec to, co jsem nazval AKCE, může mít hodnotu PŘIJMOUT, pokud přijmeme, ODMÍTNOUT, pokud odmítneme, nebo DROP, pokud odstraníme. Rozdíl mezi DROP a REJECT spočívá v tom, že když je paket odmítnut s REJECT, stroj, který jej vytvořil, bude vědět, že byl odmítnut, ale s DROP jedná tiše a útočník nebo původ nebude vědět, co se stalo, a nebude vědět, jestli máme bránu firewall nebo připojení právě selhalo. Existují také další, jako je LOG, které posílají sledování syslogu ...

Chcete-li upravit pravidla, můžeme soubor iptables upravit pomocí našeho preferovaného textového editoru, nano, gedit, ... nebo vytvořit skripty s pravidly (pokud je chcete přepsat, můžete to udělat tak, že před řádek umístíte #, aby to bylo ignorováno jako komentář) prostřednictvím konzoly s příkazy, jak to vysvětlíme zde. V Debianu a derivátech můžete také použít nástroje iptables-save a iptables-restore ...

Nejextrémnější politikou je všechno blokovat, absolutně veškerý provoz, ale to nás ponechá izolované, s:

iptables -P INPUT DROP

Přijmout to všechno:

iptables -P INPUT ACCEPT

Pokud to chceme veškerý odchozí provoz z našeho týmu je přijímán:

iptables -P OUTPUT ACEPT

La další radikální akcí by bylo vymazání všech politik z iptables s:

iptables -F

Pojďme ke konkrétnějším pravidlůmPředstavte si, že máte webový server, a proto musí být povolen provoz přes port 80:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

A pokud kromě předchozího pravidla chceme tým s iptables být viditelné pouze počítači v naší podsíti a to si externí síť nevšimne:

iptables -A INPUT -p tcp -s 192.168.30.0/24 --dport 80 -j ACCEPT

V předchozím řádku říkáme iptables přidání pravidla -A, aby byly přijímány vstupy INPUT a protokol TCP přes port 80. Teď si představte, že to chcete procházení webu je odmítnuto pro místní stroje procházející strojem se spuštěnými iptables:

iptables -t filter -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 DROP

Myslím, že použití je jednoduché, s přihlédnutím k tomu, k čemu každý parametr iptables slouží, můžeme přidat jednoduchá pravidla. Můžete provést všechny kombinace a pravidla, která si představujeme ... Aby se mi více nerozšířilo, stačí přidat ještě jednu věc, a to, že pokud se počítač restartuje, budou vytvořené zásady odstraněny. Tabulky jsou restartovány a zůstanou jako dříve, proto jakmile správně definujete pravidla, pokud je chcete nastavit jako trvalé, musíte je spustit z /etc/rc.local, nebo pokud máte Debian nebo deriváty, použijte nástroje, které jsme dostali (iptables-save, iptables-restore a iptables-apply).


Zanechte svůj komentář

Vaše e-mailová adresa nebude zveřejněna. Povinné položky jsou označeny *

*

*

  1. Za data odpovídá: AB Internet Networks 2008 SL
  2. Účel údajů: Ovládací SPAM, správa komentářů.
  3. Legitimace: Váš souhlas
  4. Sdělování údajů: Údaje nebudou sděleny třetím osobám, s výjimkou zákonných povinností.
  5. Úložiště dat: Databáze hostovaná společností Occentus Networks (EU)
  6. Práva: Vaše údaje můžete kdykoli omezit, obnovit a odstranit.

      Jimmy olano řekl

    Toto je první článek, který vidím na IPTABLES, který, i když je hustý - vyžaduje střední úroveň znalostí -, JE PŘÍMO K ZRNU.

    Doporučuji každému, aby jej použil jako „rychlý referenční manuál“, protože je velmi dobře zhuštěný a vysvětlený. 8-)

      JESUS řekl

    Byl bych rád, kdybyste v budoucím článku hovořili o tom, zda změna systemd ve většině linuxových distribucí ovlivňuje nějakým způsobem bezpečnost linuxu obecně a jestli je tato změna pro lepší nebo horší budoucnost a linuxové distribuce. Také bych rád věděl, co je známo o budoucnosti devuanu (debian bez systemd).
    Děkuji moc, že ​​děláte velmi dobré články.

      Slevin řekl

    Mohl byste vytvořit článek vysvětlující mangelovou tabulku?

      Sebastian řekl

    Blokovat pouze Facebook?