иптаблес

Иптабле за почетнике

Иптабле за почетнике
Иптаблес је у основи главни заштитни зид који се користи за Линук системе, постоје алтернативе попут нфтаблес, али Иптаблес остаје главна, врло је флексибилан прихватањем директних наредби од корисника, можете учитати и истоварити правила по потреби како бисте повећали политике заштитног зида тачност.

Заправо чак и не требате знати синтаксу Иптабле-а да бисте је користили, имате графичке алате попут Фиревалл Буилдер-а који процес учења могу учинити непотребним, али ако је жеља за повећањем знања о администрацији Линука, Иптаблес је први корак да научите како практично администрирати безбедност под Линуком и чак олакшати управљање сигурносним уређајима ЦИСЦО или Фортигате и сличним.

Иптаблес вам у основи омогућава да наредите систему да прихвати, одбије или проследи везу у зависности од изабраних параметара, на пример да преусмери све везе на Кс порт на другу ИП адресу, да блокира све везе које долазе из одређеног ИП, ИП опсега или на прихвати све везе које долазе са ИП адреса са белих листа између многих других функција.

У овом упутству научићемо како да заштитимо веб сервер, како да проследимо везе на интерне ИП адресе из нашег ЛАН-а и како да понудимо одређене услуге само на ИП адресе са белог списка.

Инсталирање Иптаблес-а

Да бисте инсталирали иптаблес на Дебиан / Убунту системе, само покрените „апт упдате && апт инсталл иптаблес“ као роот или са „судо“ као префикс као на следећој слици.

Отварање ХТТП и ХТТПС портова

Пре свега, дозволите да додамо све АЦЦЕПТ смернице које започиње веб сервер.

иптаблес -А УЛАЗ -п тцп --дпорт 80 -ј ПРИХВАТИ
иптаблес -А УЛАЗ -п тцп --дпорт 443 -ј ПРИХВАТИ

Да бисте видели додата наша правила, покрените „иптаблес -Л“

Где:

Иптаблес = позива програм
= додаје правило
УЛАЗНИ = долазни саобраћај
-стр = протокол
-ддпорт = одредишни порт
= наведите „циљ“, циљ је врста политике: ПРИХВАТИ, ПУСТИ, РЕКЛЕД или ПОВРАТАК.

Затим на узорку горње слике кажемо Иптаблес-у да дода правило за долазни саобраћај кроз ТЦП протокол и прихвати портове 80 и 443.

Можемо променити команду да прихватимо везу само са одређене ИП додавањем параметра „”:

иптаблес -А ИНПУТ -с 127.0.0.1 -п тцп --дпорт 80 -ј ПРИХВАТИ

Где:

с = извор
Иптаблес -Л = наводи сва правила учитана у иптаблес
Иптаблес -Л -в = исто и са глаголошком речи.

Такође можемо да тестирамо наш заштитни зид помоћу нмап:

Као што видимо, порт 80 је отворен и према „иптаблес -Л“ и према Нмап.

Напомена: За више информација о употреби Нмапа можете прочитати наш водич о томе

Заштита вашег сервера

# Отворите ХТТП и ХТТПС услуге.
иптаблес -А УЛАЗ -п тцп --дпорт 80 -ј ПРИХВАТИ
иптаблес -А УЛАЗ -п тцп --дпорт 443 -ј ПРИХВАТИ
# Отвори услугу ССХ порта
иптаблес -А ИНПУТ -п тцп --дпорт 22 -м цоннтрацк --цтстате НОВО, УСТАНОВЉЕНО -ј ПРИХВАТИ

Где су нови параметри:

= значи „подударање“ и користи се за позивање Иптабле-ових проширења попут цоннтрацк који није део основних функција иптабле-а.

цоннтрацк = Омогућава праћење информација о везама као што су одређене адресе или у овом случају стање везе. Ово се мора пажљиво користити, јер многа правила за одбрану сервера од неких напада користе цоннтрацк док је његова употреба ограничена хардвером, а таква ограничења могу се користити за преоптерећење ресурса сервера.

