Phenquestions
Овај водич ће размотрити како да конфигуришете и користите иптаблес правила на Убунту систему за заштиту ваше мреже. Без обзира јесте ли почетник Линука или сте сезонски администратор система, из овог водича ћете, на овај или онај начин, научити нешто корисно о иптаблес.
Иптаблес долазе унапред инсталирани на Убунту и већини дистрибуција заснованих на Дебиану. Убунту такође пакује заштитни зид ГУФВ, графичку алтернативу коју можете користити за рад са иптаблес-има.
БЕЛЕШКА: Да бисте користили и конфигурисали иптаблес, требаће вам судо привилегије на вашем систему. Из следећег водича можете сазнати више о судо-у.
Сад кад знате шта је Иптаблес, заронимо одмах!
Како се користе иптаблес за управљање ИПв4 саобраћајем?
Да бисте користили Иптаблес за ИПв4 управљање мрежом и саобраћајем, морате да разумете следеће:
Команда Иптаблес
Иптаблес нуди избор опција које вам омогућавају да прилагодите и подесите своја иптаблес правила. Размотримо неке од ових параметара и видећемо шта они раде.
БЕЛЕШКА: Можете да конфигуришете скуп правила која управљају одређеним подскупом, познатим као ланци иптаблес.
Иптаблес Параметри
Пре него што започнемо са креирањем и конфигурисањем правила иптаблес, хајде да прво разумемо основе иптаблес-а, као што су општа синтакса и задани аргументи.
Размотрите наредбу испод:
судо иптаблес -И ИНПУТ -с 192.168.0.24 -ј ДРОПГорња команда говори иптаблес-има да креирају правило у ланцу. Правило уклања све пакете са ИП адресе 192.168.0.24.
Испитајмо наредбу, ред по ред, да бисмо је боље разумели.
- Прва наредба иптаблес позива услужни програм иптаблес командне линије.
- Следеће је -И аргумент који се користи за уметање. Аргумент уметања додаје правило на почетку ланца иптаблес и тако му се додељује већи приоритет. Да бисте додали правило на одређени број у ланцу, користите аргумент -И праћен бројем којем би требало доделити правило.
- Аргумент -с помаже у одређивању извора. Стога користимо аргумент -с иза којег следи ИП адреса.
- Параметар -ј са иптаблес специфицира скок на одређени циљ. Ова опција поставља акцију коју ће Иптаблес извршити када постоји одговарајући пакет. Иптаблес подразумевано нуди четири главна циља, међу којима су: ПРИХВАТИ, ДРОП, ЛОГ и ОДБИЈИ.
Иптаблес нуди избор параметара помоћу којих можете да конфигуришете различита правила. Разни параметри које можете користити за конфигурисање правила иптаблес укључују:
| Параметар правила Иптаблес | Опис |
|---|---|
| -с -извор | Наведите извор, који може бити адреса, име хоста или име мреже. |
| -п -протокол | Одређује протокол везе; на пример, ТЦП, УДП итд. |
| -д -дестинација | Одређује одредиште, које може бити адреса, име мреже или име хоста. |
| -ј -скок | Поставља акцију коју ће иптаблес извршити након проналаска пакета. |
| -о-оут-интерфаце | Поставља интерфејс преко којег иптабле шаље пакет. |
| -и -ин-интерфаце | Поставља интерфејс који се користи за успостављање мрежних пакета. |
| -ц -сет-бројачи | Омогућава администратору да постави бројаче бајтова и пакета за одређено правило. |
| -г -гото ланац | Параметар наводи да се обрада треба наставити у ланцу који је поставио корисник по повратку. |
| -ф-фрагмент | Каже иптаблес-у да примењује правило само на други и наредне фрагменте фрагментираних пакета. |
Иптаблес Оптионс
Команда иптаблес подржава широк спектар опција. Неки од уобичајених укључују:
| Опција | Опис |
|---|---|
| -А -прилог | Додаје правило на крај наведеног ланца |
| -Д -бриши | Уклања правило из наведеног ланца |
| -Ф -флусх | Уклања сва правила, једно по једно |
| -Л-листа | Приказује сва правила у наведеном ланцу |
| -Убацујем | Убацује правило у наведени ланац (прослеђује се као број када није наведен број; правило се додаје на врх) |
| -Ц -провери | Упити за подударање правила; захтев у наведеном правилу |
| -в -вербосе | Приказује више детаља када се користи са параметром -Л |
| -Н -нов ланац | Додаје нови кориснички дефинисани ланац |
| -Кс -брисати-ланац | Уклања одређени кориснички дефинисани ланац |
Иптаблес Табеле
Линук језгро има подразумеване табеле у којима се налази скуп повезаних правила. Ове подразумеване табеле имају скуп задатих ланаца, али корисници могу прилагодити правила додавањем правила која дефинишу корисници.
