въведение
Неотчитане (Неусложненият Firewall - защитна стена без усложнения) - User-удобен интерфейс за управление на защитната стена на политиките за сигурност. Нашите сървъри са постоянно изложени на различни атаки и сканиране за уязвимости. След като тези уязвимости са, ние рискуваме да стане част от ботнет, да разкриват чувствителна информация или да губят пари, свързани с грешки в уеб приложението. Един от първите мерки, за да намалят рисковете за сигурността е компетентните правила настройка на защитната стена. В това ръководство ще разгледаме основните команди и правилата за работа с полезността неотчитане.
Предварителни
За да започнете работа с неотчитане, ще трябва суперпотребител (възможност за изпълнение на команди под Sudo).
Неотчитане полезност предварително инсталирана на системата. Ако по някаква причина не е на разположение, можете да го инсталирате с командата:
Проверете правилата и текущото състояние на неотчитане
По всяко време можете да проверите състоянието на неотчитане с командата:
По подразбиране неотчитане е изключен, така че трябва да видите нещо подобно:
Ако неотчитане включен, конзолата ще бъде прехвърлена към определени правила. Например, ако защитната стена е конфигурирана по такъв начин - SSH (порт 22) връзка от всяка точка на света, на конзолата може да изглежда така:
Така че винаги може да се научи как да се създаде защитна стена.
Внимание! Извършва първоначална настройка, преди да преминете неотчитане. По-специално, тя трябва да бъде на разположение SSH (порт 22). В противен случай рискувате да загуби достъп до сървъра.
първоначалната конфигурация
Неотчитане на настройките по подразбиране забраняват всички входящи връзки и позволява цялата изходяща. Това означава, че ако някой се опита да достигне до вашия сървър, тя няма да бъде в състояние да се свърже, а всяко приложение в сървъра има достъп до външната електрическа мрежа.
Съответните правила за защитни стени са написани по този начин:
Добавяне на правила за SSH-връзки
За да позволите на входящите SSH-връзки, изпълнете следната команда:
SSH демон слуша на порт 22. Неотчитане знае имената на общи услуги (SSH, SFTP, HTTP, HTTPS), така че можете да ги използвате вместо номера на порта.
Ако вашият SSH-демон използва друг порт, ще трябва да го посочите изрично, например:
Сега, когато вашата защитна стена е конфигурирана, можете да го включите.
Стартиране на неотчитане
За да се даде възможност на неотчитане, използвайте следната команда:
Ще получите подобно предупреждение:
Това означава, че стартирането на тази услуга може да се прекъсне текущата връзка SSH.
Но, както вече сте добавили SSH с правилата, това няма да се случи. Така че просто натиснете (и).
Добавяне на правила за други връзки
За да имате вашите приложения да работят правилно, трябва да добавите повече правила. По-долу са показани конфигурирани за най-често срещаните услуги.
HTTP (порт 80)
За работа не е криптирана уеб сървъри, използвайте следната команда:
HTTPS (порт 443)
Същото като в предишния пример, но за криптирани връзки:
FTP (порт 21)
Този порт се използва за прехвърляне на файлове некриптиран:
Добавянето пристанищни диапазони
Можете също така да се посочи конкретен протокол:
Sudo неотчитане позволи 3000: 3100 / TCP
Sudo неотчитане позволи 3000: 3100 / UDP
Ако искате да ограничите достъпа до определено пристанище, използвайте командата тип:
Limit връзка
За да забраните HTTP-връзка, можете да използвате следната команда:
Ако искате да се отрече всякаква връзка с 123.45.67.89, използвайте следната команда:
Изтриване на правила
Има два начина за премахване на правилата. Първият - на правилния брой. Изпълнете командата:
След това стартирайте неотчитане Командата за изтриване и посочите номера на правилото за изтриване:
Вторият начин е, че след неотчитане изтриете команда използва действителното правило, например,
деактивиране на неотчитане
Изключване неотчитане да използвате командата:
В резултат на неговото изпълнение на всички предварително създадени правила ще стане невалидна.
Възстановяване на правилата
Ако искате да възстановите текущите настройки, използвайте командата:
В резултат на неговото прилагане на всички правила, ще бъдат деактивирани и изтрита.
В неотчитане имате възможност да запишете дневника - влезте. За да започнете, използвайте следната команда:
Неотчитане neskoko поддържа нива дърводобив:
- разстояние - изключен.
- ниска - засича всички блокирани пакети, които не съответстват на дадена политика (ограничение на скоростта), както и пакетите, които съответстват на регистрираните правила.
- среда - всичко това на по-ниска стойност. Плюс всичко позволено пакети, които не съответстват на дадена политика, всички невалидни пакети, както и всички нови връзки. Всички записи се поддържат с ограничение на скоростта.
- високо - също работи като среда. Плюс всички опаковки, с ограничение на скоростта.
- пълен - както и висока, но без ogranieniya скорост.
За да зададете нивото, уточни той като аргумент:
По подразбиране нивото на ниска.
заключение
Сега вашата защитна стена е минимално изискваните настройки за по-нататъшна работа. След това се уверете, че всички връзки, използвани от уеб приложението също е позволено и да блокират тези, които не са необходими. Това ще намали рисковете от проникване на вашия сървър и хакерите извършили злоумишлени действия.
Свързани статии