„iptables“, priartinimas prie realaus atvejo

Šios pamokos tikslas yra kontroliuoti mūsų tinklą, išvengiant susierzinimo dėl kito „nepageidaujamo svečio“, kuris iš vidaus nori pamatyti mus grindyse (kubietiška išraiška reiškia varginti, dulkintis ir pan.), „pakuotojo“ virusą, išorinius išpuolius ar tiesiog dėl malonumo žinoti, kad galime ramiai miegoti .

Pažymėti: Prisiminkite „iptables“ politiką, PRIIMKITE viską arba paneigk, jie gali būti naudingi, vienais atvejais, o ne kitais, tai priklauso nuo mūsų, kad viskas, kas vyksta tinkle, yra mūsų reikalas, ir tik mūsų, taip, tavo , mano, iš to, kuris skaitė pamoką, bet nežino, kaip ją paleisti, arba iš to, kuris ją perskaitė ir per gerai pritaikė.

Važiuok pasilik !!!

Pirmas dalykas yra žinoti, kokį prievadą kiekviena paslauga užima kompiuteryje, kuriame įdiegta GNU / Linux, tam nereikia niekieno klausti, įsitraukti į „Google“ paiešką ar konsultuotis su mokslininku šia tema, tiesiog perskaityti failą. Mažas failas? Na taip, nedidelis failas.

/ etc / services

Bet ko jame yra / etc / services?

Labai lengva, visų aprašymas paslaugas ir uostus šioms paslaugoms, organizuotai ir kylančiai, gali naudoti TCP arba UDP. Minėtos paslaugos ir uostai buvo deklaruoti Ianą (Interneto priskirtų numerių tarnyba).

Žaidimas su „iptables“

Pirmieji žingsniai turėsime asmeninį kompiuterį, kuris bus bandomoji mašina, vadinkime ją kaip norite, Liucija, Karla ar Naomi, pavadinsiu Bessie.

Situacija:

Na, gerai, Bessie yra projekto mašina, kuri turės VSFTPd montuojamas, OpenSSH bėgimas ir a Apache2 kad buvo įdiegta vieną kartą palyginimui (našumo testas), bet dabar naudojamas tik kartu su phpMyAdmin administruoti Duomenų bazes MySQL kurie kartais naudojami viduje.

Pastabos:

Ftp, ssh, apache2 ir mysql yra paslaugos, kurios šiame kompiuteryje gauna užklausas, todėl turime atsižvelgti į jų naudojamus prievadus.

Jei neklystu ir / etc / services „xD“ melo nesako, „ftp“ naudoja 20 ir 21 prievadus, „ssh“ pagal nutylėjimą 22 arba kai kuriuos kitus, jei tai buvo apibrėžta konfigūracijoje (kitame įraše kalbėsiu apie tai, kaip sukonfigūruoti SSH šiek tiek daugiau nei paprastai žinoma), „Apache 80“ arba „443“, jei jis yra su SSL, ir „MySQL 3306“.

Dabar mums reikia dar vienos detalės - kompiuterių, kurie veiks su Bessie, IP adresų, kad mūsų ugniagesiai tarpusavyje nesikištų ant žarnų (reiškia jokio konflikto haha).

PHP + MySQL kūrėjas Pepe turės prieigą tik prie 20–21, 80, 443 ir 3306 prievadų, Frankas, kad jo reikalas atnaujinti per mėnesį pristatomo projekto tinklalapį, jis turės prieigą tik prie 80 prievado / 443 ir 3306, jei jums reikės atlikti bet kokius taisymus DB, ir aš turėsiu prieigą prie visų serverio išteklių (ir aš noriu apsaugoti prisijungimą naudodamas ssh IP ir MAC). Pingas turi būti įjungtas, jei tam tikru momentu norime apklausti mašiną. Mūsų tinklas yra 10.8.0.0/16 tipo C klasė.

Mes pradėsime paprasto teksto failą, vadinamą ugniasienė.sh kuriame bus:

Įklijuoti Nr.4446 („Script iptables“)

Taigi, naudodamiesi šiomis linijomis, jūs suteikiate prieigą prie „DevTeam“ narių, apsaugote save ir apsaugote kompiuterį, manau, kad tai geriau paaiškinta net sapnuose. Belieka tik suteikti jai vykdymo leidimus, ir viskas bus paruošta.

Yra įrankių, kurie per gražią GUI leidžia pradedantiesiems vartotojams sukonfigūruoti savo kompiuterių užkardą, pavyzdžiui, „BadTuxWall“, kuriai reikalinga „Java“. Taip pat „FwBuilder“, QT, kuris jau buvo aptartas čia, arba „Firewall-Jay“ su sąsaja ncurses. Mano asmenine nuomone, man patinka tai daryti paprastu tekstu, todėl verčiu save mokytis.

Štai ir viskas, netrukus pasimatysime, kad galėtum toliau aiškinti, koks yra priešpriešinis pūkas, kokia kita konfigūracija, procesas ar paslauga.