ძირითადი შინაარსიდან გადასვლა

ძირითადი iptables კონფიგურაცია



სისტემაში ინსტალაციის შემდეგ ერთ-ერთი პრიორიტეტია iptables- ის ტრაფიკის გამარტივება. რა პოლიტიკას აძლევს ყველაფერს, რაც არ არის აკრძალული. ეს არ არის ყველაზე წარმატებული მეთოდი უსაფრთხოების თვალსაზრისით, რადგანაც ამ რეჟიმში სერვერზე ვრცელდება intruders.

შეგიძლიათ, მაგალითად, სკანირება პორტებზე ღია სერვერზე. აქედან გამომდინარე, შესაძლებელია განსაზღვროთ მომსახურება, მათი ვერსია, ოპერაციული სისტემის სახელი და ვერსია. შემდეგი - მათთვის მოწყვლადობის შერჩევა. ან ზოგიერთი icmp - შეტყობინებები მოგცემთ დამატებით ინფორმაციას.



ზოგადად, აღწერა იმის შესახებ, თუ რატომ გჭირდებათ კონფიგურაცია firewall, ღირსეული ცალკე მუხლი, რომლებიც უთვალავი. და თუ ამ სტატიას კითხულობთ, ნამდვილად იცი, რატომ გჭირდება ეს. ;)

საიტის ყველა სტატიის მსგავსად, ეს სწავლება პირადი გამოცდილების საფუძველზე იწერება, "მე ამას გავაკეთებ", სხვა ვინმე განსხვავებულია.



სტატიის შინაარსი:

აუცილებელი კომპონენტების ინსტალაცია

ამდენად, სისტემას უკვე აქვს ძირითადი საშუალებები საჭირო ინსტრუმენტების სიიდან - iptables. მაგრამ ეს არ არის საკმარისი. თქვენ ასევე გჭირდებათ tarpit და iptables- მუდმივი ფილტრი დატვირთვის წესები სისტემის გაშვების.

  # aptitude install iptables-persistent xtables-addons-dkms 

მუდმივი ინსტალაციის დროს, ორი შეკითხვა დაისმება არსებული წესების შენახვის შესახებ. თქვენ შეგიძლიათ უპასუხოთ "დიახ" და შემდეგ საქაღალდეში / etc / iptables / წესები / თქვენ შექმნით საჭირო ფაილებს იმ წესებით, რომელთა რედაქტირებაც.

რედაქტირება წესები ip ვერსია 4

გახსენით /etc/iptables/rules.v4 ფაილი თქვენს საყვარელ რედაქტორში. თქვენ დაინახავთ ხაზებს, რომლითაც შეიქმნება ნაგულისხმევი პოლიტიკის ჯაჭვები. ყველა ღირებულებაში, ის მიიღება. FORWARD ჯაჭვი, დააყენეთ DROP პოლიტიკა. ჩვენ არ ვართ როუტერი ან კომპიუტერი, რომ გადამისამართება სხვაგან. :) ჩვენ არ შეცვლის დანარჩენი.


  * ფილტრი
 : INPUT ACCEPT [0: 0]
 : FORWARD DROP [0: 0]
 : OUTPUT ACCEPT [0: 0]
 კომიტეტი 

კომიტეტის ხაზამდე ყველა სხვა წესი დაემატება. უპირველეს ყოვლისა, ჩვენ დავამატებთ წესს, რომელიც ადგილობრივ ტრაფიკს აძლევს.

  -A INPUT -i lo -j მიღება 

გარდა ამისა, წესი საშუალებას იძლევა ყველა დადგენილი აქტიური კავშირები ორივე TCP და UDP პროტოკოლებისთვის. ეს აუცილებელია ქსელის სწორი ოპერაციისთვის, რადგან ამის გარეშე უარი თქვას გამავალი კავშირების პასუხები.

  -A INPUT -m სახელმწიფო - სტაბილური დაკავშირებული, დადგენილება- all- ის მიღება 

ახლა თქვენ უნდა დაამატოთ წესი, რომელიც საშუალებას ინსტალაცია ახალი შემომავალი კავშირები გარკვეული მომსახურება. მე მაქვს ვებ სერვერი და ფოსტა, ისევე როგორც ssh.

მნიშვნელოვანი შენიშვნა! ყოველთვის დაამატეთ ssh- ს დასაშვებ წესს, ამიტომ სერვერზე წვდომის წესი არ დაიკარგება.

