Do líonra a dhaingniú le Iptables - Proxy - NAT - IDS: CUID 1

Déanann an post seo iarracht beagán a shoiléiriú faoin gcaoi a n-oibríonn líonraí agus conas ár dtrealamh Linux a iompú ina Ródaire a fhágann go bhfuil ár líonra rud beag níos sábháilte, cibé acu sa bhaile nó fiú gnó. Mar sin déanaimis gnó:

Tá an t-ábhar seo bunaithe ar an leabhar "Linux - Riarachán Córais agus Oibríocht Seirbhísí Líonra" - Sébastien BOBILLIER

Ródú agus scagadh

Chun labhairt agus tuiscint a fháil ar ródú is féidir linn a shainiú ar dtús cén fheidhm atá ag an ródaire? Chuige seo is féidir linn a rá go bhfuil sé de chumas ag ródaire, chomh maith le líonra a chruthú agus nasc a cheadú le trealamh eile (a fhios againn gur féidir linn é seo a dhéanamh le AP, Athraigh, Mol nó eile) dhá líonra éagsúla a nascadh lena chéile.

ródaire

Mar a fheicimid san íomhá, tá líonra áitiúil "10.0.1.0" ann a chruthaíonn an ródaire, agus a shroicheann ceann dá dhá chomhéadan. Ansin tá an ródaire ar a chomhéadan eile, líonra eile aige, lena IP poiblí ar féidir leis ceangal leis an Idirlíon. Go bunúsach is í an fheidhm ródaithe ná idirghabhálaí a dhéanamh idir an dá líonra seo ionas gur féidir leo cumarsáid a dhéanamh.

Linux mar ródaire.

Ar ndóigh, tá sé de chumas cheana féin ag an Eithne Linux “ar aghaidh” a dhéanamh, ach de réir réamhshocraithe tá sé díchumasaithe, mar sin má theastaíonn uainn go ndéanfadh ár Linux an obair seo ní mór dúinn dul chuig an gcomhad.

/proc/sys/net/ipv4/ip_forward

Ansin gheobhaidh muid amach gur comhad é nach bhfuil ann ach "0" nialasach, is é a chaithfimid a dhéanamh ná é a athrú go ceann "1" chun an t-iompar seo a ghníomhachtú. Scriostar é seo ar an drochuair nuair a dhéanaimid an ríomhaire a atosú, chun é a fhágáil gníomhachtaithe de réir réamhshocraithe caithfimid an t-ordú a úsáid:

sysctl net.ipv4.ip_forward=1

Nó é a chur in eagar go díreach sa chomhad /etc/sysctl.conf. Ag brath ar an dáileadh is féidir an chumraíocht seo a bheith i gcomhad i  /etc/sysctl.d/.

De réir réamhshocraithe ní mór go mbeadh tábla ródaithe ag ár Linux, arb é cumraíocht ár líonra lan é go ginearálta agus an nasc leis an ródaire. Más mian linn an ródú seo a fheiceáil is féidir linn dhá ordú a úsáid:

route -n

o

netstat -nr

Ba cheart don dá ordú an rud céanna a thabhairt ar ais.

Gabháil scáileáin ó 2014-09-30 18:23:06

Go ginearálta, is leor an chumraíocht seo chun go bhfeidhmeoidh do Linux mar Gheata agus is féidir le ríomhairí eile nascleanúint a dhéanamh trínár ríomhaire. Anois, más mian linn go nascfadh ár Linux dhá líonra nó níos mó, cibé acu áitiúil nó nach bhfuil, mar shampla, is féidir linn bealaí statacha a úsáid.

Cuir i gcás go bhfuil dhá chomhéadan líonra ag mo Linux, tá nasc Idirlín ag an gcéad cheann a bhfuil a líonra 172.26.0.0 agus tá ríomhairí ó líonra áitiúil eile sa dara ceann (10.0.0.0). Más mian linn paicéid a chur chuig an líonra eile sin is féidir linn na nithe seo a leanas a úsáid:

route add -net 10.0.0.0 netmask 255.0.0.0 gw 172.26.0.8

Go ginearálta is é:

route add -net REDDESTINO netmask MASCARA gw IPDELLINUX

má thugann muid bealach -n is cuma an bhfuil an líonra seo ann nó nach bhfuil, socrófar an ródú seo inár dtábla.

