Негізгі мазмұнға өту

Негізгі iptables конфигурациясы



Жүйені орнатқаннан кейін басымдықтардың бірі - трафикті сүзу үшін iptables-ты дұрыс конфигурациялау. Әдепкі саясат тыйым салынған барлық нәрселерге мүмкіндік береді. Бұл қауіпсіздік тұрғысынан ең сәтті әдіс емес, себебі осы режимде сервер зиянкестерге ұшырайды.

Мысалы, сервердегі ашық порттарды тексере аласыз. Осының негізінде пайдаланылатын қызметтерді, олардың нұсқасын, операциялық жүйенің атауын және нұсқасын анықтауға болады. Бұдан - осалдықтарды таңдау. Немесе кейбір icmp - хабарлар қосымша ақпарат бере алады.



Жалпы алғанда, брандмауэрді неге теңшеуге болатындығын сипаттайтын, жеке мақалаға лайықсыз сипаттамалардың жалпы сипаттамасы. Егер сіз осы мақаланы оқып отырсаңыз, неге сізге керек екенін білесіз. ;)

Сайттағы барлық мақалалар секілді, бұл нұсқаулық жеке тәжірибе негізінде жазылған, «Мен мұны істеймін», басқасы басқаша.



Мақала мазмұны:

Қажетті компоненттерді орнату

Сонымен, жүйе қазірдің өзінде қажетті құралдардың тізімінен - ​​iptables. Бірақ бұл жеткіліксіз. Сондай-ақ, жүйені іске қосу кезінде ережелерді жүктеу үшін, tarpit және iptables - тұрақты сүзгіні қажет етеді.

  # aptitude iptables орнату - тұрақты xtables-addons-dkms 

Тұрақты орнату кезінде ағымдағы ережелерді сақтау туралы екі сұрақ қойылады. Сіз «иә» деп жауап бересіз, сосын / etc / iptables / rules / қалтасында қажетті файлдарды түзететін ережелермен жасай аласыз.

Ip нұсқа 4 үшін ережелерді өңдеу

Таңдаулы редакторда /etc/iptables/rules.v4 файлын ашыңыз. Шектерге арналған әдепкі саясатын орнататын жолдарды көресіз. Барлық құндылықтарда ол қабыл болады. FORWARD тізбегі үшін DROP саясатын орнатыңыз. Біз маршруттағы немесе басқа жерде трафикті қайта бағыттайтын компьютер емеспіз. :) Біз қалғанын өзгертпейміз.


  * сүзгі
 : INPUT ACCEPT [0: 0]
 : FORWARD DROP [0: 0]
 : OUTPUT ACCEPT [0: 0]
 COMMIT 

Барлық басқа ережелер COMMIT сызығына дейін қосылады. Ең алдымен жергілікті трафикке рұқсат беретін ережені қосамыз.

  -A INPUT -I ҚАБЫЛДАҒАН 

Сонымен қатар, ереже tcp және udp хаттамалары үшін барлық орнатылған белсенді байланыстарға мүмкіндік береді. Бұл желінің дұрыс жұмыс істеуі үшін қажет, өйткені онсыз сыртқы байланыстарға жауаптар қабылданбайды.

  -A INPUT -m state - мемлекетпен байланысқан, ҚҰРЫЛҒАН -p -c ACCEPT 

Енді кейбір қызметтерге жаңа кіріс қосылымдарын орнатуға мүмкіндік беретін ережені қосу керек. Менің веб-сервер мен поштам бар, сондай-ақ ssh.

Маңызды ескерту! Әрқашан ssh бағдарламасына рұқсат беру ережесін қосыңыз, сондықтан ережелер қолданылғаннан кейін серверге қатынауды жоғалтпайсыз.

