Fiarovana ny tamba-jotra amin'ny Iptables - Proxy - NAT - IDS: FIZARANA 1

Ity lahatsoratra ity dia manandrana manazava kely momba ny fomba fiasan'ny tambajotra sy ny fomba fanovana ny fitaovana Linux ho Router izay miantoka kely kokoa ny tambajotranay, na ao an-trano izany na any amin'ny orinasa. Andao isika hidina amin'ny orinasa:

Miorina amin'ny boky "Linux - System Administration and Network Services Operation" ity atiny ity - Sébastien BOBILLIER

Famindrana sy sivana

Raha hiresaka sy hahatakatra momba ny fitetezana lalana dia azontsika atao ny mamaritra aloha hoe inona no asan'ny router? Ho an'ity dia azontsika atao ny milaza fa ny router iray, ankoatry ny famoronana tambajotra sy famelana ny fifandraisana amin'ireo fitaovana hafa (fantatra fa azo atao izany amin'ny AP, Switch, Hub na hafa) dia manana fahaizana mampifandray tambajotra roa samy hafa.

ny router

Araka ny hitantsika amin'ny sary, misy tambajotra eo an-toerana "10.0.1.0" izay noforonin'ny router, ary mahatratra ny iray amin'ireo interface roa misy azy. Avy eo ny router amin'ny interface hafa dia manana tamba-jotra hafa, miaraka amin'ny IP ho an'ny daholobe izay ahafahany mifandray amin'ny Internet. Ny laharam-pahamehana amin'ny ankapobeny dia ny mpanelanelana amin'ireo tambajotra roa ireo mba hahafahan'izy ireo mifampiresaka.

Linux ho toy ny router.

Mazava ho azy fa ny Linux Kernel dia efa manana fahaizana manao "mandroso", fa raha tsy izany dia tsy mandeha izy io, koa raha tiantsika ny Linux hanao io asa io dia tsy maintsy mankany amin'ny fisie isika.

/proc/sys/net/ipv4/ip_forward

Ho hitantsika eo fa rakitra io izay tsy misy afa-tsy "0" aotra, ny zavatra tsy maintsy ataontsika dia ny manova azy io ho "1" iray hampiasana ity fihetsika ity. Indrisy fa voafafa isika rehefa averintsika indray ny solosaina, mba hamelana azy ho foana dia tsy maintsy mampiasa ny baiko isika:

sysctl net.ipv4.ip_forward=1

Na amboary mivantana ao anaty rakitra /etc/sysctl.conf. Miankina amin'ny fizarana io fikirakirana io dia mety ho ao anaty rakitra ao ihany koa  /etc/sysctl.d/.

Amin'ny alàlan'ny default dia tsy maintsy manana latabatra fandehanana ny Linux, izay mazàna no fikirakirana ny tamba-jotra lan sy ny fifandraisana amin'ny router. Raha te-hahita ity fandehanana ity isika dia afaka mampiasa baiko roa:

route -n

o

netstat -nr

Ireo didy roa dia tokony hiverina mitovy.

Pikantsary tamin'ny 2014-09-30 18:23:06

Amin'ny ankapobeny, ity fanaingoana ity dia ampy ahafahan'ny Linux miasa amin'ny maha Gateway anao ary ny solosaina hafa afaka mamakivaky ny solosaintsika. Ankehitriny, raha tiantsika ny Linux hampifandray tamba-jotra roa na maromaro, na eo an-toerana izany na tsia, ohatra, afaka mampiasa làlana mijanona isika.

Eritrereto hoe manana fifandraisana tambajotra roa ny Linux, ny iray voalohany dia manana fifandraisana Internet izay ny tambajotrany dia 172.26.0.0 ary ny iray faharoa (10.0.0.0) dia manana solosaina avy amin'ny tambajotra eo an-toerana hafa. Raha te-hivezivezy ny fonosana mankany amin'ilay tambajotra hafa isika dia afaka mampiasa:

route add -net 10.0.0.0 netmask 255.0.0.0 gw 172.26.0.8

Amin'ny ankapobeny dia:

route add -net REDDESTINO netmask MASCARA gw IPDELLINUX

raha manome isika lalana -n na inona na inona fisian'ity tambajotra ity na tsia, ity lalana ity dia hapetraka ao amin'ny latabatray.

