Iptables beállítása és ip6tables, iptables konfiguráció
A személyzet nagyon népszerű tűzfal Ubuntu - iptables. Minden tesztelt példákról cikk alapján Ubutnu 14.04. Iptables - ez lényegében netfilternek felhasználói felület rendszer, amely kezeli a Linux hálózati verem. Iptables le minden bejövő csomag egy sor meghatározott szabályokkal és úgy dönt, hogy mit kell csinálni vele.
Minden csapatnak iptables kell végezni root csak kiváltságokat, amit tennie kell:
- használata sudo (ajánlott módszer Ubuntu);
- használja a su vagy sudo -i, hogy biztonságosabban alatt a gyökér;
- jelentkezzen be root felhasználóként.
Ez a kézikönyv használt változatát a munka a gyökér - ez legalább nem egy biztonságos megoldás, de ha gyakran adja a parancsokat a konzolra gyökér, sudo nyerni minden alkalommal megfelelő. Miután előre a szerver beállítása, amikor a munka a gyökér minimális, már használja sudo.
Meg kell jegyezni, hogy az IPv4 hálózat segítségével az iptables, de az IPv6 - ip6tables, és ha az IPv6 nem használt - akkor azonnal betiltani minden forgalmat ip6tables:
# Ip6tables -P INPUT DROP
# Ip6tables -P OUTPUT DROP
# Ip6tables -P FORWARD DROP
De, ha eltávolítása után a vegyületek az IPv6 rendszer frissítése nem fog működni (aptitude update), akkor módosítani kell a beállításokat.
Ez a kísérletek során nem veszít hozzáférést a távoli szerverhez IPv4, regisztrálnia kell állítani az összes szabályok iptables minden 20 perc cron:
# Crontab -e
Add a következő sort:
* / 20 * * * * / sbin / iptables -F
Most, még ha minden forgalom blokkolva lesz véletlenszerűen, minden 20 percben visszaáll a tűzfal szabályok a táblázat szűrő táblázat, amely nem fogja elveszíteni a hozzáférést a szerverhez. Erre lehetőséget kell tekinteni iptables politika alapértelmezés szerint. Ha a tűzfal még nem hangolt, a futó iptables -S parancsot láthatjuk a következő:
# Iptables -S
-P INPUT ACCEPT
-P ELŐRE ACCEPT
-P OUTPUT ACCEPT
Ezek a beállítások jelzik, hogy miután egy reset minden a szabályok iptables -F minden forgalom engedélyezve lesz. Ha kicseréli az alapértelmezett beállításokat a DROP, mint a cikk elején az IPv6 protokoll, akkor továbbra is érvényben marad, miután a gyári alaphelyzetbe állítható -F. Azaz iptables -F parancs eltávolítja az összes beállítás az asztalon tűzfala asztalok, KIVÉVE alapértelmezett.
Iptables Minden beállítás visszaállítása után indítsa újra a kiszolgálót, beleértve a láncokat INPUT, FORWARD, OUTPUT, akik megkezdése után a szerver megy ACCEPT állapotát. Ugyanez vonatkozik az alapértelmezett beállításokat. Hogyan ne veszítse iptables és ip6tables beállításokat, ha újraindul, akkor lesz írva az alábbiakban.
szabály táblázatban
Alkalmazottak tűzfal Ubuntu - iptables, a következő öt táblázatok: szűrőt. nat. mángorló. Nyers és biztonság. Hogy a beállítások egy adott tábla, például a nat tábla, ezt a parancsot: iptables -L -t nat. Táblázat filter tábla az alapértelmezett, és hogy mely szabályok már megtörtént benne, csak típus: iptables -L (megadása nélkül a nevét a táblázatot). Alapértelmezésben az iptables létre, hogy minden megengedett.
Szűrés asztal - egy táblázat szűrés a bejövő, kimenő és halad (átirányítja) forgalom. Minden típusú forgalom a filter táblát használ egy másik lánc: INPUT, OUTPUT és a FORWARD volt.
Mangle - használt csomagkapcsolt módosítására.
Még van két asztal: nyers és a biztonság, amelyre szánják megtalálható beírásával man iptables.
Iptables beállítása szabályok
Felállítása előtt a szabályokat, hogy ne takarja el a szükséges szolgáltatásokat, akkor érdemes megnézni a nyitott portok a szervert a következő paranccsal:
Minden iptables szabályokat alkalmaznak után azonnal a parancsot, hogy adjunk egy szabályt a tűzfalon. Ennek tesztelésére, akkor azonnal blokkolja a hozzáférést a 80-as portot, kivéve, ha úgy van beállítva, web-szerver viszonylag biztonságos megfigyelése blokkoló intézkedések:
# Iptables -A INPUT -p tcp -m tcp --dport 80 -j DROP
Most már biztos lehet benne, a helyszínen, ahová a belépés portot 80 évben nem állt rendelkezésre. -A kapcsolót hozzáad egy szabályt, hogy a végén a kiválasztott láncot. Mivel a parancs nem adja meg a szabályokat tábla (-t tablename), a tábla által használt alapértelmezett: szűrőt. Kinyit lehetséges, a fent leírt módon, a futás a parancs iptables -F, de mi van, ha el akarja távolítani csak egy szabály, és az összes többi nem változott?