Gabháil scáileáin ó 2014-09-30 18:31:35

Más mian linn deireadh a chur leis an ródú sin is féidir linn é a úsáid

route del -net 10.0.0.0 netmask 255.0.0.0

iptable.

Go bunúsach úsáidtear iptables le haghaidh scagadh paicéad, dul amach, teacht isteach nó eile, is uirlis iontach é seo chun ár dtrácht líonra a bhainistiú. Bhuel, iptables, díreach mar a ligeann dúinn an trácht a scagadh ón ríomhaire céanna, tugann sé deis dúinn freisin an trácht a théann tríd a scagadh. (Ar aghaidh). Is féidir inbhainte a roinnt ina dtáblaí, slabhraí agus gníomhartha.

  • Boird:  go bunúsach is féidir dhá thábla a bheith ann, scagaire, chun paicéid a scagadh agus  oíche seoltaí a aistriú, is é sin, bogadh ó líonra amháin go líonra eile.
  • Slabhraí: Tagraíonn an slabhra don chineál tráchta a theastaíonn uainn a scagadh nó a snámh, is é sin, cén trácht a bhfuilimid chun na táblaí a chur i bhfeidhm air? agus is féidir leo a bheith:  IONCHUR: Trácht ag teacht isteach, TORADH: trácht amach nó RÉAMHRÁ: Trácht a théann tríd, ach ní nasc ceart í.
  • Féadfaidh sé a bheith le feiceáil freisin Iar-ródú, a úsáidtear chun an paicéad a chóireáil ar bhealach áirithe tar éis é a ródú.
  • Gníomhartha: Go bunúsach is iad gníomhartha an gníomh atá le déanamh leis an slabhra. Is féidir an gníomh seo a bheith titim, go scriosann an trácht sin nó GLACADH. a ligeann do thrácht gníomh den sórt sin a dhéanamh.

Déantar rialacha IPTABLES a shábháil agus a fhorghníomhú san ord inar cruthaíodh iad, agus má scriosann riail riail roimhe seo, cuirtear an riail dheireanach san ordú i bhfeidhm i gcónaí.

Polasaithe Balla Dóiteáin.

Go ginearálta, oibríonn ballaí dóiteáin go nádúrtha ar dhá bhealach:

  1. Lig don trácht go léir ach amháin, nó
  2. Ná lig trácht ar bith ach amháin ...

Chun beartais a chur i bhfeidhm bain úsáid as IPTABLES - P GNÍOMHAÍOCHT CHAIN

Sa chás go léiríonn an tsreang an cineál tráchta (INPUT, OUTPUT, FORWARD, POSTROUTING ...) agus is é an gníomh DROP OR ACCEPT.

Breathnaímid ar shampla.

Gabháil scáileáin ó 2014-09-30 18:53:23

 

Anseo feicimid go raibh mé in ann ping a dhéanamh ar dtús, ansin dúirt mé le IPTABLES go raibh an trácht AMHRÁIN DROP nó nár ceadaíodh. Ansin dúirt mé le IPTABLES glacadh leis.

Má táimid chun balla dóiteáin a thógáil ón tús ní mór dúinn rialacha a chur i bhfeidhm i gcónaí (Ná lig trácht ar bith ach amháin ... Chuige seo cuirimid na rialacha i bhfeidhm

iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP
Má tá feidhm ag na beartais seo, ní bheidh aon chineál ceangail acu
.

Le filleadh scríobhaimid an rud céanna agus cuirimid ACCEPT in ionad DROP.

Ag an bpointe seo, ós rud é go ndiúltaítear an trácht go léir, tosaímid ag insint dár IPTABLES cén trácht is féidir a bheith air.

