Iptables, Linux işletim sistemleri için oluşturulmuş son derece esnek bir güvenlik duvarı aracıdır. İster acemi bir Linux meraklısı ister bir sistem yöneticisi olun, muhtemelen iptables'ın sizin için harika bir kullanım olmasının bir yolu vardır. Size en çok yönlü Linux güvenlik duvarını nasıl yapılandıracağınızı gösterdiğimiz için okumaya devam edin.
İptables hakkında
iptables, trafiğe izin vermek veya trafiği engellemek için ilke zincirlerini kullanan bir komut satırı güvenlik duvarı yardımcı programıdır. Bir bağlantı sisteminizde kendisini kurmaya çalıştığında, iptables kendi listesinde onunla eşleşecek bir kural arar. Bir tane bulamazsa, varsayılan eyleme başvurur.
iptables hemen hemen her zaman herhangi bir Linux dağıtımına önceden yüklenmiş olarak gelir. Güncellemek / kurmak için iptables paketini almanız yeterlidir:
sudo apt-get install iptables
İptables için GUI alternatifleri vardır. Ateşleyici , ancak iptables, birkaç komutunuz olduğunda o kadar da zor değildir. İptables kurallarını yapılandırırken son derece dikkatli olmak istersiniz, özellikle bir sunucuya SSH kullanıyorsanız, çünkü bir yanlış komut fiziksel makinede manuel olarak sabitlenene kadar sizi kalıcı olarak kilitleyebilir.
Zincir Çeşitleri
iptables üç farklı zincir kullanır: giriş, yönlendirme ve çıkış.
Giriş - Bu zincir, gelen bağlantıların davranışını kontrol etmek için kullanılır. Örneğin, bir kullanıcı PC'nize / sunucunuza SSH yapmaya çalışırsa, iptables IP adresini ve bağlantı noktasını giriş zincirindeki bir kuralla eşleştirmeye çalışır.
İleri - Bu zincir, gerçekte yerel olarak teslim edilmeyen gelen bağlantılar için kullanılır. Bir yönlendirici düşünün - veriler her zaman ona gönderilir, ancak nadiren gerçekten yönlendiricinin kendisine gönderilir; veriler sadece hedefine iletilir. Sisteminizde yönlendirme gerektiren bir tür yönlendirme, NATing veya başka bir şey yapmıyorsanız, bu zinciri kullanmayacaksınız bile.
Sisteminizin ileri zinciri kullanıp kullanmadığını / kullanıp kullanmadığını kontrol etmenin kesin bir yolu vardır.
iptables -L -v
Yukarıdaki ekran görüntüsü, birkaç haftadır çalışan ve gelen veya giden bağlantılarla ilgili herhangi bir kısıtlaması olmayan bir sunucuya aittir. Gördüğünüz gibi, giriş zinciri 11 GB'lık paketleri işledi ve çıkış zinciri 17 GB'lık paketler işledi. Öte yandan ileri zincir, tek bir paketi işlemeye ihtiyaç duymadı. Bunun nedeni, sunucunun herhangi bir yönlendirme yapmaması veya geçiş cihazı olarak kullanılmamasıdır.
Çıktı - Bu zincir giden bağlantılar için kullanılır. Örneğin, howtogeek.com'a ping atmaya çalışırsanız, iptables, bağlantı girişimine izin verme veya reddetme kararını vermeden önce ping ve howtogeek.com ile ilgili kuralların ne olduğunu görmek için çıktı zincirini kontrol eder.
Uyarı
Harici bir ana bilgisayara ping atmak, yalnızca çıkış zincirini geçmesi gereken bir şey gibi görünse de, verileri döndürmek için giriş zincirinin de kullanılacağını unutmayın. Sisteminizi kilitlemek için iptables kullanırken, birçok protokolün iki yönlü iletişim gerektireceğini, bu nedenle hem giriş hem de çıkış zincirlerinin doğru şekilde yapılandırılması gerektiğini unutmayın. SSH, insanların her iki zincire de izin vermeyi unuttukları yaygın bir protokoldür.