Távolítsuk el az összes szabályt a INPUT lánc DROP lehetőséget:
# Iptables -D INPUT -j DROP
Eltávolítani csak a szabályt megadott INPUT -p tcp -m tcp --dport 81 -j DROP
# Iptables -D INPUT -p tcp -m tcp --dport 80 -j DROP
A -D utal: távolítsa el egy vagy több szabály szerint neki a következő feltétel.
# Iptables -L -n -v --line-szám
Most törölje egy szabály, tudván, hogy több a következők lehetnek:
# Iptables -D INPUT 1
Add a szabályt egy adott helyen, mint például az első sorban, lehetséges, használja a következő parancsot:
# Iptables -I INPUT 1 -s 4.4.4.4 -j ACCEPT
Minden szabály korábban felvett, beleértve azt a tényt, hogy ez volt az 1. sorban átkerülnek az alábbi sort.
Opció Z lenullázódik a csomagok és bájtok számlálók.
DROP vagy REJECT
DROP, és utasítsa elutasítja a csatlakozást, de emellett selejt ICMP csomagot a kezdeményező, azzal az üzenettel, hogy a csatlakozási kísérlet utasítani. DROP - egyszerűen eldobja a bejövő csomag küldése nélkül üzeneteket választ. Abban az esetben, DoS-támadások, kidobás hoz létre a felesleges forgalom a válaszokat, hogy abban az esetben a kapcsolat elutasítás a legjobb használni DROP.
A hivatalos dokumentumok azt tanácsolják, hogy selejt, hogy megvédje a port szkennelés, mivel DROP is nyitva hagyja a fel nem használt konnektorok a szerveren.
Visszaállítása a szabályok: a -f vagy -X
Sok esetben a teljes tisztítására alkalmazott szabályokat azonnal -F, és az X zászló:
# Iptables -F
# Iptables -X
És ez így van rendjén! Mivel -F törli az összes felhasználói szabályok létrehozott szabványos és egyedi láncok, de az X zászló törli a felhasználói nevét láncok segítségével -N zászlót. Swap -F -X nem éri meg, mert eltávolítani a felhasználó által definiált lánc, a pre-tiszta szükséges a szabályokat, különben a lánc nem lehet eltávolítani, és megjelenik egy hibaüzenet.
felvételi beállítások
Miután beállította az iptables és ip6tables és tesztelése a hálózat teljesítményét, beállításokat kell tárolni a / etc könyvtár nevű fájlok: iptables.conf és ip6tables.conf (sőt, az elérési út és a fájlnév, akkor saját belátása szerint dönthet):
# Iptables-save> /etc/iptables.conf
# Ip6tables-save> /etc/ip6tables.conf
Később /etc/network/if-pre-up.d könyvtárban kell létrehozni iptables fájlt (# érintés /etc/network/if-pre-up.d/iptables), hogy futtatható (# chmod + x / etc / network /if-pre-up.d/iptables), és töltse ki az alábbi tartalommal:
#! / Bin / sh
iptables-restore ip6tables-visszaállítási
Most minden egyes indításnál a szerver, mielőtt a hálózaton, és az iptables szabályok ip6tables lesz betöltve a fájlt, és /etc/iptables.conf /etc/ip6tables.conf. Ha le kell töltenie a szabályok felvétele után a hálózat, a fájl hozható létre iptables /etc/network/if-up.d könyvtárban.
Egy másik módja - a használatot iptables-tartós.
Ha nem állítja vissza az iptables beállításokat, miután a kiszolgáló csizma, a tűzfal is fut az alapértelmezett beállításokat, beleértve az alapbeállításokat (ACCEPT) a szűrő táblázat láncok: bemenet, kimenet és előre.
Továbbá, ne felejtsd el kikapcsolni a reset iptables beállítás a cron, ha már előre konfigurált.
Biztonsági beállítások próba - iptables-vonatkoznak
Van egy segédprogram iptables-vonatkoznak. A biztonságos tesztelés iptables konfiguráció egy távoli szerveren. A lényege az ő munkája a következő: ez az új beállításokat a megadott fájlból egy bizonyos ideig (alapértelmezés 10 sec.), És ha a felhasználó a konzol nem erősíti meg az új beállításokat, nyomja meg a Y gombot, visszatér a iptables beállításokat, amelyek további új alkalmazások.
iptables-vonatkoznak -t 15 new_iptable_conf
A fenti példában, iptables-azonnal alkalmazni a rajt után a tűzfal beállításait alkalmazni new_iptable_conf fájlt, és várja a felhasználó visszajelzésére 15 másodpercig. És ha a felhasználó nem erősíti meg az új konfigurációt, akkor vissza a régi. Fájlformátum iptables-vonatkoznak ugyanaz, mint amikor a beállításokat menti iptables-save.
Ie A biztonságos tesztelés iptables konfiguráció szükséges: írni az aktuális konfigurációs fájlba new_iptable_conf: iptables-save> new_iptable_conf. További módosítsa ezt a fájlt, és azt követően, hogy biztonságosan tesztelik az új beállításokat az iptables-vonatkoznak: iptables-vonatkoznak -t 15 new_iptable_conf.