Персоналът е доста популярна защитна стена в Ubuntu - IPTABLES. Всички примери тествани в съответствие с член Ubutnu 14.04. Iptables - това е по същество Netfilter система за управление на потребителски интерфейс, който управлява стека на Linux мрежа. Iptables сравнява всеки входящ пакет с набор от установени правила и решава какво да прави с него.
Всички отбори IPTABLES трябва да се извършва с основните права само, което трябва да направите:
- използване Sudo (препоръчва метод Ubuntu);
- използва су или Sudo -i, за по-сигурно под основата;
- влезте като потребител корен.
Това ръководство се използва версия на работата по корена - това най-малко не е безопасен вариант, но ако често влиза команди от конзолата от корен, Sudo да получат цялото време неуместно. След предварително конфигуриране на сървъра, когато работата по корен е сведена до минимум, вече се използват Sudo.
Трябва да се отбележи, че за IPv4 мрежа с помощта на IPTABLES, но за IPv6 - ip6tables и ако IPv6 не се използва - можете веднага да забранят всички ip6tables движение:
# Ip6tables -P INPUT DROP
# Ip6tables -P OUTPUT DROP
# Ip6tables -P FORWARD DROP
Но, ако след премахване на всички съединенията на системата за актуализацията на IPv6 няма повече да работи (актуализация правоспособност), ще се наложи да промените настройките.
Това в хода на експериментите не губи достъп до отдалечения сървър за IPv4, трябва да се регистрирате за да нулирате всички правила IPtables на всеки 20 минути от Cron:
# Старица -Д
Добавете реда
* / 20 * / sbin / IPTABLES -F
Сега, дори ако целият трафик ще бъде блокиран на случаен принцип, на всеки 20 минути ще бъдат нулирани правила на защитната стена от масата за маса филтър, които няма да загубят достъп до сървъра. За тази опция, трябва да се обмисли IPTABLES политика по подразбиране. Ако защитната стена все още не е настроен, като текущите IPtables -S команда може да видите следното:
# Iptables -S
-P INPUT ACCEPT
-P НАПРЕД ACCEPT
-P OUTPUT ACCEPT
Тези настройки показват, че след нулиране -F целия трафик ще бъде разрешено на всички правила, с помощта на IPTABLES. Ако замените настройките по подразбиране на мишката, както в началото на тази статия за протокола IPv6, те все още ще бъде в сила, дори и след възстановяване на фабричните настройки с помощта на флага за -F. Т.е. IPTABLES -F команда премахва всички настройки от филтърните таблици маса на защитната стена, ОСВЕН ЗА подразбиране.
Iptables Всички настройки ще бъдат нулирани след рестартиране на сървъра, включително въвеждане на вериги, НАПРЕД, изход, който след стартиране на сървъра, ще отида да приемат статут. Същото важи и за настройките по подразбиране. Как да не загуби IPTABLES и ip6tables настройки, когато се рестартира, той ще бъде написано по-долу.
маса правило
Персоналът на защитната стена на Ubuntu - IPTABLES, се състои от пет маси: филтър. NAT. поразят. сурова и сигурност. За да видите настройките на дадена таблица, например от NAT таблицата, изпълнете командата: IPTABLES -L -t NAT. Таблица филтър маса се използва по подразбиране, както и да видите кои правила вече са направени в него, трябва да се напише: IPTABLES-L (без да посочва името на таблицата). По подразбиране IPtables създадени така, че всичко е позволено.
Филтър маса - таблица за филтриране входящ, изходящ и преминаване (пренасочени) трафик. За всеки тип трафик в таблицата с филтър използва различна верига: вход, изход и НАПРЕД съответно.
Mangle - използва се за пакет модификация.
И все пак има две таблици: сурови и сигурност, за които те са предназначени може да се намери, като напишете човека IPTABLES.
Създаване на правила IPTABLES
Преди да настроите правилата, така че да не се блокира необходимите услуги, струва си да се види откритите пристанища на сървъра с командата:
Всички правила IPTABLES се прилагат веднага след команда, за да добавите правило в защитната стена. За да проверите това, трябва незабавно да блокира достъпа до порт 80, освен ако не се създаде уеб-сървър за относително безопасно наблюдение на блокиращи действия:
# Iptables -A INPUT -p TCP -м TCP --dport 80 -j DROP
Сега можете да се уверите, че той, достъпът до която използва порт 80, става недостъпен. -А флаг добавя правило до края на избраната верига. Тъй като командата не посочва името на правила маса (-t tablename), маса се използва по подразбиране: филтър. Отключи е възможно, както е описано по-горе, като пуснете -F на командните IPTABLES, но какво, ако искате да премахнете само едно правило, както и всички други, остават непроменени?