Politika Zinciri Varsayılan Davranışı
İçeri girmeden ve belirli kuralları yapılandırmadan önce, üç zincirin varsayılan davranışının ne olmasını istediğinize karar vermelisiniz. Diğer bir deyişle, bağlantı mevcut herhangi bir kuralla eşleşmezse iptables'ın ne yapmasını istiyorsunuz?
Politika zincirlerinizin şu anda eşleşmeyen trafikle ne yapmak üzere yapılandırıldığını görmek için,
iptables -L
komut.
Gördüğünüz gibi, bize daha temiz çıktılar vermek için grep komutunu da kullandık. Bu ekran görüntüsünde, zincirlerimizin şu anda trafiği kabul ettiği düşünülüyor.
Çoğu zaman, sisteminizin varsayılan olarak bağlantıları kabul etmesini istersiniz. Daha önce politika zinciri kurallarını değiştirmediyseniz, bu ayarın zaten yapılandırılmış olması gerekir. Her iki durumda da, varsayılan olarak bağlantıları kabul etme komutu şöyledir:
iptables --policy GİRİŞ KABUL
iptables --policy OUTPUT ACCEPT
iptables --policy FORWARD ACCEPT
Kabul kuralını varsayılan olarak, diğer tüm bağlantıları kabul etmeye devam ederken belirli IP adreslerini veya bağlantı noktası numaralarını reddetmek için iptables'ı kullanabilirsiniz. Bu komutlara bir dakika içinde ulaşacağız.
Tüm bağlantıları reddetmeyi ve hangilerinin bağlanmasına izin vermek istediğinizi manuel olarak belirtmeyi tercih ederseniz, zincirlerinizin varsayılan politikasını düşecek şekilde değiştirmelisiniz. Bunu yapmak, muhtemelen yalnızca hassas bilgiler içeren ve bunlara bağlanan yalnızca aynı IP adreslerine sahip sunucular için yararlı olacaktır.
iptables --policy INPUT DROP
iptables --policy ÇIKTI DÜŞÜMÜ
iptables --policy FORWARD DROP
Bağlantıya Özgü Yanıtlar
Varsayılan zincir ilkeleriniz yapılandırıldığında, iptables'a kurallar eklemeye başlayabilirsiniz, böylece belirli bir IP adresi veya bağlantı noktasından veya bağlantı noktasından bir bağlantıyla karşılaştığında ne yapacağını bilir. Bu kılavuzda, en temel ve en sık kullanılan üç "yanıtı" ele alacağız.
Kabul etmek - Bağlantıya izin verin.
Düşürmek - Bağlantıyı kes, hiç olmamış gibi davran. Kaynağın sisteminizin var olduğunu anlamasını istemiyorsanız bu en iyisidir.
Reddet - Bağlantıya izin vermeyin, ancak bir hata gönderin. Belirli bir kaynağın sisteminize bağlanmasını istemiyorsanız, ancak güvenlik duvarınızın onları engellediğini bilmelerini istiyorsanız bu en iyisidir.
Bu üç kural arasındaki farkı göstermenin en iyi yolu, bir PC, bu ayarların her biri için yapılandırılmış iptables ile bir Linux makinesine ping atmaya çalıştığında nasıl göründüğünü göstermektir.
Bağlantıya izin verilmesi:
Bağlantıyı kesme:
Bağlantının reddedilmesi:
Belirli Bağlantılara İzin Verme veya Engelleme
İlke zincirleriniz yapılandırıldığında, artık iptables'ı belirli adreslere, adres aralıklarına ve bağlantı noktalarına izin verecek veya bunları engelleyecek şekilde yapılandırabilirsiniz. Bu örneklerde, bağlantıları şu şekilde ayarlayacağız:
DÜŞÜRMEK
, ancak bunları değiştirebilirsiniz
KABUL ETMEK
veya
REDDET
ihtiyaçlarınıza ve politika zincirlerinizi nasıl yapılandırdığınıza bağlı olarak.
Not: Bu örneklerde,
iptables -A
mevcut zincire kurallar eklemek için. iptables listesinin en üstünde başlar ve eşleştiğini bulana kadar her kuralı gözden geçirir. Bir başkasının üzerine bir kural eklemeniz gerekirse, kullanabilirsiniz
iptables -I [chain] [number]
numarayı belirtmek için listede olması gerekir.