-цтстате = одређује да се подудара стање правила, могућа стања су: НОВО, УСТАНОВЉЕНО, ПОВЕЗАНО И НЕМОЋНО.

# Заштитите своју ССХ услугу од напада грубом силом дозвољавајући само одређену ИП адресу
за приступ иптаблес -А ИНПУТ -п тцп -с Кс.Икс.Икс.Кс --дпорт 22-м цоннтрацк --цтстате НОВО,
УСТАНОВЉЕНО -ј ПРИХВАТИ
# Заштитите своју ССХ услугу од напада грубом силом ограничавањем покушаја повезивања
Иптаблес -А ИНПУТ -п тцп -м тцп --дпорт 22 -м цоннтрацк --цтстате НОВО -ј 22-тест
Иптаблес -А 22-тест -м недавни --име ПРИКЉУЧЦИ --сет --маска 255.255.255.255 - извор
Иптаблес -А 22-тест -м недавни --име ВЕЗЕ --рцхецк --маска 255.255.255.255
--рсоурце --секунде 30 --хитцоунт 3 -ј 22-заштита
Иптаблес -А 22-тест -ј ПРИХВАТИ
Иптаблес -А 22-заштита -ј ДРОП

Где:
У првом реду наше правило каже „-м цоннтрацк -цтстате НОВО ” што значи да ако је веза нова, пређите на правило „22-тест“.

Други ред каже пакети мрежне маске 255.255.255.255 су именовани као ВЕЗЕ .

Трећи ред каже ако а ВЕЗЕ чини се преко 3 пута у року од 30 секунди заштитни зид наставља да примењује ланац 22-заштита. Четврти ред каже ако ВЕЗЕ није изгледало више од 3 пута у року од 30 секунди може се прихватити.
Пети ред, који припада 22-заштита ланац каже да падне ВЕЗЕ ако се чини да је преко 3 пута у року од 30 секунди.

Сада да завршимо, дозволимо да одбијемо све неприхваћене везе и дозволимо сав одлазни саобраћај:

иптаблес -П ИЗЛАЗНИ ПРИХВАТ
иптаблес -П ИНПУТ ДРОП

Тамо где -П значи циљни ланац, запамтите да је циљ политика, ПРИХВАТИ, ДРОП, КУЕУЕ или РЕТУРН. У овом случају кажемо да је подразумевана политика за одлазни саобраћај прихватање, а подразумевана политика за долазни саобраћај је одбијање, осим ако у претходним правилима нисмо навели нешто другачије. Ово је врло основни заштитни зид који не укључује правила за многе нападе, у сврху учења, а не за производњу, на крају чланка прилажем заштитни зид који сам користио за производњу на серверу, садржи коментаре који објашњавају свако правило.

Прослеђивање везе са одређеним луком на одређену ИП адресу

Ово је врло корисно и за кориснике рачунара који желе да усмјере везу преко одређеног уређаја, може бити корисно чак и играчима, обично то радимо у поставкама рутера, али претпоставимо да уређај за усмјеравање ради на Иптаблес.

иптаблес -А ПРЕРИЗИРАЊЕ -т нат -п тцп -д Кс.Икс.Икс.Кс --порт 8080 -ј ДНАТ - до одредишта
И.И.И.И: 80
иптаблес -А ПОСТРОУТИНГ -т нат -п тцп -ј СНАТ --то-соурце Кс.Икс.Икс.Икс

Горња правила позивају се на НАТ (Превод мрежне адресе) да би навели везе путем протокола ТЦП на адресу Кс.Икс.Икс.Кс и порт 8080 биће преусмерени на адресу И.И.И.И, порт 80. Друго правило наводи да се одговори морају слати на изворну адресу (Кс.Икс.Икс.ИКС). Ова правила можемо користити да бисмо дозволили приступ ИП камери, омогућили онлајн играње са спољним мрежама итд.

