iptables, aproksimacija stvarnog slučaja

Cilj ovog vodiča je kontrolirati našu mrežu, izbjegavajući smetnje od strane nekog drugog "nepoželjnog gosta" koji nas iznutra želi vidjeti na podu (kubanski izraz koji znači gnjaviti, ševiti itd.), virus "pakera", vanjske napade ili jednostavno iz zadovoljstva znajući da možemo mirno spavati .

nota: Zapamtite politike iptables, PRIHVATITE sve ili ODBIJITE sve, one mogu biti korisne, u nekim slučajevima, a ne u drugima, što ovisi o nama, da je sve što se događa na mreži naša stvar, a samo naša, da, vaša , moja, od onoga koji je pročitao tutorial, ali ne zna kako ga izvršiti, ili od onoga koji ga je pročitao i predobro primijenio.

Vozite se ostanite !!!

Prva stvar je znati koji port zauzima svaka usluga na računaru s instaliranim GNU / Linuxom, zato ne morate nikoga pitati ili se uključiti u guglanje ili savjetovanje sa naučnikom na tu temu, samo pročitajte datoteku. Mali dosije? Pa da, mali fajl.

/ etc / services

Ali šta sadrži / etc / services?

Vrlo jednostavno, opis svega usluge i luke postojeće za ove usluge ili putem TCP-a ili UDP-a, na organiziran i uzlazan način. Navedene usluge i luke proglasio je IANA (Autoritet za dodjelu internetskih brojeva).

Igranje sa iptableima

Kao prve korake imat ćemo računalo, koje će biti mašina za testiranje, nazovite ga kako želite, Lucy, Karla ili Naomi, nazvat ću ga Bessie.

Situacija:

Pa, pa, Bessie je projektna mašina koja će imati VSFTPd montiran, OpenSSH trčanje i a Apache2 koji je jednom instaliran za benčmarking (test performansi), ali se sada koristi samo zajedno sa phpMyAdmin za upravljanje bazama podataka MySQL koji se povremeno koriste interno.

Bilješke koje treba uzeti:

Ftp, ssh, apache2 i mysql su usluge koje primaju zahtjeve na ovom računaru, tako da moramo uzeti u obzir portove koje koriste.

Ako se ne varam i / etc / services ne laže xD, ftp koristi priključke 20 i 21, ssh po defaultu 22 ili neki drugi, ako je to definirano u konfiguraciji (u nekom drugom postu ću govoriti o tome kako konfigurirati SSH malo više nego što se inače zna), Apache 80 ili 443 ako je sa SSL-om i MySQL 3306.

Sada nam treba još jedan detalj, IP adrese računara koji će komunicirati s Bessie, tako da naši vatrogasci, između sebe, ne bi gazili crijeva (ne znači sukob haha).

Pepe, PHP + MySQL programer, imat će pristup samo portovima 20-21, 80, 443 i 3306, Frank, njegova stvar je da ažurira web stranicu projekta koja će biti isporučena za mjesec dana, on će imati pristup samo portu 80 / 443 i 3306 u slučaju da trebate izvršiti bilo kakvu ispravku u DB-u, a ja ću imati pristup svim resursima na poslužitelju (i želim zaštititi prijavu ssh-om putem IP-a i MAC-a). Ping mora biti aktiviran u slučaju da u određenom trenutku želimo anketirati uređaj. Naša mreža je klase C tipa 10.8.0.0/16.

Pokrenut ćemo običnu tekstualnu datoteku pod nazivom firewall.sh u kojem će sadržati sljedeće:

Pasta br.4446 (iptables skripte)

Dakle, ovim redovima omogućavate pristup članovima DevTeama, štitite sebe i štitite PC, mislim da je to bolje objašnjeno, čak ni u snovima. Preostaje mu samo dati dozvole za izvršenje i sve će biti spremno za rad.

Postoje alati koji putem lijepog GUI-a omogućavaju korisnicima početnicima da konfiguriraju zaštitni zid svojih računara, poput "BadTuxWall", koji zahtijeva Javu. Također i FwBuilder, QT, o čemu je ovdje već bilo riječi ili "Firewall-Jay", sa sučeljem u ncurses. Po mom ličnom mišljenju, volim to raditi u običnom tekstu, pa se prisiljavam da učim.

To je sve, vidimo se uskoro da biste nastavili objašnjavati, pahuljice protupuha, neke druge konfiguracije, procesa ili usluge.


6 komentara, ostavi svoj

Ostavite komentar

Vaša e-mail adresa neće biti objavljena. Obavezna polja su označena sa *

*

*

  1. Za podatke odgovoran: Miguel Ángel Gatón
  2. Svrha podataka: Kontrola neželjene pošte, upravljanje komentarima.
  3. Legitimacija: Vaš pristanak
  4. Komunikacija podataka: Podaci se neće dostavljati trećim stranama, osim po zakonskoj obavezi.
  5. Pohrana podataka: Baza podataka koju hostuje Occentus Networks (EU)
  6. Prava: U bilo kojem trenutku možete ograničiti, oporaviti i izbrisati svoje podatke.

  1.   rudolph alexander rekao je

    super radujem se jednom ssh pozdravu, dobrom postu, pozdravu.

  2.   faustod rekao je

    To mi se sviđa, pripremit ću svoja pitanja ...

  3.   nwt_lazaro rekao je

    # Dozvoli ulazak na IP adresu 192.168.0.15 sa fizičkom adresom 00: 01: 02: 03: 04: 05

    iptables -A INPUT -s 192.168.0.15 -m mac –mac-source 00: 01: 02: 03: 04: 05 -p tcp –port 22 -m state –state NOVO -j ACCEPT

    Ako želite dodati više IP i mac adresa, bit će pitanje umetanja drugog INPUT niza koji varira IP i mac adrese.

  4.   nwt_lazaro rekao je

    Uredi: budući da se WordPress ne slaže s dvostrukim crticama, sljedeći dijelovi naredbe imali su dvostruke crtice
    - - mac-izvor 00: 01…
    - - izveštaj 22 ...
    - - stanje NOVO ...

    1.    KZKG ^ Gaara rekao je

      Ako želite možete koristiti oznake «kod» ovdje stavite kod «/ kod» i dvije skripte će raditi savršeno 😉
      Očigledno mijenjanje znakova "i" simbolima manje-čega i većeg-čega

  5.   @Jlcmux rekao je

    Pitanje. Kada instalirate server, bio to ssh ili apache ili bilo što drugo. Luka se sama ne otvara? Kakva je razlika između ostavljanja ovako ili otvaranja ovako?