iptables, lähend reaalsele juhtumile

Selle õpetuse eesmärk on meie võrku kontrollida, vältides mõne teise "soovimatu külalise" pahandusi, kes soovivad seestpoolt meid põrandat näha (Kuuba väljend, mis tähendab tülitamist, kurat jne), "pakker" viirust, väliseid rünnakuid või lihtsalt teadmise rõõmuks saame rahulikult magada.

Pange tähele: Pidage meeles iptablesi eeskirju, VÕTKE KÕIK VASTU või KEELKE kõik. Need võivad olla kasulikud, mõnel juhul mitte, see sõltub meist, et kõik, mis võrgus toimub, on meie ja ainult meie, jah, teie minu oma, kes luges õpetust, kuid ei tea, kuidas seda täita, või selle, kes luges seda ja rakendas seda liiga hästi.

Sõida sa jääd !!!

Esimene asi on teada, millist porti iga teenus hõivab arvutisse, kuhu on installitud GNU / Linux, selleks ei pea te seda kelleltki küsima ega Google'i otsinguil osalema ega selle teema õpetlasega nõu pidama, lihtsalt lugege faili . Väike fail? Noh jah, väike fail.

/ etc / services

Aga mida see sisaldab / etc / services?

Väga lihtne, kirjeldus kõigist teenused ja sadamad nende teenuste jaoks olemas kas TCP või UDP kaudu, organiseeritud ja tõusvalt. Nimetatud teenused ja sadamad on deklareeritud IANA (IANA).

Iptablesiga mängimine

Esimeste sammudena on meil arvuti, mis on testmasin, nimetage seda, mida soovite, Lucy, Karla või Naomi, ma kutsun seda Bessie.

Olukord:

Noh, noh, Bessie on projektimasin, millel on VSFTPd paigaldatud, OpenSSH jooksmine ja a Apache2 üks kord võrdlusuuringute jaoks installitud (jõudluskontroll), kuid seda kasutatakse nüüd ainult koos phpMyAdmin haldama. andmebaase MySQL mida kasutatakse aeg-ajalt sisemiselt.

Märkused:

Ftp, ssh, apache2 ja mysql on teenused, mis selles arvutis päringuid saavad, seega peame arvestama nende kasutatavate pordidega.

Kui ma ei eksi ja / etc / services ei ütle valesid xD, ftp kasutab porte 20 ja 21, vaikimisi ssh 22 või mõnda muud, kui see on konfiguratsioonis määratletud (mõnes teises postituses räägin seadistamisest SSH natuke rohkem kui tavaliselt teada on), Apache 80 või 443, kui see on SSL-iga, ja MySQL 3306.

Nüüd vajame veel ühte detaili, Bessiega suhtlema hakkavate arvutite IP-aadresse, et meie tuletõrjujad omavahel voolikutele ei astuks (tähendab konflikti puudumist haha).

PHP + MySQL-i arendajal Pepel on juurdepääs ainult sadamatele 20-21, 80, 443 ja 3306, Frank, et tema asi on kuu aja jooksul tarnitava projekti veebilehte värskendada, tal on juurdepääs ainult sadamatesse 80/443 ja 3306, kui peate DB-s parandusi tegema ja mul on juurdepääs kõigile serveri ressurssidele (ja ma tahan kaitsta sisselogimist ssh-ga IP ja MAC abil). Ping peab olema aktiveeritud juhuks, kui tahame mingil hetkel masinat küsitleda. Meie võrk on C-klassi tüüp 10.8.0.0/16.

Alustame lihttekstifaili nimega tulemüür.sh milles see sisaldab järgmist:

Kleebi nr 4446 (skripti iptables)

Ja nii lubate nende liinidega juurdepääsu DevTeami liikmetele, kaitsete ennast ja kaitsete arvutit, minu arvates paremini selgitatud, isegi mitte unenägudes. Jääb vaid anda sellele täitmisõigused ja kõik on valmis minema.

On tööriistu, mis võimaldavad kena graafilise kasutajaliidese abil algajatel kasutajatel oma arvuti tulemüüri konfigureerida, näiteks "BadTuxWall", mis nõuab Java-d. Samuti FwBuilder, QT, mida siin juba käsitleti, või "Firewall-Jay", mille liides on ncurses. Minu enda arvates meeldib mulle seda teha lihtsas tekstis, nii et sunnin ennast õppima.

See on kõik, näeme varsti, et jätkata vastukõla, mõne muu konfiguratsiooni, protsessi või teenuse selgitamist.