Is í an chomhréir:

iptables -A cadena -s ip_orgigen -d ip_destino -p protocolo --dport puerto -j acción

I gcás:

Teaghrán = INPUT, AMHRÁIN nó RÉAMHRÁ

origin_ip = Bunús na bpaicéad, féadann sé seo a bheith ina IP aonair nó ina líonra agus sa chás seo ní mór dúinn an masc a shonrú).

ceann scríbe_ip = cá bhfuil na paicéid ag dul. is féidir seo a bheith ina IP aonair nó ina líonra agus sa chás seo ní mór dúinn an masc a shonrú).

prótacal = léiríonn sé an prótacal a úsáideann na paicéid (icmp, tcp, udp ...)

port = calafort cinn scríbe an tráchta.

gníomh = DROP nó ACCEPT.

Sampla:

 

Gabháil scáileáin ó 2014-09-30 19:26:41

Tá feidhm ag GACH beartas srianta.

Gabháil scáileáin ó 2014-09-30 19:27:42

Ansin cuirimid na rialacha le go mbeimid in ann trácht a bheith agat trí chalafort 80 HTTP agus 443 HTTPS, leis an bprótacal TCP. Ansin port 53 Cuirtear i bhfeidhm é ar an gcliant DNS na fearainn a réiteach, ar shlí eile ní dhéanfaidh tú nascleanúint. Oibríonn sé seo le prótacal udp.

An líne:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Tá sé mar gheall ar an méid seo a leanas: Nuair a dhéanann tú iarratas HTTP mar shampla, nascann tú le calafort 80 den fhreastalaí, ach ní mór don fhreastalaí chun an fhaisnéis a chur ar ais ceangal leat trí aon chalafort. (Níos mó ná 1024 go ginearálta).

Toisc go bhfuil ár gcalafoirt uile dúnta ní bhainfear é seo amach mura n-osclaímid gach calafort níos airde ná 1024 (Droch-smaoineamh). Is é an rud a deir sé seo ná go nglactar leis an trácht go léir a thagann isteach ó nasc a bhunaigh mé féin. Ciallaíonn mé, nasc a thosaigh mé i bprionsabal.

Nuair a chuirtear OUTPUT sna rialacha, ní bhaineann sé seo ach leis an trealamh atá i gceist, má táimid ag úsáid ár dtrealamh mar ródaire chun na naisc seo a cheadú, ní mór dúinn AMHRÁN a athrú go RÉAMHRÁ. Ós rud é go dtéann trácht tríd an ríomhaire ach nach dtionscnaíonn sé é
Scriostar na rialacha seo go léir tar éis an atosú, mar sin caithfidh tú scripteanna a chruthú ionas go dtosóidh siad de réir réamhshocraithe. Ach feicfimid é seo sa chéad cheann eile

Tá súil agam gur thaitin an fhaisnéis seo leat. Sa chéad cheann eile labhróidh mé faoi NAT, Proxy agus scripteanna le haghaidh Firewal.


Cloíonn ábhar an ailt lenár bprionsabail eitic eagarthóireachta. Chun earráid a thuairisciú cliceáil anseo.

12 trácht, fág mise

Fág do thrácht

Ní thabharfar do sheoladh r-phoist a fhoilsiú. Réimsí riachtanacha atá marcáilte le *

*

*

  1. Freagrach as na sonraí: Miguel Ángel Gatón
  2. Cuspóir na sonraí: SPAM a rialú, bainistíocht trácht.
  3. Legitimation: Do thoiliú
  4. Na sonraí a chur in iúl: Ní chuirfear na sonraí in iúl do thríú páirtithe ach amháin trí oibleagáid dhlíthiúil.
  5. Stóráil sonraí: Bunachar sonraí arna óstáil ag Occentus Networks (EU)
  6. Cearta: Tráth ar bith is féidir leat do chuid faisnéise a theorannú, a aisghabháil agus a scriosadh.

  1.   Pinto Rogelio a dúirt

    Is é seo an bunús a thógann go leor fiontraithe chun a mballaí dóiteáin féin a mhonarú, agus is é sin an fáth go bhfuil an oiread sin brandaí ballaí dóiteáin le linux leabaithe ar an margadh, cuid acu go maith agus cuid eile nach bhfuil an oiread sin.

