Do líonra a dhaingniú le Iptables - Proxy - NAT - IDS: CUID 2

I Post roimhe seo Chonaiceamar cumraíocht IPTables chun feidhmiú mar Bhalla Dóiteáin. Anois is féidir linn a fheiceáil conas na scripteanna sin a chruthú ionas go ndéanfar na rialacha a fhorghníomhú go huathoibríoch nuair a thosaíonn an córas, agus freisin conas is féidir linn na rialacha sin a dhíchur nó a stopadh ar feadh nóiméad.

Sula ndéanfaidh tú an script agus sula dtaispeánfaidh sé duit an chuma atá air, déanaimis beagán a phlé faoi NAT agus faoin gcoincheap a theastaíonn uainn a dhéanamh leis an trealamh seo.

NAT agus Comhthéacs an tsampla.

Nuair a labhraímid faoi NAT, is féidir linn é seo a mheascadh le ródú, ós rud é go bhfuil an dá cheann i gceannas ar dhá líonra éagsúla a nascadh lena chéile. Is é an difríocht i ndáiríre ná go gcuirtear an ródú i bhfeidhm chun dul ó líonra áitiúil amháin go líonra eile agus is féidir leis an líonra eile seo ceangal le ródaire agus dul amach ar an Idirlíon.

De bharr an méid, nuair a labhraímid faoi NAT, labhraímid faoi phaicéid a ródú ó líonra áitiúil nó príobháideach go líonra poiblí nó an tIdirlíon. Déanann sé é seo trí na paicéid a chumhdach tríd an IP poiblí a dtéann sé chuig an Idirlíon a chur leis. Is é sin le rá, níl ródaire ag teastáil uainn, toisc go bhfuil an IP poiblí faoi úinéireacht dhíreach an ríomhaire GNU / Linux.

oíche

Oibreoimid é seo leis an mana go bhfuil ár Linux á úsáid againn mar ródaire / balla dóiteáin chun dul amach ar an Idirlíon ó líonra áitiúil. Ach anseo is féidir dhá chás a bheith le feiceáil.

  • Go bhfuil ár Linux idir ródaire an tsoláthraí seirbhíse agus an líonra áitiúil.

Sa chás seo, idir an ródaire agus ár Linux bheadh ​​líonra ann, agus idir an Linux agus an líonra áitiúil bheadh ​​líonra difriúil eile ann. Ciallaíonn sé seo nach mbeadh ar ár ródaire NAT a dhéanamh mar sin, le ródú tráchta simplí mar a mhínítear in Post roimhe seo Bheadh ​​sé go maith.

  • Go bhfuil comhéadan ag ár Linux atá nasctha leis an líonra áitiúil agus tríd an gcomhéadan eile faigheann sé IP poiblí go díreach lena ndéanann sé nascleanúint.

Ciallaíonn sé seo go gcaithfidh ár Linux NAT a dhéanamh ionas gur féidir leis na paicéid teacht ar an Idirlíon.

Chun críocha na saotharlainne beag seo ansin, déarfaimid go bhfaigheann ár Linux IP poiblí go díreach agus dá bhrí sin go mbeimid in ann éifeachtaí NAT a thástáil.

Chun NAT a dhéanamh úsáidimid an chomhréir ansin

 iptables -t nat -A POSTROUTING -O eth1 -j MASQUERADE

Nuair is é eth1 an comhéadan ina bhfaighimid an IP poiblí, is é sin, an áit a théannimid chuig an Idirlíon.

Úsáidtear MASQUERADE nuair a bhíonn an ip poiblí ach féadfaidh sé athrú le himeacht ama (dinimiciúil). Seachas sin is féidir linn SNAT –to-source ip a úsáid

Ag cruthú script iptables

Má ghlactar leis ansin: is é 172.26.0.0 ár líonra áitiúil agus is é 81.2.3.4 an IP poiblí a dtéann muid chuig an Idirlíon leis. (is ip statach é). Tá na comhéadain eth0 (líonra áitiúil) agam

eth1 (Líonra poiblí).

Go bunúsach is éard atá ann script a chruthú ar féidir glaoch uirthi ó /etc/init.d/firestop (mar shampla). agus ón script seo is féidir linn stádas ár gcumraíochta a thosú, a stopadh nó a sheiceáil, díreach mar a dhéanaimid le haon deamhan córais.

