Почетна » како да » Водич за почетнике за иптаблес, Линук Фиревалл

    Водич за почетнике за иптаблес, Линук Фиревалл

    Иптаблес је изузетно флексибилан ватрозидни алат изграђен за Линук оперативне системе. Било да сте новајлија Линук геек или системски администратор, вероватно постоји неки начин на који вам иптаблес може бити од велике користи. Прочитајте како ћемо вам показати како да конфигуришете најсвестранији Линук заштитни зид.

    Пхото би езиоман.

    О иптаблес

    иптаблес је алатка за заштитни зид командне линије која користи ланце правила да дозволи или блокира саобраћај. Када веза покуша да се успостави на вашем систему, иптаблес тражи правило у његовој листи како би га повезало. Ако га не пронађе, прибјегава подразумијеваној радњи.

    иптаблес скоро увек долази унапред инсталиран на било којој Линук дистрибуцији. Да бисте је ажурирали / инсталирали, само преузмите иптаблес пакет:

    судо апт-гет инсталл иптаблес

    Постоје ГУИ алтернативе за иптаблес као Фирестартер, али иптаблес није баш толико тежак када имате неколико наредби. Желите да будете изузетно опрезни када конфигуришете иптаблес правила, посебно ако сте ССХд на сервер, јер вас једна погрешна команда може трајно закључати док се не ручно фиксира на физичкој машини.

    Врсте ланаца

    иптаблес користи три различита ланца: инпут, форвард и оутпут.

    Улазни - Овај ланац се користи за контролу понашања долазних веза. На пример, ако корисник покуша ССХ у ваш ПЦ / сервер, иптаблес ће покушати да упари ИП адресу и порт правилу у ланцу уноса.

    Напријед - Овај ланац се користи за долазне везе које се заправо не испоручују локално. Размислите о рутеру - подаци се увијек шаљу на њега, али ријетко су заправо намијењени самом рутеру; подаци су само прослијеђени до циља. Осим ако радите неку врсту рутирања, НАТинг, или нешто друго на вашем систему који захтева прослеђивање, нећете ни користити овај ланац.

    Постоји један сигуран начин да проверите да ли ваш систем користи / треба ланац напријед.

    иптаблес -Л -в

    Слика изнад приказује сервер који је покренут неколико недеља и нема ограничења на долазне или одлазне везе. Као што можете видети, улазни ланац је обрадио 11ГБ пакета, а излазни ланац је обрадио 17ГБ. Ланац напред, с друге стране, није био потребан за обраду једног пакета. То је зато што сервер не ради никакво прослеђивање или се користи као пролазни уређај.

    Оутпут - Овај ланац се користи за одлазне везе. На пример, ако покушате да пингујете ховтогеек.цом, иптаблес ће проверити свој излазни ланац да види која су правила везана за пинг и ховтогеек.цом пре него што донесу одлуку да дозволи или одбије покушај повезивања.

    Тхе цавеат

    Иако се пинговање спољног хоста чини као нешто што би само требало да пређе излазни ланац, имајте на уму да ће се за враћање података користити и улазни ланац. Када користите иптаблес за закључавање вашег система, запамтите да ће много протокола захтијевати двосмјерну комуникацију, тако да ће и улазни и излазни ланци морати бити правилно конфигурирани. ССХ је заједнички протокол који људи заборављају да дозволе на оба ланца.

    Понашање у складу са правилима политике

    Пре него што уђете и конфигуришете одређена правила, желите да одлучите шта желите да подразумевано понашање три ланца буде. Другим речима, шта желите да иптаблес уради ако се веза не поклапа са постојећим правилима?

    Да бисте видели шта су ваши ланци правила тренутно конфигурисани да раде са неусклађеним саобраћајем, покрените иптаблес -Л команду.

    Као што можете видјети, користили смо и греп наредбу како бисмо добили чишћи излаз. На том снимку, наши ланци су тренутно схваћени да прихватају саобраћај.

    Више пута него не, желите да ваш систем прихвати везе по подразумеваној вредности. Осим ако сте раније променили правила ланца правила, ово подешавање би требало да буде већ конфигурисано. У сваком случају, ево наредбе за прихваћање веза по дефаулту:

    иптаблес --полици ИНПУТ АЦЦЕПТ
    иптаблес --полици ОУТПУТ АЦЦЕПТ
    иптаблес --полици ФОРВАРД АЦЦЕПТ

    Подразумевањем правила прихватања, онда можете користити иптаблес да бисте одбили одређене ИП адресе или бројеве портова, а да наставите да прихватате све друге везе. Доћи ћемо до тих наредби за минут.

    Ако бисте радије одбили све везе и ручно одредили које желите да дозволите да се повежете, требало би да промените подразумевану политику својих ланаца да испадне. Ово би вероватно било корисно само за сервере који садрже осетљиве информације и само икада имају исте ИП адресе које се повезују са њима.

    иптаблес --полици ИНПУТ ДРОП
    иптаблес --полици ОУТПУТ ДРОП
    иптаблес --полици ФОРВАРД ДРОП

    Одговори специфични за везу

    Са конфигурисаним подразумеваним ланчаним политикама, можете почети да додајете правила на иптаблес тако да зна шта треба да уради када наиђе на везу са или на одређену ИП адресу или порт. У овом водичу прећи ћемо на три најосновнија и најчешће коришћена „одговора“.

