centos 7 da ipptables konfiguratsiyasi haqida malumot 65cd97c10b158

CentOS 7-da IPptables konfiguratsiyasi haqida malumot

от

centos 7 da ipptables konfiguratsiyasi haqida malumot 65cd97c10b158

CentOS 7-da IPptables konfiguratsiyasi haqida malumot

Mundarija скрыть
CentOS 7-da IPptables konfiguratsiyasi haqida malumot
CentOS 7-da IPptables konfiguratsiyasi
IPptables xizmatlarini o’rnatish
Iptables xizmatlarini to’xtating va ishga tushiring
Qoidalarni ko’rish va o’chirish
Trafikning qabul qilinishi va tushishi
Portga ruxsat berish va blokirovka qilish
ICMP qulfi
Serverda ruxsatsiz harakatlardan saqlaning
Ushbu maqola sizga yordam berdimi?

Linux yadrosiga asoslangan barcha operatsion tizimlar foydalanuvchi yoki platforma tomonidan belgilangan qoidalar asosida kiruvchi va chiquvchi trafikni boshqaruvchi va filtrlaydigan ichki xavfsizlik devoriga ega. CentOS 7 tarqatilishida, sukut bo’yicha, bu funktsiya iptablesTizim ma’muri yoki tarmoq menejeri ba’zida ushbu komponentning ishlashini sozlashi kerak. Ba’zan tizim ma’muri yoki tarmoq menejeri ushbu komponentni tegishli qoidalarni yozish orqali sozlashi kerak. Bugungi maqolada biz konfiguratsiya asoslari haqida gaplashmoqchimiz iptables Yuqorida aytib o’tilgan operatsion tizimda.

CentOS 7-da IPptables konfiguratsiyasi

Ushbu vositaning o’zi CentOS 7-ni o’rnatishni tugatgandan so’ng darhol mavjud, ammo qo’shimcha ravishda ba’zi xizmatlarni o’rnatish kerak bo’ladi, bu haqda biz keyinroq gaplashamiz. Ushbu platformada FirewallD deb nomlangan xavfsizlik devori vazifasini bajaradigan yana bir o’rnatilgan vosita mavjud. Kelgusi ishlarda ziddiyatlarga yo’l qo’ymaslik uchun ushbu komponentni o’chirishni tavsiya etamiz. Ushbu mavzu bo’yicha batafsil ko’rsatmalarni quyidagi havoladagi boshqa maqolamizda topishingiz mumkin.

Ko’proq o’qing: CentOS 7-da xavfsizlik devorini o’chirib qo’yish

Ma’lumki, tizimda IPv4 va IPv6 protokollaridan foydalanish mumkin. Bugun biz IPv4 misoliga to’xtalamiz, ammo agar siz uni boshqa protokol uchun sozlashni xohlasangiz, ushbu parametrdan foydalanishingiz kerak iptables foydalanish uchun konsolda ip6 jadvallari.

IPptables xizmatlarini o’rnatish

Birinchi narsa — bugun biz aytgan yordam dasturining qo’shimcha qismlarini tizimingizga qo’shish. Ular qoidalar va boshqa parametrlarni sozlashda yordam beradi. Yuklash rasmiy ombordan olingan, shuning uchun sizni ko’p vaqt talab qilmaydi.

  1. Barcha keyingi harakatlar klassik konsolda amalga oshiriladi, shuning uchun uni har qanday qulay usul bilan ishlating.
  2. Xizmatlarni o’rnatish buyrug’i sudo yum install iptables-services. Uni kiriting va tugmachani bosing. Men kirdim.
  3. Parolni ko’rsatib, superuser hisobini tasdiqlang. Iltimos, iltimos qilinganda sudo Satrga kiritilgan belgilar hech qachon ko’rsatilmaydi.
  4. Sizdan tizimga paket qo’shishingiz, tugmani tanlash bilan ushbu amalni tasdiqlashingiz so’raladi y.
  5. O’rnatish tugagandan so’ng, asbobning joriy versiyasini tekshiring: sudo iptables --version.
  6. Natijada yangi satrda paydo bo’ladi.

Operatsion tizim endi qo’shimcha dastur orqali xavfsizlik devorini sozlash uchun to’liq tayyor iptables. Xizmatni boshqarish bilan boshlanib, konfiguratsiya nuqtasidan nuqtaga o’tishni taklif qilamiz.

Iptables xizmatlarini to’xtating va ishga tushiring

Tartibni boshqarish iptables ba’zi bir qoidalarning bajarilishini tekshirishingiz yoki komponentni qayta ishga tushirishingiz kerak bo’lganda talab qilinadi. Buning uchun o’rnatilgan buyruqlar ishlatiladi.

