Ang Gabay sa Baguhan sa mga IP Tables

Ang Gabay sa Mga nagsisimula sa mga IPTables

Ang IPTables ay ang pangalan ng isang firewall system na nagpapatakbo sa pamamagitan ng command line sa Linux. Ang program na ito ay higit na magagamit bilang isang default na utility sa Ubuntu. Kadalasang ginagamit ng mga administrator ang IPTables firewall upang pahintulutan o harangan ang trapiko sa kanilang mga network. Kung bago ka sa IPTables pagkatapos ang isa sa mga unang bagay na kailangan mong gawin ay i-update ito o mai-install ito ay gumagamit ng sumusunod na utos:

$ sudo apt-makakuha ng pag-install ng mga iptable

Habang ang mga gumagamit na bago sa mga interface ng command line ay may nahanap na curve sa pag-aaral na nakalakip sa IPTables, ang utility mismo ay sapat na gagamitin. Mayroong isang hanay ng mga pangunahing utos na kumikilos bilang iyong tinapay at mantikilya para sa pagkontrol ng trapiko. Na sinasabi, kailangan mong maging maingat kapag gumagawa ng mga pagbabago sa mga patakaran ng IPTables. Ang pagpasok ng maling utos ay maaaring i-lock ka sa labas ng IPTables nang buo hanggang matugunan mo ang problema sa loob ng pisikal na makina.

Sa artikulong ito, bibigyan ka namin ng isang pangunahing gabay sa IPTables at ipakilala ka sa mga pangunahing kaalaman. Bago kami makarating sa puso ng mga IPTables kailangan mong tiyakin na mayroon kang isang Tumatakbo ang VPA sa Ubuntu 16.04 at a lokal na makina na may isang kliyente SSH. Kung mayroon ka nang mga ito ay oras na upang magsimula.

Mga Tutorial sa IPTables: Mga chain

Iptables chain chain

Ang isa sa mga pangunahing konsepto na makarating sa IPTables ay ang mga kadena. Ang isang kadena ay mahalagang panuntunan. Ang mga talahanayan ng filter ay may tatlong chain na makakasalubong mo sa IPTables; INPUT, FORWARD at OUTPUT.

  • INPUT – Ang INPUT chain ay ang panuntunan na kumokontrol sa mga papasok na packet. Dito maaari mong harangan o payagan ang mga bagong koneksyon. Maaari mong gawin ito batay sa port, protocol, at pinagmulan ng IP address.
  • FORWARD – Sinusukat ng chain ng FORWARD ang mga papasok na packet na ipinapasa sa ibang lokasyon ng pagtatapos. Hindi mo malamang na gagamitin ang chain na ito maliban kung ikaw ay ruta o naghahanap ng partikular na pagpapasa.
  • OUTPUT – Ang chain ng OUTPUT ay ginagamit upang pamahalaan ang papalabas na mga packet at koneksyon. Mahalagang tandaan na kung nag-ping ka ng isang panlabas na host pagkatapos magamit ang input chain upang maibalik ang data sa iyo.

Pag-uugali ng Default Chain

Maaaring nais mong tumalon nang diretso sa pag-configure ng mga partikular na patakaran kapag nagsisimula ngunit kailangan mong gumawa ng isang hakbang pabalik upang tukuyin muna ang default na pag-uugali. Upang matukoy kung ano ang default na pag-uugali ng iyong mga kadena, kakailanganin mong patakbuhin ang utos:

$ sudo iptables -L utos

Ipapakita nito ang sumusunod:

panuntunan ng chain 2

gumagamit @ ubuntu: ~ $ sudo iptables -L -v
Chain INPUT (patakaran ng ACCEPT)
Chain FORWARD (patakaran ng ACCEPT)
Chain OUTPUT (patakaran ng ACCEPT)
gumagamit @ ubuntu: ~ $

Sinasabi sa iyo ng impormasyong ito kung ano mismo ang isinaayos ng iyong mga kadena. Sa halimbawa, ang input, pasulong at output chain ay na-configure upang tanggapin ang trapiko. Ang mga setting na ito ay isang magandang punto ng pagsisimula dahil hindi nila hinarangan ang anumang mga koneksyon na nais mo.

Gayunpaman, kung nalaman mo na ang iyong mga patakaran ay hindi tumatanggap ng mga koneksyon maaari mong ipasok ang bawat isa sa mga sumusunod na utos upang tanggapin ang lahat ng mga koneksyon:

$ sudo iptables -policy INPUT ACCEPT$ sudo iptables -policy OUTPUT ACCEPT$ sudo iptables -policy FORWARD ACCEPT

Kapag ang iyong mga default ay nakahanay upang tanggapin ang lahat ng mga koneksyon, maaari mong kontrolin ang pag-access sa IPTables sa pamamagitan ng pagharang sa mga IP address at numero ng port. Pinapayagan ka nitong tukuyin kung aling mga koneksyon ang nais mong hadlangan sa halip na hadlangan ang lahat nang default.