Pikantsary tamin'ny 2014-09-30 18:31:35

Raha te hanafoana ny fitaterana isika dia afaka mampiasa

route del -net 10.0.0.0 netmask 255.0.0.0

Iptables.

Amin'ny ankapobeny ny iptables dia ampiasaina amin'ny sivana fonosana, mivoaka, miditra na hafa, izany dia mahatonga azy io ho fitaovana lehibe amin'ny fitantanana ny fivezivezena amin'ny tambajotra. Eny, iptables, tahaka ny ahafahantsika manivana ny fifamoivoizan'ny solosaina iray ihany, mamela antsika hanivana ny fifamoivoizana mandalo azy koa io. (Mandrosoa). Iptables dia azo zaraina ho latabatra, rojo ary fihetsika.

  • Birao:  amin'ny ankapobeny dia mety misy latabatra roa, sivana, hanivana fonosana ary  Nat handikana adiresy, izany hoe hifindra amin'ny tambajotra iray mankany amin'ny iray hafa.
  • Rojo: Ny rojo dia manondro ny karazana fifamoivoizana izay te-hanivana na milomano antsika, izany hoe, ny fifamoivoizana aiza no hapetrantsika amin'ireo latabatra? ary mety ho izy ireo:  INPUT: Fifamoivoizana miditra, FIVOAHANA: fifamoivoizana ivelany na ALOHA: Fifamoivoizana mandalo azy io, saingy tsy izy no mampifandray azy manokana.
  • Mety hiseho koa izy io POSTROUTING, izay ampiasaina hitsaboana ny fonosana amin'ny fomba iray aorian'ny namindrana azy.
  • Hetsika: Ny hetsika dia ny hetsika tokony hatao amin'ny rojo. Mety ho izany fihetsika izany Drop, manimba fotsiny izany fifamoivoizana izany na MANAIKY. izay mamela ny fifamoivoizana hanao izany hetsika izany.

Ny fitsipiky ny IPTABLES dia voatahiry sy tanterahina araka ny filaharana namoronana azy ireo, ary raha mamafa ny fitsipika teo aloha ny fitsipika iray, dia ampiharina hatrany ny fitsipika farany ao amin'ilay baiko.

Politika afomanga.

Amin'ny ankapobeny, ny firewall dia mandeha amin'ny fomba roa amin'ny fomba roa:

  1. Avelao ny fifamoivoizana rehetra afa-tsy, na
  2. Aza avela hisy fifamoivoizana afa-tsy ...

Raha mampihatra politika dia ampiasao IPTABLES - SAIN'NY P ACTION

Manondro ny karazam-pifamoivoizana ny kofehy (INPUT, OUTPUT, FORWARD, POSTROUTING ...) ary ny hetsika dia DROP NA MANAIKY.

Andeha isika hijery ohatra iray.

Pikantsary tamin'ny 2014-09-30 18:53:23

 

Hitantsika eto fa afaka nanao ping aho tamin'ny voalohany, avy eo nolazaiko tamin'ny IPTABLES fa ny fivezivezena OUTPUT dia DROP daholo na tsy avela. Dia hoy aho tamin'ny IPTABLES hanaiky azy.

Raha hanangana rindrina firewall avy eo am-boalohany isika dia tsy maintsy mampihatra hatrany ny fitsipiky ny (Aza avela hisy fifamoivoizana afa-tsy ... Noho izany dia mampihatra ny lalàna isika

iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FOROPARD DROP
Raha mihatra ireo politika ireo dia tsy hanana karazana fifandraisana izy ireo
.

Raha hiverenana dia manoratra mitovy ihany izahay ary manolo ny DROP amin'ny ACCEPT.

Amin'izay fotoana izay, satria nolavina ny fifamoivoizana rehetra, dia manomboka milaza amin'ny IPTABLES anay izay fifamoivoizana azony atao.

