Το Iptables είναι ένα εξαιρετικά ευέλικτο βοηθητικό πρόγραμμα τείχους προστασίας που έχει δημιουργηθεί για λειτουργικά συστήματα Linux. Είτε είστε αρχάριος Linux geek είτε διαχειριστής συστήματος, υπάρχει πιθανώς κάποιος τρόπος ώστε τα iptables να μπορούν να σας βοηθήσουν. Διαβάστε παρακάτω καθώς σας δείχνουμε πώς να διαμορφώσετε το πιο ευέλικτο τείχος προστασίας Linux.
Σχετικά με το iptables
Το iptables είναι ένα βοηθητικό πρόγραμμα τείχους προστασίας γραμμής εντολών που χρησιμοποιεί αλυσίδες πολιτικής για να επιτρέπει ή να αποκλείει την κυκλοφορία. Όταν μια σύνδεση προσπαθεί να εγκατασταθεί στο σύστημά σας, το iptables αναζητά έναν κανόνα στη λίστα του για να τον αντιστοιχίσει. Εάν δεν το βρει, καταλήγει στην προεπιλεγμένη ενέργεια.
Το iptables έρχεται σχεδόν πάντα προεγκατεστημένο σε οποιαδήποτε διανομή Linux. Για να το ενημερώσετε / εγκαταστήσετε, απλώς ανακτήστε το πακέτο iptables:
sudo apt-get εγκατάσταση iptables
Υπάρχουν εναλλακτικές λύσεις GUI για iptables όπως Firestarter , αλλά τα iptables δεν είναι πραγματικά τόσο δύσκολα όταν έχετε μερικές εντολές. Θέλετε να είστε εξαιρετικά προσεκτικοί κατά τη διαμόρφωση κανόνων iptables, ειδικά εάν είστε SSH σε διακομιστή, επειδή μια λάθος εντολή μπορεί να σας κλειδώσει μόνιμα έως ότου επιδιορθωθεί χειροκίνητα στο φυσικό μηχάνημα.
Τύποι αλυσίδων
Το iptables χρησιμοποιεί τρεις διαφορετικές αλυσίδες: είσοδο, προώθηση και έξοδο.
Εισαγωγή - Αυτή η αλυσίδα χρησιμοποιείται για τον έλεγχο της συμπεριφοράς για τις εισερχόμενες συνδέσεις. Για παράδειγμα, εάν ένας χρήστης προσπαθήσει να SSH στον υπολογιστή / διακομιστή σας, οι iptables θα προσπαθήσουν να αντιστοιχίσουν τη διεύθυνση IP και τη θύρα με έναν κανόνα στην αλυσίδα εισαγωγής.
Προς τα εμπρός - Αυτή η αλυσίδα χρησιμοποιείται για εισερχόμενες συνδέσεις που δεν παραδίδονται πραγματικά τοπικά. Σκεφτείτε έναν δρομολογητή - τα δεδομένα αποστέλλονται πάντα σε αυτόν, αλλά σπάνια προορίζονται για τον ίδιο τον δρομολογητή. τα δεδομένα προωθούνται στον στόχο τους. Εάν δεν κάνετε κάποιο είδος δρομολόγησης, NATing ή κάτι άλλο στο σύστημά σας που απαιτεί προώθηση, δεν θα χρησιμοποιήσετε καν αυτήν την αλυσίδα.
Υπάρχει ένας σίγουρος τρόπος για να ελέγξετε εάν το σύστημά σας χρησιμοποιεί ή χρειάζεται την αλυσίδα προς τα εμπρός.
iptables -L -v
Το παραπάνω στιγμιότυπο οθόνης είναι ενός διακομιστή που εκτελείται για μερικές εβδομάδες και δεν έχει περιορισμούς στις εισερχόμενες ή εξερχόμενες συνδέσεις. Όπως μπορείτε να δείτε, η αλυσίδα εισόδου έχει επεξεργαστεί πακέτα 11 GB και η αλυσίδα εξόδου έχει επεξεργαστεί 17 GB. Η μπροστινή αλυσίδα, από την άλλη πλευρά, δεν χρειάζεται να επεξεργαστεί ένα μόνο πακέτο. Αυτό συμβαίνει επειδή ο διακομιστής δεν κάνει καμία προώθηση ή χρησιμοποιείται ως συσκευή διέλευσης.