Cuir i gcás gurb iad mo rialacha IPTABLES:

#! / bin / bash # Balla dóiteáin mo bhaile. # Ainm an chomhaid / etc / firewall_on # Le Jlcmux Twitter: @Jlcmux # # Beartas bunúsach. iptables -P INPOUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP # #NAT chun an tIdirlíon a roinnt ó eth0 go eth1 iptables -t nat -A POSTROUTING -O eth1 -j SNAT --to-source 81.2.3.4
# # Ceadaigh naisc isteach arna dtionscnamh ag mo iptables -A FORWARD -m state --state ESTABLISHED, RELATED -j ACCEPT # # iptables tráchta údaraithe atá ag dul as oifig -A FORWARD -i eth0 -o eth1 -p tcp --dport 80 -j ACCEPT iptables -A RÉAMHRÁ -i eth0 -o eth1 -p tcp --dport 443 -j ACCEPT iptables -A FORWARD -i eth0 -o eth1 -p udp --dport 53 -j ACCEPT
Ná déanaimis dearmad ceadanna forghníomhaithe a thabhairt

Míniú:

Go bunúsach déanann an script an méid seo a leanas:

  1. Cuir srian ar dtús ar gach nascleanúint, nasc agus trácht. (Polasaithe Bunúsacha Balla Dóiteáin)
  2. Ansin cruthaigh an NAT leis an gceann scríbe eth1. rud a léiríonn go bhfuil ip statach poiblí againn «81.2.3.4»
  3. Osclaíonn sé na calafoirt is gá chun na paicéid nasc a thionscain mé a fháil.
  4. Glacann sé le trácht HTTP, HTTPS, agus DNS amach.
Tá na rialacha i ndán do thrácht FORWARD toisc go bhfuil ár Linux á úsáid againn mar Ródaire, mar sin úsáidtear na beartais don trácht a dhéanann PASSES tríd an Linux, is é sin, gníomhaíonn sé mar idirghabhálaí. Ciallaíonn sé seo nach féidir lenár Linux nascleanúint a dhéanamh nó aon sonraí a fháil go díreach. Ní bhaineann sé ach le ríomhairí atá ceangailte leis, ach ní leis féin

Más mian linn ár dtrealamh a úsáid chun nascleanúint a dhéanamh ba cheart dúinn na línte a athdhéanamh agus dul ar aghaidh go INPUT nó OUTPUT de réir mar is cuí.

Cealaigh script.

Anois táimid chun script a chruthú a sháraíonn gach a bhfuil thuas agus a fhágann an ríomhaire glan as seo go léir. (Chun críocha tástála nó níl uainn ach an balla dóiteáin a mhúchadh).

#! / bin / bash # Balla dóiteáin mo bhaile. # Ainm an chomhaid / etc / firewall_off # Le Jlcmux Twitter: @Jlcmux # #Deleting iptables Rules -F # #Feidhmiú polasaithe réamhshocraithe (glactar leis an trácht go léir) iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT

Uathoibriú.

Anois caithfimid an script a chruthú taobh istigh /etc/init.d/ agus tosaíonn an tseirbhís go huathoibríoch agus is féidir linn í a bhainistiú ar bhealach níos compordaí.

#! / bin / bash # Balla dóiteáin mo bhaile. # Ainm an chomhaid /etc/init.d/ balla dóiteáin # Le Jlcmux Twitter: cás @Jlcmux $ 1 i dtosach) / etc / firewall_on ;; stad) / etc / firewall_off ;; stádas) iptables -L ;; *) macalla "Comhréir mhícheart. Bailí = /etc/init.d/ tús balla dóiteáin | stad | stádas ;; esac

Míniú:

An script deireanach seo a chuireamar isteach /etc/init.d/ leis an ainm balla dóiteáin. Mar sin más mian linn an balla dóiteáin a bhainistiú is féidir linn an t-ordú a úsáid /etc/init.d/ tús balla dóiteáin. Ar an gcaoi chéanna is féidir linn é a stopadh nó an stát a fheiceáil.

Anois táimid chun an comhad a chur in eagar /etc/rc.local agus chuireamar rud mar: /etc/init.d/ tús balla dóiteáin chun tús a chur leis an gcóras.

Freisin. Seo an dara cuid. Tá súil agam go dtabharfaidh sé rud éigin daoibh go léir. Sa chéad cheann eile feicimid Proxy agus IDS.


Cloíonn ábhar an ailt lenár bprionsabail eitic eagarthóireachta. Chun earráid a thuairisciú cliceáil anseo.

