Fiarovana ny tamba-jotra amin'ny Iptables - Proxy - NAT - IDS: FIZARANA 2

Ao amin'ny lahatsoratra teo aloha Hitanay ny fikirakirana ny IPTables ka miasa toy ny Firewall izy. Ankehitriny isika dia afaka mahita ny fomba famoronana ireo script ireo mba hamonoana ho azy ny lalàna rehefa manomboka ny rafitra, ary koa ny fomba ahafahantsika manafoana na mampiato ireo lalàna ireo mandritra ny fotoana fohy.

Alohan'ny hanaovana ny script ary aseho anao ny endriny, andao hiresaka kely momba ny NAT sy ny fiheverana izay tianay hatao amin'ity fitaovana ity.

NAT sy ny sahan-kevitr'ilay ohatra.

Rehefa miresaka momba ny NAT isika dia azontsika atao ny mampifangaro izany amin'ny fivezivezena satria samy tompon'andraikitra amin'ny fampifandraisana tambajotra roa samy hafa izy roa. Ny tena maha samy hafa azy dia ny fampiharana ny fitetezana lalana raha hitety tambajotra iray eo an-toerana ka hatramin'ny iray hafa ary ity tambajotra hafa ity dia afaka mifandray amin'ny router ary mivoaka amin'ny Internet.

Raha kosa, rehefa miresaka momba ny NAT isika, dia miresaka momba ny fonosana aleha avy amin'ny tambajotra eo an-toerana na tsy miankina mankany amin'ny tambajotram-bahoaka na Internet. Izy io dia manao izany amin'ny alàlan'ny fametahana ireo fonosana amin'ny alàlan'ny fametrahana ny IP ho an'ny besinimaro izay alehany amin'ny Internet. Midika izany fa tsy mila router izahay satria ny IP ho an'ny daholobe dia tompon'ny mivantana ny solosaina GNU / Linux.

Nat

Hampiasainay amin'ny teny filamatra ampiasainay ny Linux ho router / firewall hivoahana amin'ny Internet avy amin'ny tamba-jotra eo an-toerana. Saingy eto dia misy fisehoan-javatra roa hiseho.

  • Ny Linux misy antsika dia eo anelanelan'ny router an'ny mpamatsy tolotra sy ny tambajotra eo an-toerana.

Amin'ity tranga ity, eo anelanelan'ny router sy ny Linux misy serasera, ary eo anelanelan'ny Linux sy ny tambajotra eo an-toerana dia hisy tambajotra hafa hafa. Midika izany fa tsy mila manao NAT toy izany ny router, miaraka amin'ny fivezivezena fifamoivoizana tsotra araka ny nohazavaina tao lahatsoratra teo aloha Ho tsara izany.

  • Ny Linux misy anay manana fifandraisana mifandraika amin'ny tambajotra eo an-toerana ary amin'ny alàlan'ny interface hafa dia mandray IP mivantana ho an'ny daholobe izorany.

Midika izany fa ny Linux dia tsy maintsy manao NAT mba hahafahan'ny fonosana tonga amin'ny Internet.

Ho an'ny tanjon'ity laboratoara kely ity dia hilaza izahay fa ny IP Linux anay dia mandray IP ho an'ny daholobe mivantana ary amin'izay dia afaka hitsapana ny vokatry ny NAT.

Raha hanao NAT dia mampiasa ny syntax isika

 iptables -t nat -A POSTROUTING -O eth1 -j MASQUERADE

Aiza ny et1 dia ny interface izay ahazoantsika ny ip ampahibemaso, izany hoe izay alehantsika amin'ny Internet.

MASQUERADE no ampiasaina raha ampahibemaso ny ip fa mety miovaova arakaraka ny fotoana (dinamika). Raha tsy izany dia afaka mampiasa SNAT –to-source ip isika

Mamorona script iptables

Eritrereto ary avy eo fa: 172.26.0.0 no tambajotranay eo an-toerana ary 81.2.3.4 no IP ampahibemaso izay andehanantsika amin'ny Internet. (ip static izy io). Manana ny interfaces aho eth0 (tambajotra eo an-toerana)

eth1 (Tambajotram-bahoaka).