БЕЛЕШКА: Подразумеване табеле ће у великој мери зависити од ваше конфигурације језгра и инсталираних модула.
Ево подразумеваних иптаблес табела:
1: Табеле филтера
Табела филтера је подразумевана табела која садржи ланце који се користе за филтрирање мрежних пакета. Неки од подразумеваних ланаца у овој табели укључују:
| Ланац | Опис |
|---|---|
| Улазни | Иптаблес користе овај ланац за све долазне пакете у систем, тј.е., пакети који иду у локалне мрежне утичнице. |
| Оутпут | Иптаблес користе излазни ланац за локално генерисане пакете, тј.е., пакети који излазе из система. |
| Напред | Овај ланац је оно што Иптаблес користе за пакете усмерене или прослеђене преко система. |
2: НАТ табеле
НАТ или табела мрежних адреса је уређај за усмеравање који се користи за модификовање изворне и циљне ИП адресе у мрежном пакету. Главна употреба НАТ табеле је повезивање две мреже у приватном опсегу адреса са јавном мрежом.
НАТ је развијен да подржи маскирање стварних ИП адреса, омогућавајући приватним ИП адресама да досежу спољну мрежу. Ово помаже у заштити детаља о унутрашњим мрежама од откривања у јавним мрежама.
НАТ табела се запошљава када пакет иницира нову везу.
Иптаблес имају подразумевану табелу за НАТ адресирање. Ова табела има три главна ланца:
| Ланац | Опис |
|---|---|
| ПРЕРУТИРАЊЕ | Омогућава модификовање информација о пакетима пре доласка у ланац ИНПУТ који се користи за долазне пакете |
| ИЗЛАЗ | Резервисано за локално креиране пакете, тј.е., пре него што се догоди мрежно усмеравање |
| ПОСТРОУТИНГ | Омогућава модификовање одлазних пакета - Пакети који напуштају ланац ОУТПУТ |
Дијаграм у наставку приказује преглед овог процеса на високом нивоу.
Употријебите доњу наредбу да бисте прегледали своје НАТ табеле усмјеравања.
иптаблес -т нат -н -в -Л3: Табеле Мангле
Табела мангле се углавном користи за посебне модификације пакета. Једноставно речено, користи се за модификовање ИП заглавља мрежног пакета. Модификација пакета може да укључује промену ТТЛ вредности пакета, промену важећих мрежних скокова за пакет итд.
Табела садржи следеће подразумеване ланце:
| Ланац | Опис |
|---|---|
| ПРЕРУТИРАЊЕ | Резервисано за долазне пакете |
| ПОСТРОУТИНГ | Користи се за одлазне пакете |
| УЛАЗНИ | Користи се за пакете који долазе директно на сервер |
| ИЗЛАЗ | Користи се за локалне пакете |
| Напред | Резервисано за пакете усмерене кроз систем |
4: Сирови столови
Главна сврха сирове табеле је конфигурисање изузетака за пакете којима систем праћења не треба да рукује. Необрађена табела поставља ознаку НОТРАЦК на пакетима, што подстиче функцију цоннтрацк да игнорише пакет.
Цоннтрацк је мрежна функција Линук кернела која омогућава Линук кернелу да прати све мрежне везе, омогућавајући кернелу да идентификује пакете који чине мрежни ток.
Сирови сто има два главна ланца:
| Ланац | Опис |
|---|---|
| ПРЕРУТИРАЊЕ | Резервисано за пакете примљене преко мрежног интерфејса |
| ИЗЛАЗ | Резервисано за пакете покренуте локалним процесима |
5: Табела безбедности
Примарна употреба ове табеле је постављање интерног сигурносног механизма за побољшање сигурности за Линук (СЕЛинук) који означава пакете. Сигурносна ознака се може применити по вези или пакету.
Користи се за обавезна правила контроле приступа и друга је табела којој се приступа након табеле филтера. Нуди следеће подразумеване ланце:
| Ланац | Опис |
|---|---|
| УЛАЗНИ | Резервисано за долазне пакете у систем |
| ИЗЛАЗ | Користи се за локално креиране пакете |
| НАПРЕД | Користи се за пакете усмерене кроз систем |
Пошто смо погледали подразумеване Иптаблес, идемо корак даље и разговарамо о томе како радити са иптаблес правилима.
Како радити са иптаблес правилима?
Иптаблес правила се примењују у растућем редоследу. То значи да се прво примењује прво правило у одређеном скупу, а затим друго, па треће и тако даље, све док се последње.
