Az IP táblák kezdő útmutatója

Az IPTáblák kezdő útmutatója

Az IPTables egy olyan tűzfalrendszer neve, amely a Linux parancssorán keresztül működik. Ez a program főként alapértelmezett segédprogramként érhető el a Ubuntu. A rendszergazdák gyakran használják az IPTables tűzfalat a hálózatok forgalmának engedélyezéséhez vagy blokkolásához. Ha még nem ismeri az IPTáblákat, akkor az egyik első lépés, amelyet meg kell tennie, a frissítés vagy telepítés az alábbi parancs segítségével:

$ sudo apt-get install iptables

Míg a felhasználók, akik újak a parancssori interfészekre, találnak egy tanulási görbét az IPTáblákhoz csatolva, maga a segédprogram elég egyszerű ahhoz, hogy használható. Számos olyan alapvető parancs létezik, amelyek kenyérként és vajként szolgálnak a forgalom irányításához. Ennek ellenére nagyon óvatosnak kell lennie, amikor módosítja az IPTables szabályait. Ha rossz parancsot ad meg, akkor az IPTáblákból való kiszorulást teljes egészében kizárhatja, amíg a fizikai gépen nem oldja meg a problémát.

Ebben a cikkben az IPTáblákra vonatkozó alapvető útmutatót fogunk nyújtani, és bemutatjuk az alapokat. Mielőtt az IPTáblák középpontjába kerülne, ellenőriznie kell, hogy van-e a VPA fut az Ubuntu 16.04 és a helyi gép SSH klienssel. Ha már rendelkezel ezekkel, ideje elkezdeni.

IPTáblák bemutatója: Láncok

Iptable oktató láncok

Az IPT táblázatokban rejlő egyik alapvető fogalom a láncok fogalma. A lánc alapvetően szabály. A szűrő táblázata három láncot tartalmaz, amelyekkel az IPTáblázatokon találkozhat; BEMENET, ELŐRE és KIMENET.

  • BEMENET - Az INPUT lánc az a szabály, amely a bejövő csomagokat vezérli. Itt blokkolhatja vagy engedélyezheti az új kapcsolatok létrehozását. Ezt megteheti port, protokoll és forrás IP-cím alapján.
  • ELŐRE - A FORWARD lánc kiszűri a beérkező csomagokat, amelyeket egy másik végpontba továbbítanak. Valószínűtlen, hogy ezt a láncot használja, hacsak nem útvonalon áll, vagy kifejezetten továbbítást keres.
  • KIMENET - Az OUTPUT lánc kimenő csomagok és kapcsolatok kezelésére szolgál. Fontos megjegyezni, hogy ha külső gazdagépet pingol, akkor a bemeneti láncot fogja felhasználni az adatok visszaküldéséhez.

Alapértelmezett lánc viselkedés

Érdemes lehet egyenesen belemenni az egyes szabályok konfigurálásába induláskor, de előbb vissza kell lépnie az alapértelmezett viselkedés meghatározásához. A láncok alapértelmezett viselkedésének azonosításához a következő parancsot kell futtatnia:

$ sudo iptables -L parancs

Ez a következőket fogja mutatni:

láncszabályok 2

@ ubuntu felhasználó: ~ $ sudo iptables -L -v
Lánc bemenet (politika elfogadása)
Lánc FORWARD (a politika elfogadja)
Lánc kimenet (politika elfogadása)
user @ ubuntu: ~ $

Ez az információ pontosan megmondja, hogy a láncokat hogyan kell konfigurálni. A példában a bemeneti, továbbító és kimeneti láncok úgy vannak beállítva, hogy elfogadják a forgalmat. Ezek a beállítások jó kiindulási pontot jelentenek, mivel nem blokkolják az esetlegesen szükséges kapcsolatokat.

