iptables, közelítés egy valós esethez

A bemutató célja az irányítani a hálózatunkatelkerülve a bosszúságokat egy másik "nemkívánatos vendég" részéről, aki belülről meg akarja látni a padlót (kubai kifejezés, ami azt jelenti, hogy zavar, fasz, stb.), "csomagoló" vírust, külső támadásokat vagy egyszerűen a tudás örömét hogy nyugodtan alhatunk.

jegyzet: Ne feledje az iptables irányelveit, FOGADJ EL mindent vagy tagadj meg mindent, ezek hasznosak lehetnek, egyes esetekben nem, mások rajtunk múlik, hogy minden, ami a hálózaton történik, a mi dolgunk, és csak a miénk, igen, a tiéd, az enyém, attól, aki olvasta az oktatóanyagot, de nem tudja, hogyan kell futtatni, vagy attól, aki elolvasta és túl jól alkalmazta.

Menj, maradj !!!

Az első dolog tudni, hogy az egyes szolgáltatások milyen portot foglalnak el egy GNU / Linux telepített számítógépen, ehhez nem kell senkitől kérdeznie, vagy részt kell vennie a Google keresésében, vagy konzultálnia kell egy tudóssal a témában, csak el kell olvasnia egy fájlt. Egy kis fájl? Hát igen, egy kis fájl.

/ etc / services

De mit tartalmaz / etc / services?

Nagyon egyszerű, az összes leírása szolgáltatások és kikötők szervezetten és növekvő módon létezik ezekhez a szolgáltatásokhoz TCP vagy UDP segítségével. Az említett szolgáltatásokat és kikötőket a IANA (Internet Assigned Numbers Authority).

Játszás iptables-szel

Első lépésként lesz egy számítógépünk, amely a tesztelő gép lesz, nevezzük úgy, amire vágysz, Lucy, Karla vagy Naomi, én hívom Bessie.

Helyzet:

Nos, nos, Bessie egy projektgép, amelynek a VSFTPd felszerelt, OpenSSH futás, és a Apache2 amelyet egyszer telepítettek benchmarkinghoz (teljesítményteszt), de ma már csak a phpMyAdmin a. adatbázisainak kezelésére MySQL amelyeket időnként belsőleg használnak.

Jegyzetek:

Az Ftp, az ssh, az apache2 és a mysql azok a szolgáltatások, amelyek kéréseket fogadnak ezen a számítógépen, ezért figyelembe kell vennünk az általuk használt portokat.

Ha nem tévedek és / etc / services nem mondja el a hazugságokat xD, az ftp a 20. és 21. portot használja, az ssh alapértelmezés szerint a 22-et vagy valamilyen más eszközt, ha a konfigurációban definiálták (néhány másik bejegyzésben a konfigurálásról fogok beszélni SSH valamivel többet, mint általában ismerik), Az Apache 80 vagy a 443, ha SSL-lel van, és a MySQL 3306.

Most még egy részletre van szükségünk, a Bessie-vel kölcsönhatásba lépő számítógépek IP-címeire, hogy tűzoltóink egymás között ne lépjenek a tömlőkre (azt jelenti, hogy nincs konfliktus haha).

Pepe, a PHP + MySQL fejlesztője csak a 20-21, 80, 443 és 3306 portokhoz férhet hozzá, Frank, hogy az a dolga, hogy egy hónapon belül frissítse a leszállítandó projekt weboldalát, csak a 80-as porthoz fér hozzá / 443 és 3306, ha bármilyen javítást kell végrehajtania a DB-ben, és hozzáférhetek a szerver összes erőforrásához (és a bejelentkezést ssh-vel akarom védeni IP és MAC segítségével). Aktiválnunk kell a pinget arra az esetre, ha valamikor le akarjuk kérdezni a gépet. Hálózatunk a 10.8.0.0/16 típusú C osztályú.

Elindítunk egy sima szöveges fájlt tűzfal.sh amelyben a következőket tartalmazza:

4446 számú beillesztés (Script iptables)

Tehát ezekkel a sorokkal engedélyezi a hozzáférést a DevTeam tagjaihoz, megvédi magát és védi a PC-t, szerintem jobban megmagyarázva, még álmokban sem. Csak végrehajtási engedélyeket kell adni neki, és minden készen áll a menetre.

Vannak olyan eszközök, amelyek egy szép grafikus felhasználói felületen keresztül lehetővé teszik a kezdő felhasználók számára, hogy konfigurálják a számítógépük tűzfalát, például a "BadTuxWall", amely Java-t igényel. Szintén az FwBuilder, QT, amelyről itt már volt szó, vagy a "Firewall-Jay", az ncurses felületével. Személyes véleményem szerint egyszerű szövegben szeretem csinálni, ezért rákényszerítem magam a tanulásra.

Ennyi, hamarosan találkozunk, hogy folytassa a magyarázatot, az ellentétes szösz, más konfiguráció, folyamat vagy szolgáltatás magyarázatát.