Премахване на всички правила на веригата INPUT, за да се откажа, опция:
# Iptables -D INPUT -j DROP
Премахване само правилото, определено с INPUT -p TCP -м TCP --dport 81 -j DROP
# Iptables -D INPUT -p TCP -м TCP --dport 80 -j DROP
Опцията -D се отнася до: премахване на едно или повече правила според него следното условие.
# Iptables -L -v -n --line-номерата
След това изтрийте едно правило, знаейки, номера му може да бъде, както следва:
# Iptables -D INPUT 1
Добавяне на правило за определено място, например, на първа линия, е възможно, като се използва следния синтаксис:
# Iptables -I INPUT 1 -s 4.4.4.4 -j ACCEPT
Всички правила досега записани, включително факта, че тя е в линия 1 ще бъде преместен на долния ред.
Вариант -Z връща на нула байтове и пакетни броячи.
DROP или отхвърлят
DROP, и да отхвърли откаже връзката, но REJECT допълнително изпраща ICMP пакет на инициатора, с посланието, че опитът за връзка се отхвърля. DROP - просто изхвърля на входящите пакети, без да изпраща всички съобщения в отговор. В случай на DoS-атаки, да отхвърли ще създаде над трафик с техните отговори, така че в случай на отказ на връзка е най-добре да се използва DROP.
В официалната документация, се препоръчва да използвате отхвърлите за защита срещу сканиране на портове, тъй като DROP може да се остави отворена неизползваните гнездата на сървъра.
Възстановяване на правилата: опцията -F или -X
В много случаи, за цялостно почистване на правилата, използвани веднага флага -F и -X знаме:
# Iptables -F
# Iptables -X
И с право! От -F изтрива всички правила, създадени от потребителите в стандартни и нестандартни вериги, но флагът за -X изтрива потребителското име на вериги с помощта на -N флаг. Swap -F и -X не си струва, защото за да се отстрани потребителски дефинирана верига, предварително почистете, че е необходимо от правилата, в противен случай веригата няма да бъдат премахнати и се показва съобщение за грешка.
настройки на запис
След като конфигурирате IPTABLES и ip6tables и тестване на работата на мрежата, настройки трябва да се съхраняват в директорията / и др във файлове с имена: iptables.conf и ip6tables.conf (в действителност, пътя и името на файла, можете да изберете по своя преценка):
# Iptables-спести> /etc/iptables.conf
# Ip6tables-спести> /etc/ip6tables.conf
По-късно през /etc/network/if-pre-up.d директория трябва да създаде IPTABLES файл (# докосване /etc/network/if-pre-up.d/iptables), да я изпълним (# коригират + х / и т.н. / мрежа /if-pre-up.d/iptables) и го напълнете със следното съдържание:
#! / Bin / ш
IPTABLES-възстановяване ip6tables-възстановяване
Сега, всеки път, когато стартирате сървъра, преди да включите в мрежата, а в IPTABLES правила ip6tables ще бъдат заредени от файл и /etc/iptables.conf /etc/ip6tables.conf на. Ако трябва да изтеглите правилата след включването на мрежата, файлът може да бъде създаден в IPTABLES /etc/network/if-up.d директория.
Друг начин - да се използва за комунални услуги IPTABLES-упорит.
Ако не се възстанови настройките на IPTABLES след ботуши сървър, защитната стена ще се работи с настройките по подразбиране, включително настройките по подразбиране (ACCEPT) за вериги филтър маса: вход, изход, както и напред.
Също така, не забравяйте да изключите нулират IPtables определящи за Cron, ако е била предварително конфигуриран.
Настройки за защита пробни - IPTABLES-прилагат
Има една програма, IPTABLES-прилагат. за безопасно тестване IPTABLES конфигурация на отдалечен сървър. Същността на работата й е както следва: той се прилага новите настройки от даден файл, за определен период от време (по подразбиране 10 сек.), А ако потребителят на конзолата не потвърждава новите настройки чрез натискане на бутона Y, се върнете към настройките на IPTABLES, които са допълнителни нови приложения.
IPTABLES-прилагат -t 15 new_iptable_conf
В примера по-горе, IPTABLES-прилагат веднага след началото на настройките на защитната стена прилага new_iptable_conf файл и чакат потвърждение от страна на потребителя в продължение на 15 секунди. И ако потребителят не потвърждава новата конфигурация, тя ще бъде върната на старото. формат на файла IPTABLES-прилагат същите, както при параметрите се записват с помощта на IPTABLES-спаси.
Т.е. за безопасни IPTABLES тестване е необходимо конфигурация: да напиша текущата конфигурация във файл new_iptable_conf: IPTABLES-спести> new_iptable_conf. по-нататъшно редактиране на този файл и след това безопасно тестване на нови настройки с помощта на IPTABLES-прилага: IPTABLES-прилагат -t 15 new_iptable_conf.
Полезни връзки
Свързани статии