თქვენ შეგიძლიათ დაამატოთ სხვა პორტები, რომლებიც გამოყოფილია მძიმით. გამრავლების გაფართოება საშუალებას გაძლევთ დააკონკრეტოთ რამდენიმე პორტი, რათა არ წარმოადგინოთ თითქმის ცალკეული იდენტური წესები. ;)

  -A INPUT -m სახელმწიფო - STAT NEW-p tcp -m multiport --dport 22,25,80,443-ჟეისი 

თუ თქვენ გაქვთ მხოლოდ ერთი სერვისი სერვერზე, რომლისთვისაც ერთი პორტის გახსნა გჭირდებათ, წესი იქნება შემდეგი:

  -A INPUT -m სახელმწიფო - STAT NEW-p tcp --dport 22 -j ACCEPT 

თქვენ ასევე დაგჭირდებათ გარკვეული udp პორტების გახსნა. ერთადერთი განსხვავება ზემოთ მოყვანილი წესებისგან არის ის, რომ ნაცვლად- tcp- ს უნდა მიუთითოთ udp .

და როდესაც თქვენ დაამატოთ შემდეგი წესი, tarpit ფილტრი მოდის მოსახერხებელია, რომელიც ჩვენ დაყენებული xtables-addon-dkms პაკეტი. მოკლედ, ის ქმნის ხაფანგში შემომავალ კავშირებს, არ უგზავნის უკან დაბრუნებას, მაგრამ კავშირის დამყარება, რომელიც დაკავშირებულია კლიენტის რესურსებთან, მაგრამ არა სერვერზე. შეიტყვეთ უფრო მეტი tarpit on OpenNET ნახვა. ახლა, დაამატეთ წესი ყველა სხვა შემომავალი კავშირები.

  -A INPUT -p tcp -m tcp -j ტარპიტი 

მნიშვნელოვანია გვახსოვდეს, რომ ხაფანგში მუშაობს მხოლოდ TCP. ანალოგიურად, შეგიძლიათ განახორციელოთ აკრძალვა IP- ზე iptables დონეზე, ნაცვლად სტანდარტული წვეთი. სამწუხაროდ, ეს არ არის შესაფერისი udp. აქედან გამომდინარე, ჩვენ ყველა სხვა შემომავალ ტუპ-პაკეტს კრძალავს, რისთვისაც გამონაკლისი არ შეიქმნა.

  -A INPUT -p udp -j DROP 

და ჩვენ ვიღებთ ICMP- ს. აქ, როგორც icmp ტიპის, შეგიძლიათ მიუთითოთ კოდი ან ექვივალენტი სახელი. მაქვს კოდი. :)

ჩვენ საშუალებას მისცემს შემომავალი echo გამოხმაურება იმ შემთხვევაში, თუ ჩვენ ping ზოგიერთი სხვა მასპინძელი სერვერზე.

  -A INPUT -p icmp --icmp-type 0 -j ACCEPT 

შემდეგ შემომავალი icmp - შეტყობინებები ადრესატის შეუძლებლობის შესახებ.

  -A INPUT -p icmp --icmp-type 3 -j ACCEPT 

და შემომავალი pings თუ ვინმე pings ჩვენი სერვერზე.

  -A INPUT -p icmp --icmp-type 8 -j ACCEPT 

ასევე პაკეტის ვადის გასვლის შესახებ შეტყობინება.

  -A INPUT -p icmp --icmp-type 11 -j ACCEPT 

ეს არის აუცილებელი მინიმალური შეტყობინებები ქსელის სწორი ოპერაციისათვის. თქვენ შეიძლება დაგჭირდეთ სხვა კოდები . როგორ გადავწყვიტო მათ, უკვე იცით. :)

ახლა ჩვენ ვაპირებთ შექმნას წესები გამავალი ICMP შეტყობინებები. ეს წესები გამოიყურება მსგავსი, მაგრამ ჯაჭვი უკვე გამოსულია. აქედან გამომდინარე, აზრი არ აქვს მათ აღწერს.

  -A OUTPUT -p icmp --icmp-type 0 -j ACCEPT
 -A OUTPUT -p icmp --icmp-type 3 -j ACCEPT
 -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT
 -A OUTPUT -p icmp --icmp-type 11 -j ACCEPT
 -A OUTPUT -p icmp --icmp- ტიპის 12-ჟ 

გარდა მეთორმეტე. ეს საშუალებას იძლევა არასწორი პარამეტრის გაგზავნა (შეცდომა IP სათაურში ან საჭირო ვარიანტი არ არის).

ყველა სხვა გამავალი ICMP- ი აკრძალულია ისე, რომ სერვერი არ იშლება ზედმეტი.

  -A OUTPUT -p icmp -j DROP 

ეს ყველაფერი. შეინახეთ /etc/iptables/rules.v4 ფაილი, გაააქტიუროთ ბრძანება ბრძანებით:

  კატა /etc/iptables/rules.v4 |  iptables-restore -c 


როგორ შეაფასებ სტატიას?
Звёзд: 1Звёзд: 2Звёзд: 3Звёзд: 4Звёзд: 5 ( 6 რეიტინგი, საშუალოდ: 4.17 გარეთ 5)
იტვირთება ...

კომენტარის დამატება

თქვენი ელფოსტა არ გამოქვეყნდება.