Amin'ny ankapobeny dia misy ny famoronana script izay azo antsoina amin'ny /etc/init.d/firestop (ohatra). ary avy amin'ity script ity dia afaka manomboka, mijanona na manamarina ny satan'ny fikirakirantsika isika, tahaka ny ataontsika amin'ireo daemon amin'ny rafitra.

Eritrereto hoe ny fitsipiko IPTABLES dia:

#! / bin / bash # Firewall an'ny tranoko. # Anaran-drakitra / sns / firewall_on # Nosoratan'i Jlcmux Twitter: @Jlcmux # # Politika ifotony. iptables -P INPOUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP # #NAT hizara Internet avy amin'ny eth0 ka hatramin'ny Eth1 iptables-nat -A POSTROUTING -O eth1 -j SNAT --to-loharano 81.2.3.4
# # Avelao ny fifandraisana miditra natombok'ireo iptables -A FORWARD -m fanjakana - fanjakana Niorina, mifandraika -j MANAIKY # # Iptables fifamoivoizana mivoaka ara-dalàna -A MANDEHA I-et0 -o eth1 -p tcp --dport 80 -j ACCEPT iptables -A MANDROSO --- et0 -o eth1 -p tcp --dport 443 -j ACCEPT iptables -A FORWARD -i eth0 -o eth1 -p udp --dport 53 -j ACCEPT
Aza adino ny manome alalana famonoana

fanazavana:

Ity script ity dia manao izao manaraka izao:

  1. Ferana aloha ny fivezivezena, ny fifandraisana ary ny fivezivezena. (Fitsipika fototra momba ny afomanga)
  2. Avy eo mamorona ny NAT miaraka amin'ny et1 itodiana. manondro fa manana ip public static izahay "81.2.3.4"
  3. Manokatra ny seranana ilaina mba handraisana ireo fonosam-pifandraisana natomboko.
  4. Manaiky fifamoivoizana HTTP, HTTPS, ary DNS ivelany.
Natao ho an'ny fifamoivoizana FORWARD ny lalàna satria mampiasa ny Linux ho Router izahay, noho izany ny politika dia ampiasaina amin'ny fivezivezena izay MITSARAINA amin'ny Linux, izany hoe mpanelanelana. Midika izany fa tsy afaka mivezivezy na mandray data mivantana mivantana ny Linux. Ny solosaina mifandraika aminy ihany no mihatra aminy fa tsy ho azy irery

Raha te hampiasa ny fitaovantsika hivezivezy isika dia tokony hamerina ireo tsipika ary hanova ny FORWARD ho INPUT na OUTPUT raha ilaina.

Hanafoana ny script.

Ankehitriny isika dia hamorona script izay manilika ireo voalaza etsy ambony rehetra ireo ary mamela ny solosaina hadio amin'izany rehetra izany. (Ho an'ny tanjona fitiliana na te hamono ny firewall fotsiny izahay).

#! / bin / bash # Firewall an'ny tranoko. # Anaran-drakitra / sns / firewall_off # Nosoratan'i Jlcmux Twitter: @Jlcmux # #Deleting iptables Fitsipika -F # #Fampiharana politika tsy misy dikany (ekena ny fifamoivoizana rehetra) iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P HANDEHA HETRA

Mandeha ho azy.

Ankehitriny dia tsy maintsy mamorona ny script ao anatiny isika /etc/init.d/ ary manomboka ho azy ny serivisy ary afaka mitantana azy amin'ny fomba milamina kokoa isika.

#! / bin / bash # Firewall an'ny tranoko. # Anaran-drakitra /etc/init.d/ firewall # Nosoratan'i Jlcmux Twitter: Tranga @Jlcmux $ 1 eo am-piandohana) / sns / firewall_on ;; ajanony) / sns / firewall_off ;; status) iptables -L ;; *) echo "Syntax diso. Valid = /etc/init.d/ fanombohana firewall | fijanonana | status ;; esac

fanazavana:

Ity script farany napetrakay ity /etc/init.d/ miaraka amin'ny anarana Firewall. Ka raha te hitantana ny firewall isika dia afaka mampiasa ny baiko /etc/init.d/ fanombohana firewall. Toy izany koa no ahafahantsika manakana azy io na mahita ny fanjakana.