Ny syntax dia:

iptables -A cadena -s ip_orgigen -d ip_destino -p protocolo --dport puerto -j acción

izay:

Tady = INPUT, OUTPUT na MITADY

origin_ip = Fiandohan'ny fonosana, ity dia mety ho IP tokana na tambajotra ary amin'ity tranga ity dia tsy maintsy mamaritra ny sarontava isika).

toerana_ip = mankaiza ny fonosana. ity dia mety ho IP tokana na tamba-jotra ary amin'ity tranga ity dia tsy maintsy mamaritra ny sarontava isika).

fifanarahana = manondro ny protocol ampiasain'ny fonosana (icmp, tcp, udp ...)

seranana = seranan-tsambo fitaterana.

hetsika = Mitete na MANDRAY.

ohatra:

 

Pikantsary tamin'ny 2014-09-30 19:26:41

Ny politika voafetra rehetra dia mihatra.

Pikantsary tamin'ny 2014-09-30 19:27:42

Avy eo izahay dia manampy ny lalàna hahafahana manana fifamoivoizana amin'ny alàlan'ny port 80 HTTP sy 443 HTTPS, miaraka amin'ny protokol TCP. Avy eo port 53 Ampiharina amin'ny client DNS hamaha ireo domains, raha tsy izany dia tsy hivezivezy ianao. Izy io dia miasa miaraka amin'ny protokol udp.

Ny andalana:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Izany dia noho ity manaraka ity: Rehefa mangataka HTTP ohatra ianao dia mifandray amin'ny port 80 an'ny mpizara, fa ny mpizara hamerina ny fampahalalana dia mila mifandray aminao amin'ny seranan-tsambo rehetra. (Amin'ny ankapobeny lehibe kokoa noho ny 1024).

Raha mikatona daholo ny seranan-tsambo eto dia tsy ho tratra izany raha tsy sokafantsika ny seranana rehetra avo kokoa noho ny 1024 (Hevitra ratsy). Ny lazain'io dia ny fanekena fifamoivoizana rehetra avy amin'ny fifandraisana napetrako ny tenako dia ekena. Ny tiako holazaina dia ny fifandraisana izay natomboko tamin'ny fitsipika.

Rehefa mametraka ny OUTPUT amin'ny lalàna, dia mihatra amin'ny fitaovana voalaza ihany izany, raha toa ka mampiasa ny fitaovantsika ho toy ny router hamela ireo fifandraisana ireo isika dia tsy maintsy manova ny OUTPUT mankany FORWARD. Satria mandalo ny solosaina ny fifamoivoizana fa tsy izy no manomboka azy
Ireo fitsipika rehetra ireo dia voafafa aorian'ny famerenana amin'ny laoniny, noho izany dia mila mamorona script ianao mba hanombohany amin'ny alàlan'ny default. Nefa ho hitantsika izany amin'ny manaraka

Manantena aho fa tianao ity fampahalalana ity. Amin'ny manaraka dia hiresaka momba ny NAT, Proxy ary script ho an'ny Firewal aho.


Ny atin'ny lahatsoratra dia manaraka ny fitsipiky ny etika fanonta. Raha hitatitra tsindry diso eto.

12 hevitra, avelao ny anao

Avelao ny hevitrao

Ny adiresy email dia tsy ho namoaka. Mitaky saha dia marika amin'ny *

*

*

  1. Tompon'andraikitra amin'ny data: Miguel Ángel Gatón
  2. Tanjon'ny angona: Control SPAM, fitantanana hevitra.
  3. Legitimation: Ny fanekenao
  4. Fifandraisana momba ny angona: Tsy hampitaina amin'ny antoko fahatelo ny angona raha tsy amin'ny adidy ara-dalàna.
  5. Fitehirizana angona: Database nomen'ny Occentus Networks (EU)
  6. Zo: Amin'ny fotoana rehetra, azonao atao ny mametra, mamerina ary mamafa ny mombamomba anao.