Kung nagtatrabaho ka sa partikular na sensitibong impormasyon pagkatapos maaari mong mai-configure ang iyong mga default upang awtomatikong harangan ang lahat ng mga koneksyon. Sa ganitong paraan maaari mong gamitin ang IPTables upang pumili ng mga indibidwal na IP address na nais mong payagan. Upang gawin ito kailangan mong ipasok ang sumusunod na utos:

$ sudo iptables -policy INPUT DROP$ sudo iptables -policy OUTPUT DROP$ sudo iptable -policy FORWARD DROP

Ang karamihan ng mga gumagamit ay mas mahusay na tanggapin ang lahat ng mga koneksyon ngunit ito ay nagkakahalaga ng pag-alala kung nagtatrabaho ka sa isang mataas na server ng seguridad.

Pag-configure ng Mga Indibidwal na Koneksyon

pag-configure ng mga indibidwal na koneksyon

Kapag na-configure mo ang iyong default na pag-uugali ng chain chain sa oras upang mai-configure ang mga indibidwal na koneksyon. Ito ang punto kung saan mo i-configure ang tinukoy bilang isang tugon na tiyak na koneksyon. Mahalagang sabihin nito sa IPTables kung paano makihalubilo kapag nakakonekta sa isang IP address o port. Ang mga sagot na ito ay ang mga sumusunod; ACCEPT, DROP, TANGGIHAN.

Tulad ng nakikita mo sa imahe sa itaas, tinukoy ng gumagamit ang mga patakaran ng chain upang payagan, i-drop, o tanggihan ang koneksyon batay sa mga kinakailangan. Nasa ibaba ang isang paglalarawan ng kung ano ang kalakip ng bawat tugon:

  • ACCEPT – Pinapayagan lamang ng pagsasaayos na ito ang koneksyon na magaganap.
  • DROP – I-block ang koneksyon nang hindi nakikipag-ugnay sa pinagmulan sa anumang paraan.
  • TANGGIHAN – Hinaharang nito ang pagtatangka na koneksyon ngunit nagpapadala rin ng isang mensahe ng error. Sa pangkalahatan ito ay ipagbigay-alam sa pinagmulan na ang pagtatangka ng koneksyon ay na-block ng iyong firewall.

Paano Pinahihintulutan o I-block ang Mga Koneksyon

Maraming iba’t ibang mga paraan upang hadlangan o payagan ang mga koneksyon depende sa iyong mga setting. Ang mga halimbawa sa ibaba ay gumagamit ng paraan ng pag-block ng covert Drop upang i-drop ang mga koneksyon nang walang anumang pakikipag-ugnay. iptables -A nagbibigay-daan sa amin upang magdagdag ng karagdagang mga caveats sa mga patakaran na itinatag ng aming mga default na setting ng chain. Nakita mo kung paano gamitin ang utos na ito upang harangan ang mga koneksyon sa ibaba:

Pag-block sa isang solong IP address:

$ sudo iptables -A INPUT -S 10.10.10.10 -j DROP

Sa halimbawa sa itaas ay papalitan mo ang 10.10.10.10 sa IP address na nais mong i-block.

Pag-block ng isang hanay ng mga IP address:

$ sudo iptables -A INPUT -s 10.10.10.10.0 / 24 -j DROP

o

$ sudo iptables -A INPUT -s 10.10.10.0/255.255.255/.0 -j DROP

Pag-block ng isang solong port:

$ sudo iptables -A INPUT -p tcp -dport ssh -s 10.10.10.10 -j DROP

Tandaan na ang ‘ssh ay maaaring mapalitan ng anumang protocol o numero ng port. Mahalaga rin na tandaan na ang -p tcp na seksyon ng code ay ginagamit upang sumangguni sa kung ang protocol na nais mong hadlangan ay gumagamit ng UDP o TCP.

