Ръководство за начинаещи за IP таблици

Ръководство за начинаещи за IPTables

IPTables е името на защитна стена, която работи през командния ред на Linux. Тази програма се предлага главно като помощна програма по подразбиране Ubuntu. Често администраторите използват защитната стена на IPTables, за да позволят или блокират трафика в своите мрежи. Ако сте нов за IPTables, тогава едно от първите неща, което трябва да направите, е да го актуализирате или да го инсталирате, като използвате следната команда:

$ sudo apt - вземете инсталирайте iptables

Докато потребителите, които са нови в интерфейсите на командния ред, установят, че има крива на обучение, прикачена към IPTables, самата помощна програма е достатъчно проста за използване. Има редица основни команди, които действат като хляб и масло за контрол на трафика. Като се има предвид, трябва да бъдете много внимателни, когато правите промени в правилата на IPTables. Въвеждането на грешна команда може да ви изключи напълно от IPTables, докато не разрешите проблема във физическата машина.

В тази статия ще ви предоставим основно ръководство за IPTables и ще ви запознаем с основите. Преди да стигнем до сърцето на IPTables, трябва да се уверите, че имате VPA, работещ с Ubuntu 16.04 и а локална машина с SSH клиент. Ако вече имате такива, тогава е време да започнете.

Урок за IPTables: Вериги

Iptables ръководства вериги

Една от основните концепции, която трябва да се справи с IPTables, е тази на веригите. Веригата по същество е правило. Таблиците на филтъра имат три вериги, които ще срещнете в IPTables; ВХОД, НАПРЕД и OUTPUT.

  • ВХОД - веригата INPUT е правилото, което контролира входящите пакети. Тук можете да блокирате или разрешите нови връзки. Можете да направите това въз основа на IP адрес на порт, протокол и източник.
  • НАПРЕД - Веригата FORWARD филтрира входящите пакети, които се препращат към друго крайно място. Малко вероятно е да използвате тази верига, освен ако не насочвате или търсите конкретно пренасочване.
  • OUTPUT - веригата OUTPUT се използва за управление на изходящи пакети и връзки. Важно е да се отбележи, че ако пингирате външен хост, тогава входната верига ще бъде използвана за връщане на данните към вас.

Поведение по верига по подразбиране

Може да искате да скочите направо в конфигурирането на конкретни правила, когато стартирате, но трябва да направите крачка назад, за да определите първо поведението по подразбиране. За да определите какво е поведението на веригите по подразбиране, ще трябва да изпълните командата:

$ sudo iptables -L команда

Това ще покаже следното:

правила за веригата 2

потребител @ ubuntu: ~ $ sudo iptables -L -v
Chain INPUT (политика ACCEPT)
Верига НАПРЕД (политика ACCEPT)
Верига изход (политика ACCEPT)
потребител @ Ubuntu: ~ $

Тази информация ви казва точно какво са конфигурирани вашите вериги. В примера веригите за вход, напред и изход са конфигурирани да приемат трафик. Тези настройки са добра отправна точка, тъй като не блокират връзки, които може да искате.

Ако обаче установите, че правилата ви не приемат връзки, можете да въведете всяка от следните команди, за да приемете всички връзки:

$ sudo iptables - политика ВХОДАНЕ ПРИЕМАНЕ$ sudo iptables - политиката ИЗХОД НА ПРИЕМАНЕ$ sudo iptables - политиката ПРЕДПРИЯТИЕ ПРИЕМАНЕ

След като настройките по подразбиране се изравнят, за да приемат всички връзки, можете да контролирате достъпа до IPTables, като блокирате IP адреси и номера на портове. Това ви позволява да укажете кои връзки искате да блокирате, а не да блокирате всичко по подразбиране.

Ако работите с особено чувствителна информация, тогава можете да конфигурирате настройките по подразбиране, за да блокират автоматично всички връзки. По този начин можете да използвате IPTables, за да изберете отделни IP адреси, които искате да разрешите. За целта трябва да въведете следната команда:

$ sudo iptables - политика INPUT DROP$ sudo iptables —полиция на изхода DROP$ sudo iptables —политика ЗАПУСКАНЕ

Повечето потребители ще приемат всички връзки, но си струва да запомните, ако работите на сървър с висока сигурност.

Конфигуриране на индивидуални връзки

конфигуриране на отделни връзки

След като конфигурирате поведението на веригата по подразбиране, е време да конфигурирате отделни връзки. Това е моментът, в който конфигурирате това, което се нарича отговор за специфична връзка. Това по същество казва на IPTables как да взаимодействат, когато сте свързани с IP адрес или порт. Тези отговори са както следва; ACCEPT, ИЗПУСКАЙТЕ, REJECT.

Както можете да видите на изображението по-горе, потребителят има дефинирани правила за верига, за да разреши, пусне или отхвърли връзката въз основа на изискванията. По-долу е описано какво включва всеки отговор:

  • ACCEPT - Тази конфигурация просто позволява връзката да се осъществи.
  • ИЗПУСКАЙТЕ - Drop блокира връзката, без да взаимодейства с източника по никакъв начин.
  • REJECT - Това блокира опита за връзка, но също така изпраща съобщение за грешка. Това обикновено е да уведомите източника, че опитът за свързване е блокиран от вашата защитна стена.