    Прихвати - Дозволите везу.

    Кап - Баци везу, понашај се као да се никада није догодило. Ово је најбоље ако не желите да извор схвати да ваш систем постоји.

    Одбити - Не дозволите везу, али вратите грешку. Ово је најбоље ако не желите да се одређени извор повеже са вашим системом, али желите да знају да их је ваш фиревалл блокирао.

    Најбољи начин да покажете разлику између ова три правила је да покажете како изгледа када рачунар покуша да пингује Линук машину са иптаблес конфигурираном за сваку од ових поставки..

    Омогућавање везе:

    Повлачење везе:

    Одбијање везе:

    Дозвољавање или блокирање одређених веза

    Са конфигурисаним ланцима смерница, сада можете да конфигуришете иптаблес да бисте дозволили или блокирали одређене адресе, опсеге адреса и портове. У овим примерима поставићемо везе на КАП, али их можете пребацити на АЦЦЕПТ или ОДБИТИ, у зависности од ваших потреба и начина на који сте конфигурисали ланце политика.

    Напомена: У овим примерима ћемо користити иптаблес -А додавање правила постојећем ланцу. иптаблес почиње на врху своје листе и пролази кроз свако правило док не пронађе онај који одговара. Ако треба да убаците неко правило изнад другог, можете да га користите иптаблес -И [ланац] [број] да бисте одредили број који би требало да буде на листи.

    Везе са једне ИП адресе

    Овај пример показује како блокирати све везе са ИП адресе 10.10.10.10.

    иптаблес -А ИНПУТ -с 10.10.10.10 -ј ДРОП

    Везе са низа ИП адреса

    Овај пример показује како блокирати све ИП адресе у опсегу мреже 10.10.10.0/24. Можете да користите нетмаску или стандардну ознаку за пречицу да бисте одредили опсег ИП адреса.

    иптаблес -А ИНПУТ -с 10.10.10.0/24 -ј ДРОП

    или

    иптаблес -А ИНПУТ -с 10.10.10.0/255.255.255.0 -ј ДРОП

    Везе са одређеним портом

    Овај пример показује како блокирати ССХ везе од 10.10.10.10.

    иптаблес -А ИНПУТ -п тцп -дпорт ссх -с 10.10.10.10 -ј ДРОП

    Можете да замените “ссх” било којим протоколом или бројем порта. Тхе -п тцп део кода говори иптаблес-у која врста везе користи протокол. Ако сте блокирали протокол који користи УДП а не ТЦП, онда -п удп би било потребно.

    Овај пример показује како блокирати ССХ везе са било које ИП адресе.

    иптаблес -А ИНПУТ -п тцп -дпорт ссх -ј ДРОП

    Стања везе

    Као што смо раније поменули, много протокола ће захтијевати двосмјерну комуникацију. На пример, ако желите да дозволите ССХ везе са вашим системом, улазни и излазни ланци ће им требати додато правило. Али, шта ако желите само да ССХ уђе у ваш систем? Неће се додавати правило у излазни ланац такође дозвољава одлазне ССХ покушаје?

    Ту се јављају стања конекције, која вам дају могућност да желите да омогућите двосмерну комуникацију, али да омогућите успостављање једносмерних веза. Погледајте овај пример, где су дозвољене ССХ везе од 10.10.10.10, али ССХ везе до 10.10.10.10 нису. Међутим, систему је дозвољено да шаље податке преко ССХ-а све док је сесија већ успостављена, што ССХ комуникацију чини могућом између ова два хоста.

    иптаблес -А ИНПУТ -п тцп --дпорт ссх -с 10.10.10.10 -м стате --стате НЕВ, ЕСТАБЛИСХЕД -ј АЦЦЕПТ

    иптаблес -А ОУТПУТ -п тцп --спорт 22 -д 10.10.10.10 -м стате --стате ЕСТАБЛИСХЕД -ј АЦЦЕПТ

    Савинг Цхангес

    Промене које направите у вашим иптаблес правилима ће бити укинуте следећи пут када се иптаблес услуга поново покрене ако не извршите команду да бисте сачували промене. Ова команда се може разликовати у зависности од ваше дистрибуције:

    Убунту:

    судо / сбин / иптаблес-саве

    Ред Хат / ЦентОС:

    / сбин / сервице иптаблес саве

    Ор

    /етц/инит.д/иптаблес саве

    Отхер Цоммандс

    Наведите тренутно конфигурирана иптаблес правила:

    иптаблес -Л

    Додавање опција ће вам дати информације о пакетима и бајтовима, и додати ће нумерисати све. Другим ријечима - називи хостова, протоколи и мреже су наведени као бројеви.

    Да бисте избрисали сва тренутно конфигурирана правила, можете издати команду флусх.

    иптаблес -Ф

    Водич за почетнике за управљање корисницима и групама у Линуку
    Водич за почетнике за Мицрософт Оутлоок 2013
    Водич за почетнике за прилагођавање Андроид почетног екрана
    Следећи чланак
    Водич за почетнике за Линук Диск Утилитиес
    Превиоус артицле
    Водич за почетнике за Греасемонкеи корисничке скрипте у Фирефок-у