Ha azonban úgy találja, hogy házirendje nem fogadja el a kapcsolatokat, akkor az összes kapcsolat elfogadásához megadhatja a következő parancsok mindegyikét:

$ sudo iptables - politika INPUT ACCEPT$ sudo iptables - KIEGÉSZÍTŐ POLITIKA$ sudo iptables - politika FORWARD ACCEPT

Miután az alapértelmezett értékeket hozzáigazította az összes kapcsolat elfogadásához, ellenőrizheti az IPTáblákhoz való hozzáférést az IP-címek és a portszámok blokkolásával. Ez lehetővé teszi, hogy megadja a blokkolni kívánt kapcsolatokat, ahelyett, hogy alapértelmezés szerint mindent blokkolna.

Ha különösen érzékeny információkkal dolgozik, akkor konfigurálhatja az alapértelmezéseket, hogy automatikusan blokkolja az összes kapcsolatot. Ily módon az IPTáblázatok segítségével kiválaszthatja az engedélyezett egyedi IP-címeket. Ehhez be kell írnia a következő parancsot:

$ sudo iptables - politika INPUT DROP$ sudo iptables - KIEGÉSZÍTŐ POLITIKA$ sudo iptables - politika FORWARD DROP

A felhasználók többsége jobb lesz, ha elfogadja az összes kapcsolatot, de érdemes emlékezni, ha magas biztonságú szerveren dolgozik.

Az egyéni kapcsolatok konfigurálása

az egyedi kapcsolatok konfigurálása

Miután konfigurálta az alapértelmezett lánc viselkedését, ideje konfigurálni az egyes kapcsolatokat. Ezen a ponton konfigurálhatja az úgynevezett kapcsolat-specifikus választ. Ez alapvetően megmutatja az IPTáblázatoknak, hogy miként kell beavatkozni, ha csatlakoznak egy IP-címhez vagy porthoz. Ezek a válaszok a következők: ELFOGAD, CSEPP, ELUTASÍT.

Amint az a fenti képen látható, a felhasználó meghatározta a láncszabályokat, amelyek lehetővé teszik, megszakíthatják vagy elutasíthatják a kapcsolatot a követelmények alapján. Az alábbiakban leírjuk, hogy az egyes válaszok milyen következményekkel járnak:

  • ELFOGAD - Ez a konfiguráció egyszerűen lehetővé teszi a kapcsolat létrejöttét.
  • CSEPP - A csepp letiltja a kapcsolatot anélkül, hogy bármilyen módon beavatkozna a forrásba.
  • ELUTASÍT - Ez blokkolja a csatlakozási kísérletet, de hibaüzenetet is küld. Ez általában a forrás értesítése, hogy a tűzfal blokkolta a csatlakozási kísérletet.

A kapcsolatok engedélyezése vagy letiltása

A beállításoktól függően sokféleképpen blokkolhatja vagy engedélyezheti a kapcsolatokat. Az alábbi példák a felhasználás rejtett blokkolási módszerét használják Csepp a kapcsolatok bármiféle kölcsönhatás nélküli leszakítása. iptable -A lehetővé teszi számunkra, hogy további figyelmeztetéseket adjunk az alapértelmezett láncbeállítások által létrehozott szabályokhoz. Az alábbiakban látható, hogyan lehet ezt a parancsot felhasználni a kapcsolatok blokkolására:

Egyetlen IP-cím blokkolása:

$ sudo iptables -A BEMENET -S 10.10.10.10 -j DROP

A fenti példában a 10.10.10.10-et kicserélné a blokkolni kívánt IP-címre.

IP-címtartomány blokkolása:

$ sudo iptables -A BEMENET -ek 10.10.10.10.0 / 24 -j DROP

vagy

$ sudo iptables -A BEMENET -ek 10.10.10.0/255.255.255/.0 -j DROP

Egyetlen port blokkolása:

$ sudo iptables -A INPUT -p tcp -dport ssh -s 10.10.10.10 -j DROP

Vegye figyelembe, hogy az „ssh” bármilyen protokollal vagy portszámmal helyettesíthető. Fontos megjegyezni, hogy a kód -p tcp szegmense arra utal, hogy a blokkolni kívánt protokoll UDP-t vagy TCP-t használ-e..

