iptables, en tilnærmelse til en reel sag

Målet med denne tutorial er kontrollere vores netværkundgår gener fra en anden "uønsket gæst", der indefra vil se os gulvet (cubansk udtryk, der betyder at gider, kneppe osv.), "pakker" -virus, eksterne angreb eller simpelthen for fornøjelsen at vide, at vi kan sove fredeligt .

note: Husk iptables-politikkerne, ACCEPTER alt eller nægt alt, de kan være nyttige, i nogle tilfælde og ikke i andre, der afhænger af os, at alt, hvad der sker på netværket, er vores forretning, og kun vores, ja, din , min, fra den, der læste vejledningen, men ikke ved, hvordan den skal udføres, eller fra den, der læste den og anvendte den for godt.

Kør, du bliver !!!

Den første ting er at vide, hvilken port hver tjeneste besætter på en computer med GNU / Linux installeret, til det behøver du ikke spørge nogen eller blive involveret i Google, der søger eller konsulterer en lærd om emnet, bare læs en fil. En lille fil? Nå ja, en lille fil.

/ etc / services

Men hvad indeholder den? / etc / services?

Meget let, beskrivelsen af ​​alle tjenester og porte eksisterende for disse tjenester enten af ​​TCP eller UDP på ​​en organiseret og stigende måde. Disse tjenester og porte er blevet deklareret af IANA (Internet Assigned Numbers Authority).

Spiller med iptables

Som første trin vil vi have en pc, der vil være testmaskinen, kalde den, hvad du vil, Lucy, Karla eller Naomi, jeg vil kalde den Bessie.

situationen:

Nå, ja, Bessie er en projektmaskine, der skal have en VSFTPd monteret, OpenSSH kører, og en Apache2 der blev installeret en gang til benchmarking (præstationstest), men bruges nu kun i forbindelse med phpMyAdmin at administrere databaser for MySQL der bruges internt fra tid til anden.

Noter at tage:

Ftp, ssh, apache2 og mysql er de tjenester, der modtager anmodninger på denne pc, så vi er nødt til at tage højde for de porte, de bruger.

Hvis jeg ikke tager fejl og / etc / services xD fortæller ikke løgne, ftp bruger port 20 og 21, ssh som standard 22 eller noget andet, hvis det er defineret i konfigurationen (i et andet indlæg vil jeg tale om, hvordan man konfigurerer SSH lidt mere end normalt er kendt), Apache 80 eller 443, hvis det er med SSL, og MySQL 3306.

Nu har vi brug for en anden detalje, IP-adresserne på de pc'er, der skal interagere med Bessie, så vores brandmænd blandt dem ikke træder på slangerne (betyder ingen konflikt haha).

Pepe, udvikleren i PHP + MySQL, har kun adgang til porte 20-21, 80, 443 og 3306, Frank, at hans ting er at opdatere websiden for projektet, der skal leveres inden for en måned, han vil kun have adgang til port 80 / 443 og 3306, hvis du har brug for at foretage en korrektion i DB, og jeg har adgang til alle ressourcer på serveren (og jeg vil beskytte login med ssh af IP og MAC). Ping skal aktiveres, hvis vi på et eller andet tidspunkt ønsker at polle maskinen. Vores netværk er klasse C af typen 10.8.0.0/16.

Vi starter en almindelig tekstfil kaldet firewall.sh hvor den vil indeholde følgende:

Indsæt nr.4446 (Script iptables)

Og så giver du med disse linjer adgang til medlemmerne af DevTeam, du beskytter dig selv, og du beskytter pc'en, tror jeg bedre forklaret, ikke engang i drømme. Det er kun tilbage at give det eksekveringstilladelser, og alt er klar til brug.

Der er værktøjer, der gennem en flot GUI tillader nybegyndere at konfigurere firewallen på deres pc'er, såsom "BadTuxWall", som kræver Java. Også FwBuilder, QT, som allerede er blevet diskuteret her eller "Firewall-Jay", med en grænseflade i ncurses. Efter min personlige mening kan jeg godt lide at gøre det i almindelig tekst, så jeg tvinger mig selv til at lære.

Det er alt, vi ses snart for at fortsætte med at forklare, fluffen i modfluffen, i en anden konfiguration, proces eller service.