Παραγωγή - Αυτή η αλυσίδα χρησιμοποιείται για εξερχόμενες συνδέσεις. Για παράδειγμα, εάν προσπαθήσετε να κάνετε ping στο howtogeek.com, το iptables θα ελέγξει την αλυσίδα εξόδου του για να δει ποιοι είναι οι κανόνες σχετικά με το ping και το howtogeek.com πριν λάβει μια απόφαση να επιτρέψει ή να αρνηθεί την απόπειρα σύνδεσης.
Η προειδοποίηση
Παρόλο που το ping ενός εξωτερικού κεντρικού υπολογιστή φαίνεται σαν κάτι που θα χρειαζόταν μόνο να διασχίσει την αλυσίδα εξόδου, λάβετε υπόψη ότι για να επιστρέψετε τα δεδομένα, θα χρησιμοποιηθεί και η αλυσίδα εισόδου. Όταν χρησιμοποιείτε iptables για να κλειδώσετε το σύστημά σας, θυμηθείτε ότι πολλά πρωτόκολλα θα απαιτούν αμφίδρομη επικοινωνία, οπότε και οι αλυσίδες εισόδου και εξόδου θα πρέπει να ρυθμιστούν σωστά. Το SSH είναι ένα κοινό πρωτόκολλο που οι άνθρωποι ξεχνούν να επιτρέπουν και στις δύο αλυσίδες.
Προεπιλεγμένη συμπεριφορά αλυσίδας πολιτικής
Πριν μπείτε και διαμορφώσετε συγκεκριμένους κανόνες, θα πρέπει να αποφασίσετε ποια θα είναι η προεπιλεγμένη συμπεριφορά των τριών αλυσίδων. Με άλλα λόγια, τι θέλετε να κάνει το iptables εάν η σύνδεση δεν ταιριάζει με τους υπάρχοντες κανόνες;
Για να δείτε τι διαμορφώνονται οι αλυσίδες πολιτικής σας για να κάνουν με απαράμιλλη επισκεψιμότητα, εκτελέστε το
iptables -L
εντολή.
Όπως μπορείτε να δείτε, χρησιμοποιήσαμε επίσης την εντολή grep για να μας δώσει καθαρότερη έξοδο. Σε αυτό το στιγμιότυπο οθόνης, οι αλυσίδες μας φαίνεται ότι δέχονται κυκλοφορία.
Τις περισσότερες φορές, θέλετε το σύστημά σας να δέχεται συνδέσεις από προεπιλογή. Εάν δεν έχετε αλλάξει τους κανόνες της αλυσίδας πολιτικής στο παρελθόν, αυτή η ρύθμιση θα πρέπει να έχει ήδη διαμορφωθεί. Είτε έτσι είτε αλλιώς, εδώ είναι η εντολή για αποδοχή συνδέσεων από προεπιλογή:
iptables - πολιτική εισδοχή
iptables - πολιτική ΑΠΟΔΟΧΗ ΑΠΟΤΕΛΕΣΜΑΤΟΣ
iptables - πολιτική ΠΡΟΣΟΧΗ ΑΠΟΔΟΧΗ
Από προεπιλογή στον κανόνα αποδοχής, μπορείτε στη συνέχεια να χρησιμοποιήσετε iptables για να αρνηθείτε συγκεκριμένες διευθύνσεις IP ή αριθμούς θύρας, ενώ συνεχίζετε να αποδέχεστε όλες τις άλλες συνδέσεις. Θα φτάσουμε σε αυτές τις εντολές σε ένα λεπτό.
Εάν προτιμάτε να αρνηθείτε όλες τις συνδέσεις και να καθορίσετε με μη αυτόματο τρόπο ποιες συνδέσεις θέλετε να επιτρέψετε να συνδεθείτε, θα πρέπει να αλλάξετε την προεπιλεγμένη πολιτική των αλυσίδων σας για απόρριψη. Κάτι τέτοιο θα ήταν πιθανότατα χρήσιμο μόνο για διακομιστές που περιέχουν ευαίσθητες πληροφορίες και έχουν μόνο τις ίδιες διευθύνσεις IP που συνδέονται μαζί τους.