Ha a protokoll UDP-t használ, akkor beírná -p udp ahelyett -p tcp. Az összes kapcsolatot az IP-címekről az alábbi parancs beírásával is blokkolhatja:

$ sudo iptables -A INPUT -p tcp -dport ssh -jDROP

Kétirányú kommunikáció: A kapcsolat állapotának IPTáblái bemutatója

Az általad tapasztalt protokollok többsége megköveteli, hogy a kommunikáció mindkét irányba menjen az átvitel végrehajtásához. Ez azt jelenti, hogy az átvitelek bemeneti és kimeneti elemekből állnak. Ami belekerül a rendszerébe, ugyanolyan fontos, mint az, ami kijön. A csatlakozási állapotok lehetővé teszik a kétirányú és az egyirányú kapcsolatok keverését és összehangolását. Az alábbi példában az SSH-protokoll blokkolta az SSH-kapcsolatokat az IP-címről, de lehetővé teszi azokat az IP-címre:

$ sudo iptables -A BEJELENTÉS -p tcp -dport ssh -s 10.10.10.10 -m állapot - állam ÚJ, LÉTREHOZOTT -j ELFOGADTA

$ sudo iptables -A Kimenet -p tcp -sport 22-d 10.10.10.10. -m állapot - állam LÉTREHOZOTT -J ELFOGADTA

Miután megadta a parancsot a kapcsolat állapotának megváltoztatására, el kell mentenie a változtatásokat. Ha nem, amikor bezárja a segédprogramot, akkor a konfiguráció elveszik. A használt terjesztési rendszertől függően számos különféle parancs használható:

Ubuntu:

$ sudo / sbin / iptables-save

Red Hat / CentOS -

$ sudo / sbin / service iptables mentés

VAGY

$ sudo  /etc/init.d/iptables mentés 

Ne feledje, hogy ezeket a parancsokat kell használni, mivel kiküszöböli azt a gondot, hogy minden egyes alkalommal be kell állítania a konfigurálást..

Szabály törlése

Ugyanolyan fontos, mint a szabályok mentése, hogy törölje azokat. Ha hibát követ el, vagy egyszerűen csak el akarja távolítani egy régi szabályt, akkor használhatja a -D parancs. Ezt a parancsot a megadott szabály számával kell kombinálni. A szám megmutatja az IPTáblázatoknak, hogy melyik szabályt kell törölni. Például, ha be kellene írnia:

$ sudo iptables - D INPUT 10

Ekkor a konfigurált 10. szabály törlődik.

Ha takarítani szeretné a házat, és el szeretne távolítani egy sor szabályt, akkor használhatja a -F parancs. Ezt megteheti az alábbiak megadásával:

$ sudo iptables -F

Ez törli a teljes szabálykészletet, és átöblíti az IPTáblát.

IPTáblák: Ismerje meg a láncszabályokat!

Ez lezárja az IPTables bemutatónkat. Mint láthatja, az IPTables sokoldalú eszköz a forgalom blokkolására és engedélyezésére Linux eloszlás. A segédprogram hatékony használata magában foglalja az alapértelmezett konfigurációk hatékony beállítását és további szabályok felépítését. Az alapértelmezett konfigurációk lehetővé teszik, hogy körvonalazza a széles forgalmi szándékokat a forgalom engedélyezéséhez vagy megtagadásához; a szabályok lehetővé teszik a megközelítés strukturálását az IP-címek, portok és protokollok tekintetében.

Csak az IPTables potenciállal megkarcoltuk a felületet, és rengeteg különféle parancs létezik, amelyek segítségével eldöntheti, hogyan tapasztalja meg a szerver forgalmát. Azt javasoljuk azonban, hogy vegye le az alapokat, mielőtt más parancsokkal elkezdené. Például, érdemes átkerülnie az alapvető láncszabályok körül, mielőtt valami speciálisabb vállalkozást vállalna.

Miután megszokta az IPTables működését, elkezdi még több szabály beépítését az élmény testreszabásához. Ennek során pontosabban meghatározhatja, hogy milyen kapcsolatokat megengedett sokkal nagyobb pontossággal, mint valaha.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

− 5 = 1

Adblock
detector