Как да разрешите или блокирате връзките

Има много различни начини за блокиране или разрешаване на връзки в зависимост от вашите настройки. Примерите по-долу използват метода на скрито блокиране на използването Изпускайте за да пуснете връзки без никакво взаимодействие. iptables -A ни позволява да добавяме допълнителни предупреждения към правилата, установени от нашите настройки по веригата по подразбиране. Вижте как да използвате тази команда за блокиране на връзки по-долу:

Блокиране на един IP адрес:

$ sudo iptables -A ВХОД -S 10.10.10.10 -j DROP

В горния пример бихте заменили 10.10.10.10 с IP адреса, който искате да блокирате.

Блокиране на набор от IP адреси:

$ sudo iptables -A INPUT -s 10.10.10.10.0 / 24 -j DROP

или

$ sudo iptables -A INPUT -s 10.10.10.0/255.255.255/.0 -j DROP

Блокиране на един порт:

$ sudo iptables -A INPUT -p tcp —dport ssh -s 10.10.10.10 -j DROP

Обърнете внимание, че 'ssh може да бъде заменен от всеки протокол или номер на порт. Важно е също така да се отбележи, че сегментът -p tcp на кода се използва за препратка към това дали протоколът, който искате да блокирате, използва UDP или TCP.

Ако протоколът използва UDP, тогава ще въведете -p udp вместо -p tcp. Можете също да блокирате всички връзки от IP адреси, като въведете следната команда:

$ sudo iptables -A INPUT -p tcp —dport ssh -jDROP

Двупосочна комуникация: Урок за състояния на свързване IPTables

Повечето от протоколите, които срещате, изискват комуникация да върви и в двете посоки, за да се осъществи трансфер. Това означава, че трансферите се състоят от вход и изход. Това, което влиза в системата ви, е толкова важно, колкото това, което излиза. Състоянията на връзката ви позволяват да смесвате и съвпадате между двупосочни връзки и еднопосочни връзки. В примера по-долу, SSH протоколът е блокирал SSH връзки от IP адреса, но ги допуска до IP адреса:

$ sudo iptables -A INPUT -p tcp —dport ssh -s 10.10.10.10 -m състояние —състояние НОВО, УСТАНОВЕНО -j ПРИЕМАНЕ

$ sudo iptables -A OUTPUT -p tcp —sport 22 -d 10.10.10.10. -m състояние - състояние УСТАНОВЕН -J ПРИЕМАНЕ

След като въведете команда за промяна на състоянията на връзка, трябва да запазите промените. Ако не го направите, когато затворите помощната програма, вашата конфигурация ще бъде загубена. В зависимост от системата за дистрибуция, която използвате, има няколко различни команди, които можете да използвате:

Ubuntu:

$ sudo / sbin / iptables-save

Red Hat / CentOS -

$ sudo / sbin / service iptables спестяват

ИЛИ

$ sudo  /etc/init.d/iptables запишете 

Не забравяйте да използвате тези команди е жизненоважно, защото това ще елиминира проблемите с необходимостта от конфигуриране при всяко зареждане на помощната програма.

Изтриване на правило

Също толкова важно, колкото да можете да запазите правилата си, е да можете да ги изтриете. Ако направите грешка или просто искате да премахнете старо правило, тогава можете да използвате опцията -д команда. Тази команда трябва да се комбинира с номера на правилото, което въвеждате. Числото казва на IPTables кое правило трябва да бъде изтрито. Например, ако трябва да въведете:

$ sudo iptables -D ВХОД 10

Тогава десетото правило, което сте конфигурирали, ще бъде изтрито.

Ако искате да почистите къщата и да премахнете редица правила, тогава можете да използвате -F команда. Можете да направите това, като въведете следното:

$ sudo iptables -F

Това ще изчисти целия набор от правила и ще измие вашата IPTable.

IPTables: Научете правила за вериги!

Това завършва нашия урок за IPTables. Както можете да видите IPTables е универсален инструмент за блокиране и разрешаване на трафика Linux дистрибуции. Ефективното използване на помощната програма включва ефективно настройване на конфигурациите по подразбиране и изграждане на допълнителни правила. Конфигурациите по подразбиране ще ви позволят да очертаете своите широки намерения за трафик, за да разрешите или откажете трафика; правилата ще ви позволят да структурирате своя подход по отношение на IP адреси, портове и протоколи.

Ние надраскахме само повърхността с потенциал за IPTables и има множество различни команди, които можете да използвате, за да решите как да преживявате трафика на вашия сървър. Препоръчваме ви обаче да намалите основите, преди да започнете с други команди. Например, ще искате да заобиколите основните правила на веригите, преди да се ангажирате с нещо по-специализирано.

След като свикнете как работи IPTables, тогава можете да започнете да включвате още повече правила, за да персонализирате опита си. По този начин ще можете да укажете точно какъв тип връзки ще разрешите с много по-голяма точност от всякога.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

19 + = 29

Adblock
detector