iptables - πολιτική INPUT DROP
iptables - πολιτική ΠΑΡΑΓΩΓΗ ΕΞΟΔΟΥ
iptables - πολιτική ΠΡΟΣΑΡΜΟΓΗ
Ειδικές απαντήσεις σύνδεσης
Με τις προεπιλεγμένες πολιτικές αλυσίδας που έχετε διαμορφώσει, μπορείτε να αρχίσετε να προσθέτετε κανόνες σε iptables, ώστε να ξέρει τι να κάνει όταν συναντά μια σύνδεση από ή σε μια συγκεκριμένη διεύθυνση IP ή θύρα. Σε αυτόν τον οδηγό, θα εξετάσουμε τις τρεις πιο βασικές και συνήθως χρησιμοποιούμενες «απαντήσεις».
Αποδέχομαι - Επιτρέψτε τη σύνδεση.
Πτώση - Σταματήστε τη σύνδεση, ενεργήστε σαν να μην συνέβη ποτέ. Αυτό είναι καλύτερο αν δεν θέλετε η πηγή να συνειδητοποιήσει ότι το σύστημά σας υπάρχει.
Απορρίπτω - Μην επιτρέπετε τη σύνδεση, αλλά στείλτε ξανά ένα σφάλμα. Αυτό είναι καλύτερο εάν δεν θέλετε μια συγκεκριμένη πηγή να συνδεθεί στο σύστημά σας, αλλά θέλετε να γνωρίζουν ότι το τείχος προστασίας σας τα εμπόδισε.
Ο καλύτερος τρόπος για να δείξετε τη διαφορά μεταξύ αυτών των τριών κανόνων είναι να δείξετε πώς μοιάζει όταν ένας υπολογιστής προσπαθεί να κάνει ping σε μια μηχανή Linux με διαμορφωμένα iptables για κάθε μία από αυτές τις ρυθμίσεις.
Επιτρέποντας τη σύνδεση:
Διακοπή της σύνδεσης:
Απόρριψη της σύνδεσης:
Επιτρέποντας ή αποκλείοντας συγκεκριμένες συνδέσεις
Με τη διαμόρφωση των αλυσίδων πολιτικής σας, μπορείτε πλέον να διαμορφώσετε iptables ώστε να επιτρέπουν ή να αποκλείουν συγκεκριμένες διευθύνσεις, εύρη διευθύνσεων και θύρες. Σε αυτά τα παραδείγματα, θα ορίσουμε τις συνδέσεις
ΠΤΩΣΗ
, αλλά μπορείτε να τα αλλάξετε
ΑΠΟΔΕΧΟΜΑΙ
ή
ΑΠΟΡΡΙΠΤΩ
, ανάλογα με τις ανάγκες σας και τον τρόπο διαμόρφωσης των αλυσίδων πολιτικής σας.
Σημείωση: Σε αυτά τα παραδείγματα, πρόκειται να χρησιμοποιήσουμε
iptables -Α
να προσαρτήσει κανόνες στην υπάρχουσα αλυσίδα. Το iptables ξεκινά στην κορυφή της λίστας του και περνά από κάθε κανόνα μέχρι να βρει έναν που ταιριάζει. Εάν πρέπει να εισαγάγετε έναν κανόνα πάνω από έναν άλλο, μπορείτε να τον χρησιμοποιήσετε
iptables -I [chain] [number]
για να καθορίσετε τον αριθμό που πρέπει να υπάρχει στη λίστα.
Συνδέσεις από μία μόνο διεύθυνση IP
Αυτό το παράδειγμα δείχνει πώς να αποκλείσετε όλες τις συνδέσεις από τη διεύθυνση IP 10.10.10.10.
iptables -A INPUT -s 10.10.10.10 -j DROP
Συνδέσεις από μια σειρά διευθύνσεων IP
Αυτό το παράδειγμα δείχνει πώς να αποκλείσετε όλες τις διευθύνσεις IP στο εύρος δικτύου 10.10.10.0/24. Μπορείτε να χρησιμοποιήσετε ένα netmask ή μια τυπική σημείωση κάθετο για να καθορίσετε το εύρος των διευθύνσεων IP.
iptables -A INPUT -s 10.10.10.0/24 -j DROP
ή
iptables -A INPUT -s 10.10.10.0/255.255.255.0 -j DROP
Συνδέσεις σε μια συγκεκριμένη θύρα
Αυτό το παράδειγμα δείχνει πώς να αποκλείσετε συνδέσεις SSH από 10.10.10.10.