Због ове функције, иптаблес вас спречавају да додате правила у скуп помоћу параметра -А; морате да користите -И, а иза њега следи број или га испразните да бисте додали на врх листе.
Приказивање Иптаблес
Да бисте прегледали своје иптаблес, користите наредбу иптаблес -Л -в за ИПв4 и ип6таблес -Л -в за ИПв6.
Уметање правила
Да бисте уметнули правила у скуп, морате их поставити тачно по редоследу, поштујући правила која користи исти ланац. Списак својих иптаблес правила можете прегледати помоћу наредбе како је горе речено:
судо иптаблес -Л -вНа пример, да бисмо уметнули правило које дозвољава долазне везе на порт 9001 преко ТЦП-а, морамо навести број правила ланцу ИНПУТ који се придржава правила о саобраћају за веб.
судо иптаблес -И ИНПУТ 1 -п ТЦП --дпорт 9001 -м стате --стате НЕВ -ј АЦЦЕПТЈедном када погледате тренутне иптабле, требало би да видите ново правило у скупу.
судо иптаблес -Л -в
Замена правила
Функција замене ради слично као и уметање, међутим користи иптаблес -Р наредбу. На пример, да бисмо модификовали горње правило и поставили порт 9001 да одбије, ми:
судо иптаблес -Р ИНПУТ 1 -п ТЦП --дпорт 9001 -м стате --стате НЕВ -ј РЕЈЕЦТБрисање правила
Да бисмо избрисали правило, прослеђујемо број правила. На пример, да бисмо избрисали горње правило, можемо одредити као:
судо иптаблес -Д УЛАЗ 1У већини Линук дистрибуција иптаблес су празни за ИПв4 и ИПв6. Стога, ако нисте додали ниједно ново правило, добићете излаз сличан ономе приказаном доле. То је ризично јер значи да систем дозвољава сав долазни, одлазни и усмерени саобраћај.
Погледајмо како да конфигуришемо иптаблес:
Како конфигурисати иптаблес?
Постоје бројни начини за конфигурисање иптаблес правила. Овај одељак користи примере да би вам показао како поставити правила помоћу ИП адреса и портова.
Блокирање и омогућавање саобраћаја по лукама
Можете да користите одређени порт да бисте блокирали или дозволили сав саобраћај на мрежном интерфејсу. Размотрите следеће примере:
судо иптаблес -А ИНПУТ -ј АЦЦЕПТ -п ТЦП --дестинатион-порт 1001 -и влан0Горње команде омогућавају саобраћај на порту 1001 ТЦП на влан0 интерфејсу.
судо иптаблес -А ИНПУТ -ј ДРОП -п ТЦП --дестинатион-порт 1001 -и влан0Ова наредба ради супротно од горње наредбе јер блокира сав промет на порту 1001 на влан0.
Ево детаљног прегледа команде:
- Први аргумент (-А) додаје ново правило на крају ланца табеле.
- Аргумент ИНПУТ додаје наведено правило у табелу.
- ДРОП аргумент поставља радњу која се изводи као АЦЦЕПТ, односно ДРОП. То значи да када се пакет подудара, он се испушта.
- -п одређује протокол попут ТЦП-а и омогућава пролазак промета на другим протоколима.
- -одредиште-пристаниште поставља правило да прихвати или одустане од сав саобраћај намењен порту 1001.
- -и
говори иптаблес-у да примени правило на саобраћај који долази на влан0 интерфејсу.
БЕЛЕШКА: Иптаблес не разуме псеудониме мрежног интерфејса. Дакле, у систему са више виртуелних интерфејса мораћете ручно и експлицитно да дефинишете одредиште.
На пример:
судо иптаблес -А ИНПУТ -ј ДРОП -п ТЦП --дестинатион-порт 1001 -и влан0 -д 192.168.0.24ИП адресе на белој листи и на црној листи
Правила заштитног зида можете креирати помоћу иптаблес-а. Један пример је заустављање целокупног саобраћаја и омогућавање мрежног промета само са експлицитних ИП адреса.
Пример:
иптаблес -А ИНПУТ -м стате --стате ОСНОВАНО, ПОВЕЗАНО -ј ПРИХВАТИиптаблес -А ИНПУТ -и ло -м коментар --коментар "Дозволи повратне везе" -ј ПРИХВАТИ
иптаблес -А ИНПУТ -п ицмп -м коментар - коментар „Дозволи Пингу да ради како се очекује“ -ј
ПРИХВАТИ
иптаблес -А ИНПУТ -с 192.168.0.1/24 -ј ПРИХВАТИиптаблес -А ИНПУТ -с 192.168.0.0 -ј ПРИХВАТИ
иптаблес -П ИНПУТ ДРОП
иптаблес -П НАПРЕД ДРОП
Прва линија поставља правило које дозвољава све изворне ИП адресе у 192.168.0.1/24 подмрежа. Такође можете да користите ЦИДР или појединачне ИП адресе. У следећој наредби поставили смо правило да дозвољава сав саобраћај повезан на постојеће везе. У последњим командама поставили смо смерницу за ИНПУТ и ФОРВАРД да се сви испуштају.