  1.   Rogelio pinto dia hoy izy:

    Io no fototra raisin'ny mpandraharaha maro hanamboarana ny afony manokana, izany no mahatonga ny marobe firewall misy linux tafiditra ao anaty tsena, ny sasany tsara ary ny sasany tsy dia be loatra.

  2.   Heber dia hoy izy:

    Lahatsoratra tena tsara. Manantena ny ampahany faharoa aho.

  3.   Milton dia hoy izy:

    Fanazavana tena tsara, nanampy ahy hahatakatra ny proxy an'ny asako. Misaotra anao

  4.   faustod dia hoy izy:

    Salama Jlcmux,

    Tena tsara, tena tiako izany, rahoviana no ho eo ny antoko hafa?

    Miarahaba sy misaotra nizara

    1.    @Jlcmux dia hoy izy:

      Misaotra tamin'ny fanehoan-kevitra.

      Nandefa ny ampahany hafa aho omaly, mandritra ny andro dia heveriko fa hamoaka izany izy ireo.

      Fiarahabana.

  5.   Isiraely dia hoy izy:

    Tena namana namana tsara ao @ Jlcmux, izaho dia nianatra niaraka taminy hatramin'ny nanazavany ny fisalasalana ananako nandritra ny fotoana kelikely, amin'ny fomba tsy mampaninona anao ny mizara ny boky loharanon'ny lahatsoratra, ny an'i Sébastien BOBILLIER, slau2s tsara ary ankehitriny raha hijery ny fizarana faha-2, salu2s.

    1.    @Jlcmux dia hoy izy:

      Salama Misaotra tamin'ny fanehoan-kevitra momba an'i Israel.

      Hita fa manana ny boky amin'ny endrika ara-batana aho. Saingy hitako tao amin'ny Google Books ity rohy ity. http://books.google.com.co/books?id=zxASM3ii4GYC&pg=PA356&lpg=PA356&dq=S%C3%A9bastien+BOBILLIER+Linux+%E2%80%93+Administraci%C3%B3n+del+sistema+y+explotaci%C3%B3n+de+los+servicios+de+red#v=onepage&q=

      Heveriko fa efa vita.

  6.   Ariel dia hoy izy:

    Lahatsoratra tena tsara, manampy fanontaniana aho: Inona no tombony azo amin'ny fampiasana linux ho toy ny router, raha misy, momba ny fitaovana natokana ho azy? Sa natao ho fanatanjahan-tena fotsiny? Fantatro fa misy disto voatokana fa tsy fantatro raha tokony hamonjy PC taloha izy ireo na hanome fahafaha-mandanjalanja kokoa amin'ny fikirakirana.

    1.    @Jlcmux dia hoy izy:

      Heveriko fa ny tombony sy ny fatiantoka dia miankina amin'ny scenario hanatanterahanao izany. Fa maninona ianao no tsy hividy UTM na zavatra toy izany ho an'ny tranonao? Ary angamba ho an'ny orinasa kely izay tsy mahazaka azy koa. Tsara koa izany ho fanatanjahan-tena, satria manampy anao hahatakatra ny lojika rehetra momba izany ary afaka manamboatra tsara kokoa FWall natokana ianao. Ho fanampin'izany dia saika ireo fitaovana rehetra ireo no tena misy azy dia ny Embedded Linux.

      Fiarahabana.

  7.   Ariel dia hoy izy:

    Salama, fanontaniana iray, azonao atao ve ny mamorona interface "artifisialy" ao amin'ny linux amin'ny làlam-pandeha mitovy amin'izany eo amin'ireo tambajotra? (style tracer tracer) hiara-miasa amin'ny milina virtoaly? oh raha manana eth0 aho (satria manana karatra tokana mazava ho azy) azoko atao ve ny mamorona eth1 hanao tambajotra hafa? Mpampianatra tena tsara!

    1.    elav dia hoy izy:

      Amin'ny Linux ianao dia afaka mamorona interface virtoaly, mazava ho azy. Raha manana eth0 ianao dia afaka manana et0: 0, eth0: 1, eth0: 2 ... sns

  8.   chinoloco dia hoy izy:

    Tsara tokoa, misaotra nizara