Овај водич је требао да почетнике упозна са Иптаблесом и објашњава само ограничени број основних функција. Испод можете видети узорак добро планираног заштитног зида који је коришћен за производни сервер, он укључује од неких правила која смо већ видели до сложенијих правила за спречавање ДДоС напада, између осталих.
Следећи водич биће о њушкању у локалним мрежама, али у следећем упутству објаснићу нека правила која се примењују на заштитни зид у наставку.  Хвала вам што пратите ЛинукХинт.цом, наставите да нас пратите за будућа ажурирања о Иптаблес-у и Линук-у уопште.

Бонус: Узорак производног заштитног зида

иптаблес -Ф
# ---- Омогући заштиту од лоших порука о грешкама
енабле / проц / сис / нет / ипв4 / ицмп_игноре_богус_еррор_респонсес
# ---- Укључи филтрирање обрнуте путање. Безбедније, али разбија асиметрично усмеравање и / или ИПСЕЦ
енабле / проц / сис / нет / ипв4 / цонф / * / рп_филтер
# ---- Не прихватајте изворно преусмерене пакете. Рутирање извора се ретко користи за легитимно
сврхе онемогућавају / проц / сис / нет / ипв4 / цонф / * / аццепт_соурце_роуте
# ---- Онемогућите прихватање ИЦМП-а за преусмеравање које се може користити за измену таблица усмеравања
онемогућити / проц / сис / нет / ипв4 / цонф / * / аццепт_редирецтс
# ---- Како не прихватамо преусмеравања, немојте слати ни поруке за преусмеравање
онемогућите / проц / сис / нет / ипв4 / цонф / * / сенд_редирецтс
# ---- Занемари пакете са немогућим адресама
онемогућити / проц / сис / нет / ипв4 / цонф / * / лог_мартианс
# ---- Заштитите од бројева редоследа умотавања и помозите у мерењу времена повратног путовања
енабле / проц / сис / нет / ипв4 / тцп_тиместампс
# ---- Помоћ против син-поплаве ДоС или ДДоС напада користећи одређене изборе почетног слова
Бројеви ТЦП секвенци омогућавају / проц / сис / нет / ипв4 / тцп_синцоокиес
# ---- Користите селективни АЦК који се може користити да означи да недостају одређени пакети
онемогућите / проц / сис / нет / ипв4 / тцп_сацк
модпробе нф_цоннтрацк_ипв4
модпробе нф_нат
# модпробе нф_цоннтрацк_ипв6
# модпробе нф_цоннтрацк_аманда
# модпробе нф_нат_аманда
модпробе нф_цоннтрацк_х323
модпробе нф_нат_х323
модпробе нф_цоннтрацк_фтп
модпробе нф_нат_фтп
# модпробе нф_цоннтрацк_нетбиос_нс
# модпробе нф_цоннтрацк_ирц
# модпробе нф_нат_ирц
# модпробе нф_цоннтрацк_прото_дццп
# модпробе нф_нат_прото_дццп
модпробе нф_цоннтрацк_нетлинк
# модпробе нф_цоннтрацк_пптп
# модпробе нф_нат_пптп
# модпробе нф_цоннтрацк_прото_удплите
# модпробе нф_нат_прото_удплите
# модпробе нф_цоннтрацк_прото_гре
# модпробе нф_нат_прото_гре
# модпробе нф_цоннтрацк_прото_сцтп
# модпробе нф_нат_прото_сцтп
# модпробе нф_цоннтрацк_сане
модпробе нф_цоннтрацк_сип
модпробе нф_нат_сип
# модпробе нф_цоннтрацк_тфтп
# модпробе нф_нат_тфтп
# модпробе нф_нат_снмп_басиц
# Сад можемо почети да додајемо изабране услуге у наш филтер заштитног зида. Прва таква ствар
је лоцалхост интерфејс иптаблес -А ИНПУТ -и ло -ј АЦЦЕПТ