Коришћење иптаблес-а на ИПв6
Иптаблес наредба ради само на ИПв4. Да бисте користили иптаблес на ИПв6, морате користити наредбу ип6таблес. Ип6таблес користи табеле рав, филтер, сецурити и мангле. Општа синтакса за ип6таблес је слична иптаблес, а такође подржава подударање иптаблес опција као што су додавање, брисање итд.
Размислите о коришћењу страница приручника ип6таблес за више информација.
Пример скупова правила иптаблес за мрежну сигурност
Стварање одговарајућих правила заштитног зида углавном ће зависити од услуге која се покреће на систему и портова у употреби. Међутим, ево неколико основних правила мрежне конфигурације која можете користити за заштиту свог система:
1: Дозволите саобраћај са Лоопбацк интерфејса и одбаците све повратне везе које долазе са других интерфејса
иптаблес -А ИНПУТ -и ло -ј АЦЦЕПТ (Можете и ип6таблес)иптаблес -А ИНПУТ ! -ја лос 127.0.0.0 -ј ОДБИЈАЊЕ (такође се примењују ип6таблес)
2: Одбиј све захтеве за пинг
иптаблес -А ИНПУТ -п ицмп -м стате --стате НЕВ --ицмп-типе 8 -ј РЕЈЕЦТ3: Дозволи ССХ везе
иптаблес -А ИНПУТ -п тцп --дпорт 22 -м стате --стате НЕВ -ј АЦЦЕПТОво су примери наредби које можете користити за заштиту свог система. Међутим, конфигурација ће у великој мери зависити од тога или коме желите да приступите разним услугама.
ОПРЕЗ: Ако више волите да потпуно онемогућите ИПв6, поништите коментар јер ће ово успорити процес ажурирања:
прецеденце :: фффф: 0: 0/96 100 пронађено у / етц / гаи.цонф .
То је зато што АПТ менаџер пакета решава зрцални домен у ИПв6 због ажурирања апт-гет.
Како применити иптаблес правила?
Да бисте распоредили своје иптабле на Убунту или друге системе засноване на Дебиану, почните тако што ћете креирати две датотеке, ип4 и ип6, за њихове одговарајуће ИП адресе.
У било коју датотеку додајте правила која желите да примените у одговарајуће датотеке - ИПв4 правила у ип4 датотеку и ИПв6 правила у ип6 датотеку.
Даље, треба да увежемо правила помоћу наредбе:
судо иптаблес-ресторе < /tmp/ip4 (replace filename for IPv6)Затим можете да проверите да ли су правила примењена помоћу наредбе:
судо иптаблес -Л -вКратки водич који је упоран на иптаблес
Убунту, и уобичајене дистрибуције засноване на Дебиану, долазе са иптаблес-персистент пакетом који вам омогућава да лако примените правила заштитног зида након поновног покретања. Пакет садржи датотеке које можете користити за постављање правила за ИПв4 или ИПв6 и могу се аутоматски применити приликом покретања.
Правила заштитног зида можете да користите и помоћу УФВ или ГУФВ. Размотрите следећи водич да бисте научили како да користите УФВ.
Како инсталирати иптаблес-персистент?
Обавезно инсталирајте иптаблес-персистент на вашем систему. Користите дпкг да бисте проверили да ли је пакет инсталиран.
Ако не, користите следећу команду:
судо апт-гет инсталл иптаблес-персистент
Двапут ћете добити упит да сачувате тренутна правила ИПв4 и ИПв6. Кликните на Да да бисте сачували оба правила.
Кликните на да да бисте сачували ИПв6.
Када је инсталација завршена, проверите да ли имате поддиректориј иптаблес, као што је приказано на доњој слици.
Сада можете користити правила.в4 и правила.в6 за додавање иптаблес правила и аутоматски ће их применити иптаблес-персистент. Датотеке су једноставне текстуалне датотеке које можете лако уредити помоћу било ког уређивача текста по вашем избору.
Закључак
У овом упутству смо покрили основе иптаблес-а. Почевши од рада са иптаблес, основним наредбама, подразумеваним иптаблес табелама и параметрима.
Из онога што сте научили, требали бисте бити у могућности да користите иптаблес за креирање правила заштитног зида која помажу у заштити вашег система.