Мұнда үтірмен бөлінген басқа порттарды қосуға болады. Multort кеңейтімі әрбір жеке үшін бірдей ережелерді шығармау үшін бірнеше портты көрсетуге мүмкіндік береді. ;)

  -A INPUT -m мемлекет - ЖАҢА - pcp -m multiport - dport 22,25,80,443 -j ACCEPT 

Серверде бір портты ашу қажет болатын бір ғана қызмет болса, ереже келесідей болады:

  -A INPUT -m state -state NEW -p tcp -dport 22 -j ACCEPT 

Сондай-ақ, кейбір udp порттарын ашу қажет болуы мүмкін. Жоғарыдағы ережелерден айырмашылығы -p tcp орнына -p udp көрсетіңіз.

Келесі ережені қосқан кезде, tarpit сүзгісі xtables-addon-dkms бумасымен орнатылатын ыңғайлы болып келеді. Қысқаша айтқанда, бұл кіріс қосылымдар үшін тұзақты жасайды, ештеңені жібермей, бірақ байланыстырушы клиенттің ресурстарын ысырып тастайды, бірақ сервер емес. OpenNET веб-торабында үйрену туралы қосымша ақпарат алыңыз . Енді барлық басқа кіріс қосылымдары үшін ереже қосыңыз.

  -A INPUT -p tcp -m tcp -j TARPIT 

Бұл тұзақ TCP арқылы ғана жұмыс істейтінін есте ұстаған жөн. Сол сияқты, стандартты құлдыраудың орнына iptables деңгейінде IP-ға тыйым салуды жүзеге асыруға болады. Өкінішке орай, udp үшін қолайлы емес. Сондықтан біз басқа барлық кіретін udp-пакеттеріне тыйым саламыз.

  -A INPUT -p udp -j DROP 

Біз icmp үшін аламыз. Мұнда icmp түрі ретінде кодты немесе баламалы атауды көрсетуге болады. Менде код бар. :)

Серверден басқа хостты пингке салатын болсақ, кіріс эхо жауаптарына рұқсат береміз.

  -A INPUT -p icmp --icmp-type 0 -j ACCEPT 

Содан кейін келетін icmp - адресаттың қол жетімділігі туралы хабарламалар.

  -A INPUT -p icmp --cmp-type 3 -j ACCEPT 

Ал біздің кез-келген біреуіміз серверге отыратын болса, кіріс сырлары.

  -A INPUT -p icmp --smmp-type 8 -j ACCEPT 

Сондай-ақ, пакеттің жарамдылық мерзімі туралы хабарлама.

  -A INPUT -p icmp --cmp-type 11 -j ACCEPT 

Бұл желінің дұрыс жұмыс істеуі үшін қажетті ең аз хабарлар. Басқа кодтар қажет болуы мүмкін. Оларды қалай шешуге болады, сіз білесіз. :)

Енді шығыс icmp хабарларының ережелерін жасаймыз. Бұл ережелер ұқсас көрінеді, бірақ тізбегі қазірдің өзінде OUTPUT. Сондықтан оларды сипаттаудың мағынасы жоқ.

  -A OUTPUT -p icmp --icmp-type 0 -j ACCEPT
 -A OUTPUT -p icmp --icmp-type 3 -j ACCEPT
 -A OUTPUT -p icmp --cmp-type 8 -j ACCEPT
 -A OUTPUT -p icmp --cmp-type 11 -j ACCEPT
 -A OUTPUT -p icmp --inmp-type 12 -j ACCEPT 

Он екіншіден басқа. Ол жарамсыз параметр хабарын жіберуге мүмкіндік береді (IP тақырыбындағы қате немесе қажетті параметр жоқ).

Барлық басқа шығатын ICMP-ке тыйым салынады, осылайша сервер қосымша болып табылады.

  -A OUTPUT -p icmp -j DROP 

Мұның бәрі. /Etc/iptables/rules.v4 файлын сақтаңыз, пәрменмен ережелерді іске қосыңыз:

  cat /etc/iptables/rules.v4 |  iptables-restore -c 


Сіз мақаланы қалай бағалайсыз?
Звёзд: 1Звёзд: 2Звёзд: 3Звёзд: 4Звёзд: 5 ( 6 рейтинг, орташа: 4.17 оның 5)
Жүктелуде ...

Пікір қосу

Сіздің электронды поштаңыз жарияланбайды.