  1. Men kirdim sudo service iptables stop tugmachasini bosing Men kirdimxizmatlarni to’xtatish.
  2. Ushbu protsedurani tasdiqlash uchun superuser parolini ko’rsating.
  3. Jarayon muvaffaqiyatli bo’lsa, konfiguratsiya faylida o’zgarishlar kiritilganligini ko’rsatadigan yangi satr ko’rsatiladi.
  4. Xizmatlar juda o’xshash tarzda boshlanadi, faqat zanjir shunga o’xshash sudo service iptables start.

Shunga o’xshash qayta boshlash, boshlash yoki to’xtatish yordam dasturi har qanday vaqtda mavjud, faqat so’ralganda teskari qiymatni qaytarishni unutmang.

Qoidalarni ko’rish va o’chirish

Yuqorida aytib o’tilganidek, xavfsizlik devori qoidalarni qo’lda yoki avtomatik ravishda qo’shish orqali boshqariladi. Masalan, ba’zi qo’shimcha dasturlar ba’zi qoidalarni o’zgartirish orqali asbobga kirishlari mumkin. Biroq, ushbu harakatlarning aksariyati hali ham qo’lda bajariladi. Amaldagi barcha qoidalar ro’yxatini buyruq orqali ko’rish mumkin sudo iptables -L.

Ko’rsatilgan natija uchta satr haqida ma’lumotga ega bo’ladi: «KIRISH», «CHIQISH» и «OLDDA» — mos ravishda kiruvchi, chiquvchi va yo’naltirilgan trafik.

Kiritish orqali barcha satrlarning holatini aniqlashingiz mumkin sudo iptables -S.

Agar siz ko’rgan qoidalar sizga mos kelmasa, ular shunchaki o’chiriladi. Barcha ro’yxat quyidagicha tozalanadi: sudo iptables -F. Faollashtirilgandan so’ng, barcha uchta zanjir uchun qoidalar o’chiriladi.

Faqatgina zanjirdagi siyosatlarga ta’sir qilish kerak bo’lganda, zanjirga qo’shimcha argument qo’shiladi:

sudo iptables -F INPUT
sudo iptables -F OUTPUT
sudo iptables -F FORWARD

Barcha qoidalarning yo’qligi shuni anglatadiki, endi ikkala tomonga trafikni filtrlash sozlamalari qo’llanilmaydi. Shunday qilib, tizim ma’muri allaqachon bir xil konsol, buyruq va turli xil dalillarni ishlatib, yangi sozlamalarni o’zi o’rnatadi.

Trafikning qabul qilinishi va tushishi

Har bir sxema trafikni qabul qilish yoki blokirovka qilish uchun alohida tuzilgan. Muayyan qiymatni belgilash orqali siz, masalan, barcha kiruvchi trafik bloklanganligini ta’minlashingiz mumkin. Buning uchun buyruq bo’lishi kerak sudo iptables --policy INPUT DROPqaerda Kirish — elektronning nomi va YO’Q — qiymatni tiklash.

Aynan shu parametrlar boshqa sxemalar uchun o’rnatiladi, masalan sudo iptables --policy OUTPUT DROP. Agar siz trafikni qabul qilish qiymatini belgilamoqchi bo’lsangiz, u holda YO’Q o’zgarishlar QABUL QILING va siz olasiz sudo iptables --policy INPUT ACCEPT.

Portga ruxsat berish va blokirovka qilish

Ma’lumki, barcha tarmoq dasturlari va jarayonlari ma’lum bir portda ishlaydi. Muayyan manzillarni blokirovka qilish yoki ularga ruxsat berish orqali siz tarmoqdagi barcha maqsadlar uchun kirishni boshqarishingiz mumkin. Misol tariqasida portni yo’naltirishni olaylik 80. The «Terminal». qilishingiz kerak bo’lgan narsa — bu buyruqni kiritishdir sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPTqaerda -A — Yangi qoida qo’shing, Kirish — elektronning ko’rsatkichi, -P — protokolning ta’rifi, bu holda TCP va -port — boradigan joy.

Xuddi shu buyruq portga tegishli 22SSH xizmati tomonidan ishlatiladigan: sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT.

Belgilangan portni blokirovka qilish uchun aynan bir xil turdagi satr qo’llaniladi, faqat oxirida QABUL QILING ga o’zgartirish. YO’Q. Natijada, masalan, sudo iptables -A INPUT -p tcp --dport 2450 -j DROP.

