Iako je Linux jedan od najpouzdanijih i najsigurnijih operativnih sustava, zahvaljujući svojim karakteristikama, uvijek će postojati neka vrsta ranjivosti, bilo da je to svojstveno sustavu ili nenamjerno od strane korisnika. Kako bismo povećali sigurnost Linuxa, imamo različite alate dizajnirane za zaštitu usluga, procesa, profila ili datoteka, a danas ćemo se usredotočiti na poseban koji se zove Iptables.
Što je IptablesIptables je napredni alat vatrozida koji je integriran u Linux kernel koji je dio projekta koji se zove netfilter.
Zahvaljujući Iptables -u moći ćemo točno i izravno upravljati svim dolaznim i odlaznim vezama s poslužiteljem. Iptables je razvijen za IPv4 adresiranje, dok za IPv6 imamo Ip6 tablice.
1. Iptables struktura u Linuxu
Struktura koju nalazimo u Iptables -u je sljedeća:
SiroviOdgovoran je za filtriranje paketa prije bilo koje druge postojeće tablice
filtarOvo je zadana tablica aplikacije
NatKoristi se za prevođenje mrežnih adresa
MangrovKoristi se za izmjenu specijaliziranih mrežnih paketa
SigurnostMože se primijeniti za pravila povezivanja na mrežu s obveznom kontrolom pristupa
2. Struktura naredbi u Iptables na Linuxu
U Iptables -u svako je pravilo naredba koja pokazuje kako treba postupati s mrežnim paketnim prometom.
Možemo koristiti sljedeću strukturu:
-A ULAZ -i eth0 -p tcp -m stanje -USPOSTAVLJENO, POVEZANO --sport 80 -j PRIHVATIKorišteni parametri su:
- -A: Označava da će se pravila dodati u Iptables
- -i: Označava sučelje na koje će se pravilo primijeniti
- -p: Odnosi se na protokol na koji će se pravilo primjenjivati
- -m: Odnosi se na činjenicu da postoji uvjet koji mora biti ispunjen za primjenu pravila
- --state: Dopustite prihvaćanje novih veza
- --sport: Označava izvorni port
- -j: (Skok) označava da mogu prihvatiti sav promet koji zadovoljava zadane uvjete.
3. Stvaranje pravila korištenjem Iptablesa na Linuxu
Iako pravila možemo dodati ručno, mnogo je praktičnije stvoriti datoteku pravila i zatim je uvesti. U ovom slučaju datoteku ćemo stvoriti na stazi / tmp / iptables-ip4 i možemo upotrijebiti uređivač za njezinu odgovarajuću prilagodbu:
sudo nano / tmp / iptables-ip4Sintaksa će biti sljedeća:
* filter # Pravila za dodavanje COMMITSada ćemo unutar navedene datoteke stvoriti sljedeća pravila:
Loopback = To je vanjsko sučelje Linuxa
-A ULAZ -i lo -j PRIHVATI -A IZLAZ -o lo -j PRIHVATI
Ping = Omogućuje nam provjeru mrežnih veza
-A ULAZ -i eth0 -p icmp -m stanje -stanje NOVO -icmp -type 8 -j PRIHVATANJE -A ULAZ -i eth0 -p icmp -m stanje -stanje USPOSTAVLJENO, POVEZANO -j PRIHVATANJE -A IZLAZ - o eth0 -p icmp -j PRIHVATI
Web = Pomoću ovih pravila kontroliramo dolazni i odlazni promet.
