Das Ziel dieses Tutorials ist Kontrollieren Sie unser NetzwerkVermeiden Sie Ärger von Seiten eines anderen "unerwünschten Gastes", der uns von innen sehen will (kubanischer Ausdruck, der bedeutet, sich zu stören, zu ficken usw.), "Packer" -Virus, Angriffe von außen oder einfach zum Vergnügen zu wissen, dass wir friedlich schlafen können .
Hinweis:: Denken Sie an die iptables-Richtlinien, AKZEPTIEREN Sie alles oder VERWEIGERN Sie alles. Sie können in einigen Fällen nützlich sein und in anderen nicht. Dies hängt von uns ab, dass alles, was im Netzwerk geschieht, unser Geschäft ist und nur unser, ja, Ihr Meins von demjenigen, der das Tutorial gelesen hat, aber nicht weiß, wie man es ausführt, oder von demjenigen, der es gelesen und zu gut angewendet hat.
Reite du bleibst !!!
Das erste ist zu wissen, welchen Port jeder Dienst auf einem Computer mit installiertem GNU / Linux belegt. Dazu müssen Sie niemanden fragen oder sich auf das Googeln einlassen oder einen Gelehrten zu diesem Thema konsultieren. Lesen Sie einfach eine Datei. Eine kleine Datei? Na ja, eine kleine Akte.
/ etc / Dienste
Aber was enthält es / etc / Dienste?
Sehr einfach, die Beschreibung aller Dienste und Häfen für diese Dienste entweder von TCP oder UDP in organisierter und aufsteigender Weise vorhanden. Diese Dienste und Häfen wurden von der IANA (Internet Assigned Numbers Authority).
Mit iptables spielen
Als erste Schritte werden wir einen PC haben, der die Testmaschine sein wird, nennen Sie es wie Sie wollen, Lucy, Karla oder Naomi, ich werde es nennen Bessie.
Situation:
Nun gut, Bessie ist eine Projektmaschine, die eine haben wird VSFTPd montiert, OpenSSH Laufen und a Apache2 das wurde einmal für das Benchmarking installiert (Leistungstest), wird aber jetzt nur noch in Verbindung mit verwendet phpMyAdmin die Datenbanken von zu verwalten MySQL die von Zeit zu Zeit intern verwendet werden.
Notizen zu machen:
Ftp, ssh, apache2 und mysql sind die Dienste, die Anforderungen auf diesem PC empfangen. Daher müssen wir die von ihnen verwendeten Ports berücksichtigen.
Wenn ich mich nicht irre und / etc / Dienste sagt keine Lügen xD, ftp verwendet Port 20 und 21, ssh standardmäßig 22 oder einen anderen, wenn es in der Konfiguration definiert wurde (In einem anderen Beitrag werde ich darüber sprechen, wie man konfiguriert SSH etwas mehr als normalerweise bekannt), Apache 80 oder 443, wenn es sich um SSL handelt, und MySQL 3306.
Jetzt brauchen wir ein weiteres Detail, die IP-Adressen der PCs, die mit Bessie interagieren, damit unsere Feuerwehrleute unter ihnen nicht auf die Schläuche treten (bedeutet kein Konflikt haha).
Pepe, der Entwickler von PHP + MySQL, hat nur Zugriff auf die Ports 20-21, 80, 443 und 3306, Frank, dass er die Projektwebseite aktualisieren soll, die in einem Monat geliefert werden soll, er wird nur Zugriff auf Port 80 haben / 443 und 3306, falls Sie eine Korrektur in der Datenbank vornehmen müssen, und ich habe Zugriff auf alle Ressourcen auf dem Server (und ich möchte die Anmeldung mit ssh durch IP und MAC schützen). Wir müssen den Ping aktivieren, falls wir die Maschine irgendwann abfragen möchten. Unser Netzwerk ist Klasse C vom Typ 10.8.0.0/16.
Wir werden eine Nur-Text-Datei namens starten Firewall.sh in dem es Folgendes enthält:
Einfügen Nr. 4446 (Script iptables)
Mit diesen Zeilen ermöglichen Sie den Zugriff auf DevTeam-Mitglieder, schützen sich selbst und schützen den PC, denke ich besser erklärt, auch nicht in Träumen. Es bleiben nur noch Ausführungsberechtigungen, und alles ist betriebsbereit.
Es gibt Tools, mit denen Anfänger über eine schöne Benutzeroberfläche die Firewall ihrer PCs konfigurieren können, z. B. "BadTuxWall", für das Java erforderlich ist. Auch der FwBuilder, QT, der hier bereits besprochen wurde, oder der "Firewall-Jay", mit einer Schnittstelle in ncurses. Meiner persönlichen Meinung nach mache ich das gerne im Klartext, also zwinge ich mich zum Lernen.
Das ist alles, wir sehen uns bald, um den Flaum des Gegenflusens, einer anderen Konfiguration, eines anderen Prozesses oder eines anderen Dienstes weiter zu erklären.
toll ich freue mich auf ssh grüße, gute post, grüße.
Ich mag das, ich werde meine Fragen vorbereiten ...
# Eingabe der IP-Adresse 192.168.0.15 mit der physischen Adresse 00: 01: 02: 03: 04: 05 zulassen
iptables -A INPUT -s 192.168.0.15 -m mac –mac-source 00: 01: 02: 03: 04: 05 -p tcp –dport 22 -m state –state NEW -j ACCEPT
Wenn Sie weitere IP- und Mac-Adressen hinzufügen möchten, müssen Sie eine weitere INPUT-Zeichenfolge einfügen, die die IP- bzw. Mac-Adressen variiert.
Bearbeiten: Da WordPress nicht mit doppelten Bindestrichen auskommt, hatten die folgenden Teile des Befehls doppelte Bindestriche
- - mac-source 00: 01…
- - dport 22 ...
- - Zustand NEU ...
Wenn Sie möchten, können Sie die Bezeichnungen «Code» verwenden. Geben Sie hier den Code «/ Code» ein, und die beiden Skripte funktionieren einwandfrei 😉
Offensichtlich das "und" durch Symbole von weniger-was und mehr-was ändern
Frage. Wenn Sie einen Server installieren, sei es ssh oder apache oder was auch immer. Der Port öffnet sich nicht von selbst? Was ist der Unterschied zwischen dem Verlassen oder dem Öffnen auf diese Weise?