  2.   Heber a dúirt

    Alt den scoth. Táim ag tnúth leis an dara cuid.

  3.   Milton a dúirt

    Míniú an-mhaith, chuidigh sé liom seachfhreastalaí mo chuid oibre a thuiscint. Go raibh maith agat

  4.   faustod a dúirt

    Dia duit Jlcmux,

    Ar fheabhas, thaitin sé go mór liom, cathain a bheidh an cóisir eile ar fáil?

    Beannachtaí agus buíochas as a roinnt

    1.    @Jlcmux a dúirt

      Go raibh maith agat as an trácht.

      Chuir mé an chuid eile inné, i rith an lae sílim go mbeidh siad á fhoilsiú.

      Beannachtaí.

  5.   israel a dúirt

    Cara alt an-mhaith @ Jlcmux, d’fhoghlaim mé leis i ndáiríre ó shoiléirigh sé roinnt amhras a bhí orm le tamall, dála an scéil nár mhiste leat leabhar foinse an ailt, leabhar Sébastien BOBILLIER, a roinnt go maith slau2s agus anois chun an 2ú cuid a fheiceáil, salu2s.

    1.    @Jlcmux a dúirt

      Dia duit Go raibh maith agat as trácht a dhéanamh ar Iosrael.

      Casadh sé amach go bhfuil an leabhar agam i bhfoirm choirp. Ach fuair mé an nasc seo ar Google Books. http://books.google.com.co/books?id=zxASM3ii4GYC&pg=PA356&lpg=PA356&dq=S%C3%A9bastien+BOBILLIER+Linux+%E2%80%93+Administraci%C3%B3n+del+sistema+y+explotaci%C3%B3n+de+los+servicios+de+red#v=onepage&q=

      Sílim go bhfuil sé iomlán.

  6.   Ariel a dúirt

    Alt an-mhaith, cuirim ceist leis: Cén buntáiste a bhainfeadh le linux a úsáid mar ródaire, más ann dó, maidir le crua-earraí atá tiomnaithe dó? Nó an bhfuil sé ach le haghaidh aclaíochta? Tá a fhios agam go bhfuil distros tiomnaithe ann ach níl a fhios agam an bhfuil siad chun sean ríomhairí pearsanta a shábháil nó níos mó solúbthachta a sholáthar sa chumraíocht.

    1.    @Jlcmux a dúirt

      Bhuel, sílim go mbraitheann na buntáistí agus na míbhuntáistí ar an gcás ina bhfuil tú chun é seo a chur i bhfeidhm. Cén fáth go cinnte nach bhfuil tú chun UTM nó rud mar sin a cheannach do do theach? Agus b’fhéidir do ghnóthas beag nach bhfuil in acmhainn é a íoc ach an oiread. Tá sé go maith freisin mar chleachtadh, mar cabhraíonn sé leat loighic uile seo a thuiscint agus is féidir leat FWall tiomnaithe a chumrú níos fearr. Ina theannta sin is é atá i ndáiríre beagnach gach ceann de na gairis seo ná Leabaithe Linux.

      Beannachtaí.

  7.   Ariel a dúirt

    Dia duit, ceist, an féidir leat comhéadan "saorga" a ghiniúint i linux le haghaidh ródú den chineál céanna idir líonraí? (stíl rianaithe paicéad) chun oibriú le meaisíní fíorúla? eg má tá eth0 agam (toisc go bhfuil cárta amháin agam ar ndóigh) an féidir liom eth1 a chruthú chun líonra eile a dhéanamh? Teagascóir an-mhaith!

    1.    elav a dúirt

      I Linux is féidir leat comhéadain fhíorúla a chruthú, ar ndóigh. Má tá eth0 agat, féadfaidh eit0: 0, eth0: 1, eth0: 2 ... srl a bheith agat

  8.   chinolocó a dúirt

    Go maith, go raibh maith agat as a roinnt