7 trácht, fág mise

Fág do thrácht

Ní thabharfar do sheoladh r-phoist a fhoilsiú. Réimsí riachtanacha atá marcáilte le *

*

*

  1. Freagrach as na sonraí: Miguel Ángel Gatón
  2. Cuspóir na sonraí: SPAM a rialú, bainistíocht trácht.
  3. Legitimation: Do thoiliú
  4. Na sonraí a chur in iúl: Ní chuirfear na sonraí in iúl do thríú páirtithe ach amháin trí oibleagáid dhlíthiúil.
  5. Stóráil sonraí: Bunachar sonraí arna óstáil ag Occentus Networks (EU)
  6. Cearta: Tráth ar bith is féidir leat do chuid faisnéise a theorannú, a aisghabháil agus a scriosadh.

  1.   dhunter a dúirt

    Má tá Debian á úsáid agat, tá pacáiste sa repo (iptables-marthanach) a dhéanann go díreach, dumpálann sé na rialacha reatha in /etc/iptables/rules.v4 nó v6 ag brath ar an méid a úsáideann tú agus ansin cuireann sé i bhfeidhm iad ort nuair a thógann tú an córas.

  2.   ocz a dúirt

    Go praiticiúil, chun cumraíocht balla dóiteáin traidisiúnta iptables a ghlanadh (agus ní bheadh ​​sé mar sin ó mo thuairim) NAT a úsáid), i bhformhór na gcásanna is leor riail a shruthlú agus na beartais réamhshocraithe a athshocrú go ACCEPT.
    Ach go teoiriciúil, agus chomh fada agus is eol dom, i dteannta leis seo ní mór duit na teaghráin neamh-réamhshocraithe a ghlanadh agus na cuntair a athshocrú. Gníomhartha atá le déanamh ag cuimhneamh go bhfuil táblaí eile i dteannta le "scagaire" (tá sé éigeantach an comhad "/ proc / net / ip_tables_names" a léamh chuige seo).

    Dála an scéil, deir ortadocsacht go gcaithfidh balla dóiteáin a bheith suas cheana féin sula mbeidh an líonra ann. Níl a fhios agam conas a bhaintear é amach sna córais Linux eile, ach sna cinn Debian d’fhéadfaí an script a oiriúnú agus a shocrú san eolaire "/etc/network/if-pre-up.d/".

    Balla dóiteáin maith do gach duine. 😉

  3.   NauTiluS a dúirt

    Dia duit, tá an post an-mhaith. Tá an 2 imleabhar ar fad léite agam.

    Ag fanacht leis an gcéad cheann eile 🙂

  4.   gan ainm a dúirt

    Ceist ó mo aineolas, leanaimid ar aghaidh le iptables, ach i gcás roinnt leaganacha eithne tá nftables againn, táim ag tástáil cheana féin, is iad na ceisteanna, an bhfuil rud éigin béite ag nftables maidir le iptables? An leanfar ag úsáid iptables ar feadh i bhfad níos faide?

    Go raibh maith agat.

    1.    Yukiteru a dúirt

      Cuimsíonn nftables na feidhmiúlachtaí go léir a bhaineann le iptables, ip6tables, arptables agus ebtables, agus iad uile ag úsáid bonneagair nua i spás eithne agus in úsáid úsáideora, rud a chinntíonn feidhmíocht níos fearr agus feidhmiúlacht fheabhsaithe. tiocfaidh nftables in ionad iptables agus na huirlisí eile go léir a luaitear ach ní de thuras na huaire, ní ar a laghad go dtí go mbainfear úsáid níos forleithne as nftables mar sin.

  5.   Alexander a dúirt

    post an-mhaith, theastaigh uaim níos mó a léamh ós rud é go mínítear go han-mhaith é. beannachtaí a bhuíochas sin

  6.   Avrah a dúirt

    Dia dhuit! An-mhaith an dá phost.
    Mar ranníocaíocht d’fhéadfá cur leis an deireadh sa chuid seo:

    "Anois táimid chun an comhad /etc/rc.local a chur in eagar agus rud éigin mar: /etc/init.d/firestop a chur ag tosú ionas go dtosóidh sé leis an gcóras."

    Cuir é seo le rc.local.

    más rud é [-x /etc/init.d/ balla dóiteáin]; ansin
    /etc/init.d/ tús balla dóiteáin
    fi

    Rud a chiallaíonn má tá cead forghníomhaithe ag "balla dóiteáin", déan é a fhorghníomhú, mura bhfuil.
    Más mian leat nach dtosóidh an “balla dóiteáin”, níl le déanamh agat ach na ceadanna a bhaint.

    Mar shampla: chmod + x /etc/init.d/ balla dóiteáin
    a chur ar siúl ar gach tosaithe nó ...
    balla dóiteáin chmod -x /etc/init.d/
    chun é a dhíchumasú go hiomlán.

    Beannachtaí!