# Рекли смо заштитном зиду да узима све долазне пакете са тцп заставицама НОНЕ и само ДОПУСТИ.
иптаблес -А УЛАЗ -п тцп ! -м цоннтрацк --цтстате НОВО -ј ДРОП
# Кажемо иптаблес-у да додају (-А) правило на долазни (ИНПУТ) - ССХ ради на порту 50683
уместо 22.
иптаблес -А ИНПУТ -п тцп -м тцп --дпорт 50683 -ј АЦЦЕПТ
иптаблес -А ИНПУТ -п тцп -м тцп -с специфиц ип --дпорт 50683 -ј АЦЦЕПТ
иптаблес -А ИНПУТ -п тцп -м тцп -с специфиц ип --дпорт 50683 -ј АЦЦЕПТ
иптаблес -А ИНПУТ -п тцп -м тцп -с специфиц ип --дпорт 50683 -ј ПРИХВАТИ
иптаблес -А ИНПУТ -п тцп --дпорт 50683 -м цоннтрацк --цтстате НОВО -м недавно --сет
--име ССХ -ј ПРИХВАТИ
иптаблес -А ИНПУТ -п тцп --дпорт 50683 -м недавни --ажуриран --секунде 60 --хитцоунт 4
--рттл --наме ССХ -ј ЛОГ --лог-префикс "ССХ_бруте_форце"
иптаблес -А ИНПУТ -п тцп --дпорт 50683 -м недавни --ажуриран --секунде 60 --хитцоунт 4
--рттл --име ССХ -ј ДРОП
иптаблес -А ИНПУТ -п тцп --дпорт 50683 -м цоннтрацк --цтстате НОВО -м недавно --сет
--име ССХ
иптаблес -А ИНПУТ -п тцп --дпорт 50683 -м цоннтрацк --цтстате НОВО -ј ССХ_ВХИТЕЛИСТ
иптаблес -А ИНПУТ -п тцп --дпорт 50683 -м цоннтрацк --цтстате НОВО -м недавно - ажурирано
--секунди 60 --хитцоунт 4 --рттл --име ССХ -ј УЛОГ --улог-префикс ССХ_бру
иптаблес -А ИНПУТ -п тцп --дпорт 50683 -м цоннтрацк --цтстате НОВО -м недавно - ажурирано
--секунде 60 --хитцоунт 4 --рттл --наме ССХ -ј ДРОП
# Сада дозвољавам имап и смтп.
-УЛАЗ -п тцп --дпорт 25 -ј ПРИХВАТИ
# Омогућава поп и поп везе
-УЛАЗ -п тцп --дпорт 110 -ј ПРИХВАТИ
-УЛАЗ -п тцп --дпорт 995 -ј ПРИХВАТИ
############ ИМАП & ИМАПС ############
-УЛАЗ -п тцп --дпорт 143 -ј ПРИХВАТИ
-УЛАЗ -п тцп --дпорт 993 -ј ПРИХВАТИ
########### МИСКЛ ####################
иптаблес -А ИНПУТ -и етх0 -п тцп -м тцп --дпорт 3306 -ј ПРИХВАТИ
########## Р1софт ЦДП систем ################
иптаблес -А ИНПУТ -п тцп -м тцп -с специфиц ип --дпорт 1167 -ј АЦЦЕПТ
############### оутгоинг ####################
иптаблес -И ИНПУТ -м цоннтрацк --цтстате ОСНОВАН, ПОВЕЗАН -ј ПРИХВАТИ
### Дозволи у току, блокирај долазне није дефинисано ###
иптаблес -П ИЗЛАЗНИ ПРИХВАТ
иптаблес -П ИНПУТ ДРОП
иптаблес -Л -н
иптаблес-саве | тее / етц / иптаблес.тест.правила
иптаблес-ресторе < /etc/iptables.test.rules
#сервице иптаблес рестарт
Игре Како инсталирати и играти Доом на Линук-у
Како инсталирати и играти Доом на Линук-у
Увод у Доом Доом серија настала је 90-их година након објављивања оригиналног Доом-а. То је био тренутни хит и од тог времена надаље серија игара је д...
Игре Вулкан за кориснике Линука
Вулкан за кориснике Линука
Са сваком новом генерацијом графичких картица видимо да програмери игара помичу границе графичке верности и долазе на корак од фотореализма. Али упрко...
Игре ОпенТТД вс Симутранс
ОпенТТД вс Симутранс
Стварање сопствене симулације превоза може бити забавно, опуштајуће и изузетно примамљиво. Због тога морате да испробате што више игара како бисте про...