iptables -A INPUT -p tcp --dport ssh -s 10.10.10.10 -j DROP
Μπορείτε να αντικαταστήσετε το "ssh" με οποιοδήποτε πρωτόκολλο ή αριθμό θύρας. ο
-p tcp
μέρος του κώδικα λέει iptables τι είδους σύνδεση χρησιμοποιεί το πρωτόκολλο. Εάν αποκλείσατε ένα πρωτόκολλο που χρησιμοποιεί UDP αντί για TCP, τότε
-p udp
θα ήταν απαραίτητο αντ 'αυτού.
Αυτό το παράδειγμα δείχνει πώς να αποκλείσετε συνδέσεις SSH από οποιαδήποτε διεύθυνση IP.
iptables -A INPUT -p tcp --dport ssh -j DROP
Καταστάσεις σύνδεσης
Όπως αναφέραμε νωρίτερα, πολλά πρωτόκολλα θα απαιτούν αμφίδρομη επικοινωνία. Για παράδειγμα, εάν θέλετε να επιτρέψετε συνδέσεις SSH στο σύστημά σας, οι αλυσίδες εισόδου και εξόδου θα χρειαστούν έναν κανόνα που θα προστεθεί σε αυτά. Αλλά, τι γίνεται αν θέλετε μόνο να επιτρέπεται η είσοδος SSH στο σύστημά σας; Η προσθήκη ενός κανόνα στην αλυσίδα εξόδου δεν επιτρέπει επίσης τις εξερχόμενες προσπάθειες SSH;
Εκεί μπαίνουν οι καταστάσεις σύνδεσης, οι οποίες σας δίνουν τη δυνατότητα να επιτρέψετε αμφίδρομη επικοινωνία, αλλά επιτρέπουν μόνο τη δημιουργία συνδέσεων μονής κατεύθυνσης. Ρίξτε μια ματιά σε αυτό το παράδειγμα, όπου επιτρέπονται οι συνδέσεις SSH ΑΠΟ 10.10.10.10, αλλά οι συνδέσεις SSH TO 10.10.10.10 δεν επιτρέπονται. Ωστόσο, επιτρέπεται στο σύστημα να αποστέλλει πληροφορίες μέσω SSH εφόσον η περίοδος λειτουργίας έχει ήδη δημιουργηθεί, γεγονός που καθιστά δυνατή την επικοινωνία SSH μεταξύ αυτών των δύο κεντρικών υπολογιστών.
iptables -A INPUT -p tcp --dport ssh -s 10.10.10.10 -m state --state ΝΕΟ, ΕΓΚΑΤΑΣΤΑΣΗ -j ΑΠΟΔΟΧΗ
iptables -A OUTPUT -p tcp --sport 22 -d 10.10.10.10 -m state --state ESTABLISHED -j ΑΠΟΔΟΧΗ
Αποθήκευση αλλαγών
Οι αλλαγές που κάνετε στους κανόνες iptables θα διαγραφούν την επόμενη φορά που θα γίνει επανεκκίνηση της υπηρεσίας iptables, εκτός εάν εκτελέσετε μια εντολή για να αποθηκεύσετε τις αλλαγές. Αυτή η εντολή μπορεί να διαφέρει ανάλογα με τη διανομή σας:
Ubuntu:
sudo / sbin / iptables-αποθήκευση
Κόκκινο καπέλο / CentOS:
/ sbin / υπηρεσία αποθήκευση iptables
Ή
/etc/init.d/iptables αποθήκευση
Άλλες εντολές
Λίστα των κανόνων iptables που έχουν διαμορφωθεί αυτήν τη στιγμή:
iptables -L
Προσθήκη του
-στο
Η επιλογή θα σας δώσει πληροφορίες για πακέτα και byte και προσθήκη
-Ν
θα απαριθμήσει τα πάντα αριθμητικά. Με άλλα λόγια - τα ονόματα κεντρικών υπολογιστών, τα πρωτόκολλα και τα δίκτυα παρατίθενται ως αριθμοί.
Για να διαγράψετε όλους τους κανόνες που έχουν ρυθμιστεί αυτήν τη στιγμή, μπορείτε να εκδώσετε την εντολή flush.
iptables -F
