אני נחשב בעיני חלקם כפרנואידים בכל הנוגע לאבטחה, ולכן השימוש בחומת אש חיוני עבורי. במחשב הנייד שלי יש לי מידע רגיש, בעל חשיבות גבוהה עבורי; ומכיוון שחומת האש מיועדת למחשב כמו נעילה או בטוח בשבילנו, גם לזכור שבמחשב אנו מאחסנים סיסמאות גישה לדוא"ל, נתוני חשבון בנק (מי שיש להם), פרטי שרת ומידע וירטואלי אחר שמשפיע ישירות על חיינו הפיזיים ... ובכן, ללא ספק ללכת דרך הרשת ללא חומת אש מוגדרת, ללא אבטחה מתאימה במחשב שלנו זה לא דבר שמומלץ.
לפני זמן מה הראיתי לך כיצד להתחיל כללי iptables באופן אוטומטי בהפצות כמו דביאן, אובונטו או אחרים המכילים את הקובץ /etc/rc.local, אולם ב- ArchLinux כיוון ש- systemd משתמש בקובץ זה אינו קיים.
לכן, הדרך שמצאתי להגדרת התצורה של iptables שלי כרצוני היא ליצור סקריפט bash שמגדיר את iptables, ואז לשנות את הקובץ /usr/lib/systemd/system/iptables.service ... אבל, בואו נלך בחלקים
1. אנחנו חייבים ליצור סקריפט bash המכיל את כללי ה- iptables שלנו, משהו כזה: דוגמה לתסריט Bash + iptables
2. לאחר יצירת הסקריפט, כתיבת הכללים בו והענקת הרשאות ביצוע, אנו ממשיכים לערוך את שירות iptables המערכת:
sudo nano /usr/lib/systemd/system/iptables.service
נתקל במשהו כזה:
[יחידה] תיאור = מסגרת סינון מנות [שירות] סוג = oneshot ExecStart = / usr / bin / iptables-reset /etc/iptables/iptables. ExecStop = / usr / lib / systemd / scripts / iptables-flush RemainAfterExit = כן [Install] WantedBy = multi-user.target
3. בהנחה שהסקריפט שיצרנו בעבר נמצא /home/myuser/script-iptables.sh ואז נשאיר את קובץ iptables.service שפתוח לנו באופן הבא:
[יחידה] תיאור = מסגרת סינון מנות [שירות] סוג = oneshot ExecStart = / home / myuser / script-iptables.sh ExecReload = / home / myuser / script-iptables.sh ExecStop = / usr / lib / systemd / scripts / iptables -שטף RemainAfterExit = כן [התקן] WantedBy = multi-user.target
4. לאחר מכן עלינו לוודא כי iptables מתחיל אוטומטית:
sudo systemctl enable iptables
5. אנחנו מתחילים את זה:
sudo systemctl start iptables
6. ונוכל לבדוק את הכללים:
sudo iptables -nL
זוהי פשוט הדרך הפשוטה ביותר שמצאתי (1) לקבל סקריפט bash משלי שמגדיר עבורי iptables, גם (2) שהכללים מתחילים אוטומטית ולבסוף (3) שהתסריט עצמו היה משהו עצמאי, כלומר , שאם מחר ארצה להשתמש בו בדביאן שאני מתקין (למשל) לא אצטרך להגדיר מחדש הרבה.
בכל מקרה, אני מקווה שתמצא את זה שימושי 🙂
לגבי
מעניין ....
לא היה קל יותר לערוך את הקובץ iptables.rules, אם כבר יש לך גישת שורש עם sudo כדאי לשנות אותו, נכון?
אני עושה את זה בצורה קצת אחרת, אם כי גם מנצל את התסריט שהעלית להפעלת הכללים.
1- אנו משיקים את השירות (אם עדיין לא עשינו זאת):
# systemctl enable iptables.service# systemctl start iptables.service
2- אנו רואים אילו חוקים אנו פעילים (אנו מניחים שהכל פתוח אם לא נגענו בשום דבר)
sudo iptables -nvL3 - אנו משנים את הכללים הרצויים, ומשיקים את סקריפט התצורה:
# sh /home/miusuario/script-iptables.sh4- בואו נראה איך החוקים הפעילים השתנו:
# iptables -nvL5- אנו שומרים את תצורת ה- iptables החדשה לצורך אתחול מחדש בעתיד:
# iptables-save > /etc/iptables/iptables.rules5b- אם אנו עורכים את הקובץ /etc/iptables/iptables.rules ביד כדי לשנות את הכללים, עלינו לטעון מחדש את התצורה:
# systemctl reload iptablesלפחות מבחינתי זה קל יותר ככה. אני מנסה ללמוד קצת bash ו- kdialog כדי לנהל את ההגדרות בצורה גרפית יותר. בהמשך אנסה לעשות משהו שלם יותר עם qtcreator למשל, כדי להיות מסוגל לקבל מספר סקריפטים לתצורה בהתאם לציוד שאנו מגדירים (נתב, מחשב וכו '...) כדי לראות אם הוא יוצא.
הממשק שיש לי בראש הוא משהו כזה.
קשת
http://i1178.photobucket.com/albums/x380/beatfenix/kortafuegos_arch_zpscec2122d.jpeg
דביאן
http://i1178.photobucket.com/albums/x380/beatfenix/kortafuegos_deb_zps75ada7c4.jpeg
Captcha זה לתגובות הוא מסננת באגים, אנא שנה לאחרת או עדכן את זה כי זה נעשה מעצבן לאחר מספר ניסיונות.
זה אותו דבר שמשמש את humanOS, Firefoxmanía .. אולי זה משהו עם המטמון.
ובכן, אני אפילו לא מגיב יותר על שני אלה.
בברכה,
זהו נושא שימושי ביותר.
ללא ספק למי שמעוניין באבטחת המידע המאוחסן במחשב האישי שלנו; "Iptables" הוא אחד הכלים שיש ללמוד להשתמש בהם; אם כי על פי חשיבותה היא מעט מורכבת ללמוד.
מצאתי סרטון זה בנושא עליו אני מקווה שתאפשר לי לשתף את כתובת הדוא"ל שלך "http://www.youtube.com/watch?v=Z6a-K_8FT_Y"; ההפתעה שלי הייתה שזה משהו שונה ממה שהוא כאן. אבל בכל מקרה, אני מניח שזה יהיה בגלל מגוון ההפצות שיש ל- GNU / Linux (ARCH, DEBIAN, SUSE, וכו '), אנחנו נצטרך ללמוד בכל מקרה.