iptables, aproksimacija stvarnog slučaja

Cilj ovog vodiča je kontrolirati našu mrežu, izbjegavajući smetnje nekog drugog "nepoželjnog gosta" koji nas iznutra želi vidjeti pod (kubanski izraz koji znači gnjaviti, zajebavati itd.), virus "pakera", vanjske napade ili jednostavno iz zadovoljstva znajući da možemo mirno spavati .

Primijetiti: Sjetite se pravila iptables, PRIHVATITE sve ili ODBIJITE sve, oni mogu biti korisni, u nekim slučajevima, a ne u drugima, što ovisi o nama, da je sve što se događa na mreži naša stvar, a samo naša, da, vaša , moj, od onoga koji je pročitao tutorial, ali ne zna kako ga izvršiti, ili od onoga koji ga je pročitao i predobro primijenio.

Vozite se ostanite !!!

Prva stvar je znati koji port zauzima svaka usluga na računalu s instaliranim GNU / Linuxom, za to ne morate nikoga pitati ili se uključiti u Googleovo traženje ili savjetovanje sa stručnjakom na tu temu, samo pročitajte datoteku. Mala datoteka? Pa da, mala datoteka.

/ itd. / usluge

Ali što sadrži / itd. / usluge?

Vrlo jednostavno, opis svega usluge i luke postojeće za ove usluge putem TCP-a ili UDP-a, organizirano i uzlazno. Navedene usluge i luke proglasio je IANA (Internet Assigned Numbers Authority).

Igranje s iptableima

Kao prve korake imat ćemo računalo, koje će biti stroj za testiranje, nazovite ga kako želite, Lucy, Karla ili Naomi, nazvat ću ga Bessie.

Situacija:

Pa, pa, Bessie je projektni stroj koji će imati VSFTPd montiran, OpenSSH trčanje i Apache2 koja je jednom instalirana za usporedbu (test izvedbe), ali se sada koristi samo zajedno s phpMyAdmin za upravljanje bazama podataka MySQL koji se s vremena na vrijeme interno koriste.

Bilješke koje treba uzeti:

Ftp, ssh, apache2 i mysql, usluge su koje primaju zahtjeve na ovom računalu, tako da moramo uzeti u obzir priključke koje koriste.

Ako se ne varam i / itd. / usluge xD ne govori laži, ftp koristi priključke 20 i 21, ssh prema zadanim postavkama 22 ili neki drugi, ako je to definirano u konfiguraciji (u nekom drugom postu govorit ću o tome kako konfigurirati SSH malo više nego što se inače zna), Apache 80 ili 443 ako je sa SSL-om i MySQL 3306.

Sada nam treba još jedan detalj, IP adrese računala koja će komunicirati s Bessie, tako da naši vatrogasci, među njima, ne bi gazili crijeva (ne znači sukob haha).

Pepe, programer u PHP + MySQL, imat će pristup samo lukama 20-21, 80, 443 i 3306, Frank da je njegova stvar ažuriranje web stranice projekta koja će biti isporučena u roku od mjesec dana, a imat će pristup samo luci 80 / 443 i 3306 u slučaju da trebate izvršiti bilo kakvu ispravku u DB-u, a ja ću imati pristup svim resursima na poslužitelju (i želim zaštititi prijavu ssh-om putem IP-a i MAC-a). Ping mora biti aktiviran u slučaju da želimo u određenom trenutku anketirati stroj. Naša mreža je klase C tipa 10.8.0.0/16.

Pokrenut ćemo običnu tekstualnu datoteku pod nazivom vatrozid.š u kojem će sadržavati sljedeće:

Zalijepite br.4446 (iptables skripte)

Dakle, ovim redovima omogućavate pristup članovima DevTeama, štitite sebe i štitite računalo, mislim da je to bolje objašnjeno, čak ni u snovima. Preostaje mu samo dati dozvole za izvršenje i sve će biti spremno za rad.

Postoje alati koji putem lijepog GUI-a omogućuju korisnicima početnicima da konfiguriraju vatrozid svojih računala, poput "BadTuxWall", koji zahtijeva Javu. Također i FwBuilder, QT, o kojem je ovdje već bilo riječi ili "Firewall-Jay", sa sučeljem u ncurses. Po mom osobnom mišljenju, volim to raditi u običnom tekstu, pa se prisiljavam na učenje.

To je to, vidimo se uskoro da biste nastavili objašnjavati, pahuljice protupuha, neke druge konfiguracije, postupka ili usluge.