Ushbu qoidalarning barchasi konfiguratsiya faylida saqlanadi va ularni istalgan vaqtda ko’rishingiz mumkin. Eslatib o’tamiz, bu orqali amalga oshiriladi sudo iptables -L. Agar siz tarmoqning IP-manzilini port bilan birga hal qilmoqchi bo’lsangiz, satr biroz o’zgartirilgan — keyin bandiga tomonidan qo’shilgan -s va manzilning o’zi. sudo iptables -A INPUT -p tcp -s 12.12.12.12/32 --dport 22 -j ACCEPTqaerda 12.12.12.12/32 — kerakli IP-manzil.

Qulf ham xuddi shu printsipga amal qiladi, oxirida qiymatni o’zgartiradi QABUL QILING en YO’Q. Sizda, masalan, sudo iptables -A INPUT -p tcp -s 12.12.12.0/24 --dport 22 -j DROP.

ICMP qulfi

ICMP (Internet Control Message Protocol) — bu TCP / IP tarkibiga kiruvchi va trafik boshqarilganda xato va favqulodda xabarlarning uzatilishiga aralashadigan protokol. Masalan, so’ralgan server mavjud bo’lmaganda, bu xizmat funktsiyalarini bajaradigan vosita. Qulaylik iptables uni xavfsizlik devori orqali blokirovka qilishga imkon beradi va buni buyruq yordamida qilishingiz mumkin sudo iptables -A OUTPUT -p icmp --icmp-type 8 -j DROP. Bu sizning serveringizga va undan kelgan so’rovlarni bloklaydi.

Kiruvchi so’rovlar biroz boshqacha tarzda bloklanadi. Keyin kirishingiz kerak sudo iptables -I INPUT -p icmp --icmp-type 8 -j DROP. Ushbu qoidalarni faollashtirgandan so’ng, server ping so’rovlariga javob bermaydi.

Serverda ruxsatsiz harakatlardan saqlaning

Serverlar ba’zan DDoS hujumlari yoki tajovuzkorlarning boshqa ruxsatsiz harakatlari bilan nishonga olinadi. Xavfsizlik devorining to’g’ri sozlamalari ushbu turdagi xakerlikdan himoyalanishga yordam beradi. Boshlash uchun quyidagi qoidalarni o’rnatishingizni tavsiya qilamiz:

  1. Konsolga yozing iptables -A INPUT -p tcp --dport 80 -m limit --limit 20/minute --limit-burst 100 -j ACCEPTqaerda –20 daqiqaga cheklang — ijobiy natijalar chastotasini cheklash. Siz o’lchov birligini o’zingiz belgilashingiz mumkin, masalan, /second, /minute, /hour, /day. — Portlash chegarasi soni — yo’naltirilishi mumkin bo’lgan paketlar sonini cheklaydi. Barcha qiymatlar administratorning xohishiga ko’ra alohida o’rnatiladi.
  2. Keyinchalik, buzilishning mumkin bo’lgan sabablaridan birini bartaraf etish uchun ochiq portni skanerlashni o’chirib qo’yishingiz mumkin. Birinchi buyruqni kiriting sudo iptables -N block-scan.
  3. Keyin belgilang sudo iptables -A block-scan -p tcp —tcp-flags SYN,ACK,FIN,RST -m limit —limit 1/s -j RETURN.
  4. Oxirgi uchinchi buyruq quyidagi shaklga ega: sudo iptables -A block-scan -j DROP. Ifoda ommaviy skanerlash bu holatlarda u ishlatilgan elektron nomi.

Bugungi kunda ko’rsatilgan konfiguratsiya — bu xavfsizlik devorini boshqarish vositasidagi asosiy operatsiya. Yordamchi dasturning rasmiy hujjatlarida siz barcha mavjud argumentlar va variantlarning tavsifini topasiz va xavfsizlik devorini sizning ehtiyojlaringizga mos ravishda sozlashingiz mumkin. Yuqorida biz tez-tez qo’llaniladigan va aksariyat hollarda majburiy bo’lgan standart xavfsizlik qoidalarini muhokama qildik.

Biz sizning muammoingizda sizga yordam bera olganimizdan xursandmiz.

Siz uchun nima ishlamaganligini tasvirlab bering.
Bizning mutaxassislarimiz imkon qadar tezroq javob berishga harakat qilishadi.

Ushbu maqola sizga yordam berdimi?

Linux, Texnologiyalar
CentOS 7-da IPptables konfiguratsiyasi