Интернет Цонтрол Мессаге Протоцол, познат и као ИЦМП, је протокол који се користи за проверу повезаности хостова у мрежи. Овај протокол такође можемо користити за дијагнозу проблема у мрежи. Али са безбедносног становишта, неко га такође може користити за извршавање ДДоС напада. Поплава пинг-а или напад дистрибуираног ускраћивања услуге (ДДоС) облик је напада у којем неко шаље пуно захтева за пинг хосту, а домаћин постаје готово неприступачан за рутински саобраћај. Да би избегли овакву ситуацију, мрежни администратори обично блокирају ИЦМП на својој мрежи. У овом чланку ћемо научити како се ИП табеле могу користити за блокирање ИЦМП-а на нашем серверу.
Шта су ИП табеле?
ИП Таблес је услужни програм заштитног зида за оперативне системе Линук. Може се користити за прихватање, одбијање или враћање мрежног саобраћаја од или до извора. Посматра надолазећи мрежни саобраћај користећи различите скупове правила дефинисаних у табели. Ови скупови правила називају се ланци. ИП табеле посматрају пакете података и који се пакет подудара са правилима, усмерени су на други ланац или им је додељена једна од следећих вредности.
- ПРИХВАЋЕНО: Пакет ће моћи да прође
- КАП: Пакету неће бити дозвољено да прође
- ПОВРАТАК: Ланац ће вратити пакет на претходни ланац.
Инсталирање ИП табела
За већину Линук дистрибуција ИП табеле долазе унапред инсталиране. Можете проверити да ли су ИП табеле инсталиране или не уношењем следеће наредбе у терминал.
[заштићена е-поштом]: ~ $ иптаблес --версионАко ИП табеле нису инсталиране, можете их инсталирати покретањем следеће наредбе у терминалу.
[заштићен е-поштом]: ~ $ судо апт-гет упдате[заштићен е-поштом]: ~ $ судо апт-гет инсталл иптаблес
Подразумевани статус ИП табела можемо проверити покретањем следеће наредбе у терминалу.
[заштићена е-поштом]: ~ $ судо иптаблес -Л -вОзнака '-Л' садржи сва правила, а заставица '-в' приказује детаљне информације.
Алтернативно, такође можемо навести сва правила додата у ИП табеле покретањем следеће наредбе у терминалу.
[заштићена е-поштом]: ~ $ судо иптаблес -С
Подразумевано сви ланци прихватају пакете и ти ланци немају додељено правило.
Додељивање правила ланцима
У почетку ниједном ланцу није додељено правило и сви они прихватају мрежни саобраћај. Сада ћемо у овом одељку видети како можемо да дефинишемо прилагођена правила за блокирање или омогућавање мрежног саобраћаја. Да бисмо дефинисали ново правило, користимо заставицу 'А' (додавање), која говори ИП табелама да ће ново правило бити дефинисано. Следеће опције се такође користе заједно са заставицом 'А' за описивање правила.
-и (интерфејс): Ова опција показује преко ког интерфејса желите да ваш мрежни саобраћај буде дозвољен или блокиран. Попис свих интерфејса на вашем систему можете добити покретањем следеће наредбе у терминалу.
[заштићен е-поштом]: ~ $ ифцонфиг-стр (протокол): Ова опција дефинише који протокол желите да филтрирате помоћу ИП табела. То може бити ТЦП, УДП, ИЦМП, ИЦМПВ6 итд. Можете применити правила на све протоколе користећи све опције.
-с (извор): Ова опција приказује извор мрежног промета попут ИП адресе или имена домена.
-дпорт (одредишни порт): Ова опција се користи за означавање одредишног порта за мрежни саобраћај.
-ј (циљ): Ова опција се користи за приказ циља. Може бити ПРИХВАТИ, ПУСТИ, ОДБИЈЕ или ВРАТИ. Ова опција је обавезна за свако правило.
Генерално, основна синтакса за додавање правила биће следећа:
[заштићена е-поштом]: ~ $ судо иптаблес -А-стр