-A ULAZ -i eth0 -p tcp -m stanje -stanje USPOSTAVLJENO, POVEZANO --sport 80 -j PRIHVATANJE -A ULAZ -i eth0 -p tcp -m stanje -stanje USTANOVLJENO, POVEZANO --sport 443 -j PRIHVATLJAVANJE -A IZLAZ -o eth0 -p tcp -m tcp --dport 80 -j PRIHVATI -A IZLAZ -o eth0 -p tcp -m tcp --dport 443 -j PRIHVATI
U slučaju dodavanja DNS -a koristit ćemo sljedeće retke:
-A ULAZ -i ens3 -s 192.168.0.1 -p udp --sport 53 -m stanje -stanje USPOSTAVLJENO, POVEZANO -j PRIHVATANJE -A IZLAZ -o ens3 -d 192.168.0.1 -p udp --dport 53 -m udp -j PRIHVATI
Bilješka:Ovdje moramo izmijeniti IP prema potrebi
Vrijeme = Ova pravila dopuštaju povezivanje s NTP -om radi ispravne sinkronizacije vremena
-A ULAZ -i eth0 -p udp -m stanje -stanje USPOSTAVLJENO, POVEZANO --dport 123 -j PRIHVATANJE -A IZLAZ -o eth0 -p udp -m udp --sport 123 -j PRIHVATI
Ispis = Omogućuje USB priključke za povezivanje pisača
-A ULAZ -p udp -m udp --dport 631 -j PRIHVATANJE -A ULAZ -p tcp -m tcp --dport 631 -j PRIHVATANJE -A IZLAZ -p udp -m udp --sport 631 -j PRIHVATI -A IZLAZAK -p tcp -m tcp --sport 631 -j PRIHVATI
E -pošta = Možemo omogućiti različite protokole e -pošte
# IMAP -A ULAZ -i eth0 -p tcp -m stanje -stanje USPOSTAVLJENO, POVEZANO --sport 993 -j PRIHVATANJE -A IZLAZ -o eth0 -p tcp -m tcp --dport 993 -j PRIHVATI
# POP3 -A ULAZ -i eth0 -p tcp -m stanje -stanje USPOSTAVLJENO, POVEZANO --sport 995 -j PRIHVATANJE -A IZLAZ -o eth0 -p tcp -m tcp --dport 995 -j PRIHVATI
# SMTP -A ULAZ -i eth0 -p tcp -m stanje -stanje USPOSTAVLJENO, POVEZANO --sport 465 -j PRIHVATANJE -A IZLAZ -o eth0 -p tcp -m tcp --dport 465 -j PRIHVATI
SSH = Omogućite sigurne veze s računalom pomoću SSH protokola
# Ulaz -A ULAZ -i ens3 -p tcp -m stanje -stanje NOVO, USTANOVLJENO --dport 22 -j PRIHVATANJE -A IZLAZ -o ens3 -p tcp -m stanje -stanje USTANOVLJENO -sport 22 -j PRIHVATLJAVANJE
# Izlaz -A IZLAZ -o ens3 -p tcp -m stanje -stanje NOVO, USTANOVLJENO --dport 22 -j PRIHVATANJE -A ULAZ -i ens3 -p tcp -m stanje -stanje USTANOVLJENO -sport 22 -j PRIHVATANJE
DHCP: Možemo stvoriti pravila za autorizaciju IP adresiranja putem DHCP -a
-A ULAZ -i eth0 -p udp -m stanje -stanje USPOSTAVLJENO, POVEZANO --sport 67:68 -j PRIHVATANJE -A IZLAZ -o eth0 -p udp -m udp --dport 67:68 -j PRIHVATI
Odbijte sve veze: Možemo dodati sljedeće retke kako bismo onemogućili sve gore navedeno:
-A ULAZ -j ODBACI -NAPRED -j ODBITI -A IZLAZ -j ODBITI
Svi navedeni retci bit će dodani u spomenutu datoteku:
POVEĆAJTE
Spremamo promjene
Ctrl + O
Urednik ostavljamo korištenjem
Ctrl + X
4. Uvoz pravila pomoću Iptables Linuxa
Nakon što se datoteka uredi, možemo uvesti ova pravila u Iptable izvršavanjem sljedeće naredbe:
sudo iptables -F && sudo iptables -XStatus pravila možemo vidjeti pomoću naredbe sudo iptables -S:
POVEĆAJTE
U slučaju da želimo vratiti sva pravila, izvršit ćemo sljedeći redak:
sudo iptables-restore < / tmp / itpables-ip4Ako želimo da ova pravila budu trajna, izvršit ćemo sljedeće:
sudo apt install iptables-persistentNa ovaj način Iptables je naš najbolji saveznik pri konfiguriranju vatrozida u Linux okruženjima.