Tek bir IP adresinden bağlantılar
Bu örnek, 10.10.10.10 IP adresinden tüm bağlantıların nasıl engelleneceğini gösterir.
iptables -A GİRİŞ -s 10.10.10.10 -j DAMLA
Bir dizi IP adresinden gelen bağlantılar
Bu örnek, 10.10.10.0/24 ağ aralığındaki tüm IP adreslerinin nasıl engelleneceğini gösterir. IP adreslerinin aralığını belirtmek için bir ağ maskesi veya standart eğik çizgi gösterimi kullanabilirsiniz.
iptables -A GİRİŞ -s 10.10.10.0/24 -j DAMLA
veya
iptables -A GİRİŞ -s 10.10.10.0/255.255.255.0 -j DAMLA
Belirli bir bağlantı noktasına bağlantılar
Bu örnek, 10.10.10.10'dan itibaren SSH bağlantılarının nasıl engelleneceğini gösterir.
iptables -A GİRİŞ -p tcp --dport ssh -s 10.10.10.10 -j DAMLA
"Ssh" yi herhangi bir protokol veya bağlantı noktası numarasıyla değiştirebilirsiniz.
-p tcp
kodun bir kısmı iptables'a protokolün ne tür bir bağlantı kullandığını söyler. TCP yerine UDP kullanan bir protokolü engelliyorsanız,
-p udp
bunun yerine gerekli olacaktır.
Bu örnek, herhangi bir IP adresinden SSH bağlantılarının nasıl engelleneceğini gösterir.
iptables -A GİRİŞ -p tcp --dport ssh -j DAMLA
Bağlantı Durumları
Daha önce de belirttiğimiz gibi, birçok protokol iki yönlü iletişim gerektirecek. Örneğin, sisteminize SSH bağlantılarına izin vermek istiyorsanız, giriş ve çıkış zincirlerinin bunlara eklenmesi gereken bir kural olacaktır. Ancak, ya sadece SSH'nin sisteminize girmesine izin verilmesini istiyorsanız? Çıktı zincirine bir kural eklemek, aynı zamanda giden SSH girişimlerine de izin vermez mi?
Bağlantı durumlarının devreye girdiği yer burasıdır ve size iki yönlü iletişime izin vermeniz, ancak yalnızca tek yönlü bağlantıların kurulmasına izin vermeniz gereken yeteneği verir. 10.10.10.10'DAN SSH bağlantılarına izin verildiği, ancak 10.10.10.10'a SSH bağlantılarına izin verilmediği bu örneğe bir göz atın. Ancak, oturum zaten kurulmuş olduğu sürece sistemin SSH üzerinden bilgileri geri göndermesine izin verilir, bu da bu iki ana bilgisayar arasında SSH iletişimini mümkün kılar.
iptables -A GİRİŞ -p tcp --dport ssh -s 10.10.10.10 -m durum - durum YENİ, KURULDU -j KABUL
iptables -A ÇIKIŞ -p tcp --sport 22 -d 10.10.10.10 -m durum --state KURULDU -j KABUL
Değişiklikleri kaydediyor
İptables kurallarınızda yaptığınız değişiklikler, değişiklikleri kaydetmek için bir komut yürütmediğiniz sürece iptables hizmetinin bir sonraki yeniden başlatılışında hurdaya çıkarılacaktır. Bu komut, dağıtımınıza bağlı olarak farklılık gösterebilir:
Ubuntu:
sudo / sbin / iptables-kaydetme
Red Hat / CentOS:
/ sbin / service iptables kaydetme
Veya
/etc/init.d/iptables kaydetme
Diğer Komutlar
Şu anda yapılandırılmış iptables kurallarını listeleyin:
iptables -L
Ekleniyor
-de
seçeneği size paket ve bayt bilgisi verecek ve
-n
her şeyi sayısal olarak listeleyecektir. Başka bir deyişle - ana bilgisayar adları, protokoller ve ağlar sayı olarak listelenir.
Halihazırda yapılandırılmış tüm kuralları temizlemek için, flush komutunu verebilirsiniz.
iptables -F