Kung ang protocol ay gumagamit ng UDP pagkatapos mong ipasok -p udp sa halip na -p tcp. Maaari mo ring i-block ang lahat ng mga koneksyon mula sa mga IP address sa pamamagitan ng pagpasok ng sumusunod na utos:

$ sudo iptables -A INPUT -p tcp -dport ssh -jDROP

Dalawang-Way na Komunikasyon: Mga koneksyon sa Mga IP ng Tutorial ng IPTables

Karamihan sa mga protocol na nakatagpo mo ay nangangailangan ng komunikasyon upang pumunta sa parehong paraan upang maganap ang isang paglipat. Nangangahulugan ito na ang mga paglilipat ay binubuo ng isang input at isang output. Ang pumasok sa iyong system ay kasinghalaga ng kung ano ang lumalabas. Pinapayagan ka ng mga estado ng koneksyon na maghalo at tumugma sa pagitan ng dalawang-way na koneksyon at one-way na koneksyon. Sa halimbawa sa ibaba, hinarang ng SSH protocol ang mga koneksyon sa SSH mula sa IP address ngunit pinahihintulutan ang mga iyon sa IP address:

$ sudo iptables -A INPUT -p tcp -dport ssh -s 10.10.10.10 -m estado -state BAGONG, ESTABLISHED -j ACCEPT

$ sudo iptables -A OUTPUT -p tcp -sport 22 -d 10.10.10.10. -m state –state ESTABLISHED -J TUNGKOL

Kapag nagpasok ka ng isang utos na baguhin ang mga estado ng koneksyon kailangan mong i-save ang iyong mga pagbabago. Kung hindi ka pagkatapos kapag isara mo ang utility mawawala ang iyong pagsasaayos. Depende sa sistema ng pamamahagi na ginagamit mo, mayroong maraming iba’t ibang mga utos na maaari mong gamitin:

Ubuntu:

$ sudo / sbin / iptables-save

Red Hat / CentOS –

$ sudo / sbin / service iptables makatipid

O

$ sudo  /etc/init.d/iptables makatipid 

Ang pag-alala na gumamit ng mga utos na ito ay mahalaga sapagkat aalisin ang abala ng pagkakaroon upang mai-configure sa bawat oras na mai-load mo ang utility.

Ang pagtanggal ng isang Panuntunan

Tulad lamang ng kahalagahan ng pag-save ng iyong mga patakaran ay magagawang tanggalin ang mga ito. Kung nagkamali ka o simpleng nais na alisin ang isang lumang panuntunan pagkatapos maaari mong gamitin ang pagpipilian –D utos. Ang utos na ito ay kailangang pagsamahin sa bilang ng panuntunan na iyong pinasok. Ang bilang ay nagsasabi sa mga IPTables kung aling patakaran ang aalisin. Halimbawa, kung magpasok ka:

$ sudo iptables -D INPUT 10

Pagkatapos ay tatanggalin ang ika-10 patakaran na na-configure mo.

Kung nais mong linisin ang bahay at alisin ang isang hanay ng mga panuntunan pagkatapos maaari mong gamitin ang -Utos ng F. Maaari mong gawin ito sa pamamagitan ng pagpasok ng mga sumusunod:

$ sudo iptables -F

Tatanggalin nito ang buong hanay ng mga patakaran at i-flush ang iyong IPTable.

IPTables: Alamin ang Mga Batas ng Chain!

Tinatapos nito ang aming tutorial sa IPTables. Tulad ng nakikita mo ang mga IPTables ay isang maraming nalalaman tool para sa pag-block at pinahihintulutan ang trapiko Linux pamamahagi. Ang paggamit ng utility na epektibo ay nagsasangkot ng pag-set up ng iyong default na mga pagsasaayos ng pagbuo at pagbuo ng karagdagang mga patakaran sa itaas ng na. Ang default na mga pagsasaayos ay magbibigay-daan sa iyo upang ipakita ang iyong malawak na hangarin sa trapiko upang payagan o tanggihan ang trapiko; papayagan ka ng mga patakaran na istraktura ang iyong diskarte patungkol sa mga IP address, port at protocol.

Nasusulit lamang namin ang ibabaw na may potensyal ng IPTables, at mayroong isang tonelada ng iba’t ibang mga utos na magagamit mo upang magpasya kung paano mo naranasan ang trapiko sa iyong server. Gayunpaman, inirerekumenda namin na makuha mo ang mga pangunahing kaalaman bago ka magsimula sa iba pang mga utos. Halimbawa, nais mong ilibot ang iyong panuntunan sa mga pangunahing panuntunan sa kadena bago gumawa ng anumang mas dalubhasa.

Kapag nasanay ka na kung paano gumagana ang mga IPTables pagkatapos ay maaari mong simulan ang pagsasama ng higit pang mga patakaran upang ipasadya ang iyong karanasan. Sa paggawa nito ay matutukoy mo nang eksakto kung anong uri ng mga koneksyon ang papayagan mo nang mas higit na katumpakan kaysa dati.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map