Hanitsy ny fisie izahay izao /etc/rc.local ary mametraka zavatra toy ny: /etc/init.d/ fanombohana firewall manomboka amin'ny rafitra.

Ary koa. Ity no tapany faharoa. Manantena aho fa hitondra zavatra ho anao rehetra izany. Amin'ny manaraka dia hitantsika ny Proxy sy IDS.


Ny atin'ny lahatsoratra dia manaraka ny fitsipiky ny etika fanonta. Raha hitatitra tsindry diso eto.

7 hevitra, avelao ny anao

Avelao ny hevitrao

Ny adiresy email dia tsy ho namoaka. Mitaky saha dia marika amin'ny *

*

*

  1. Tompon'andraikitra amin'ny data: Miguel Ángel Gatón
  2. Tanjon'ny angona: Control SPAM, fitantanana hevitra.
  3. Legitimation: Ny fanekenao
  4. Fifandraisana momba ny angona: Tsy hampitaina amin'ny antoko fahatelo ny angona raha tsy amin'ny adidy ara-dalàna.
  5. Fitehirizana angona: Database nomen'ny Occentus Networks (EU)
  6. Zo: Amin'ny fotoana rehetra, azonao atao ny mametra, mamerina ary mamafa ny mombamomba anao.

  1.   hunter dia hoy izy:

    Raha mampiasa Debian ianao, dia misy fonosana ao amin'ny repo (maharitra maharitra) izay manao izany, mametraka ny lalàna ankehitriny ao amin'ny /etc/iptables/rules.v4 na v6 miankina amin'ny zavatra ampiasainao ary avy eo mampihatra azy ireo aminao rehefa manainga ny rafitra ianao.

  2.   ocz dia hoy izy:

    Amin'ny fampiharana, ny fanadiovana ny rindrambaiko mahazatra firewall iptables (sy ny fampiasana ny NAT dia tsy ho araka ny fijeriko azy), amin'ny ankabeazan'ny toe-javatra, dia misy fitsipika iray mamoaka sy mamerina ireo politika default amin'ny ACCEPT.
    Saingy amin'ny teôria, ary raha ny fahalalako azy, ho fanampin'izany dia mila mamafa ireo tadiny tsy misy default ianao ary mamerina ireo kaontera. Hetsika tokony ho raisina an-tsaina fa ankoatry ny "sivana" dia misy latabatra hafa, (tsy maintsy atao ny mamaky ny rakitra "/ proc / net / ip_tables_names" ho an'ity).

    Raha ny fanazavana, nilaza ny orthodoxy fa tsy maintsy efa misy firewall alohan'ny hisian'ny tambajotra. Tsy fantatro ny fomba fanatanterahana izany amin'ny rafitra Linux hafa, fa amin'ny Debian dia azo ovaina ny script ary apetraka ao amin'ny lahatahiry "/etc/network/if-pre-up.d/".

    Firifitra tsara daholo. 😉

  3.   NauTiluS dia hoy izy:

    Salama, tsara be ilay lahatsoratra. Novakiako ireo boky 2 manontolo.

    Miandry ny manaraka 🙂

  4.   anonimo dia hoy izy:

    Fanontaniana iray avy amin'ny tsy fahalalako, manohy amin'ny iptables izahay, fa ho an'ny kinova kernel marobe dia manana nftables aho, efa mitsapa aho, ny fanontaniana dia hoe, nftables ve zavatra beta momba ny iptables? Mbola hitohy hampiasaina maharitra ve ny iptables?

    Misaotra anao.

    1.    Yukiteru dia hoy izy:

      Ny nftables dia misy ny fiasa rehetra an'ny iptables, ip6tables, arptables ary ebtables, izay mampiasa fotodrafitrasa vaovao na amin'ny kernelspace na ny mpampiasapace, izay miantoka ny fahombiazana bebe kokoa sy ny fanatsarana ny fiasa. nftables dia hisolo ny iptables sy ny fitaovana hafa voalaza rehetra fa tsy mandritra ny fotoana fohy, fara faharatsiny, mandra-pahatongan'ny fampiasana nftables be mpampiasa kokoa toy izany.

  5.   Alexander dia hoy izy:

    lahatsoratra tena tsara, te-hamaky bebe kokoa aho satria nohazavaina tsara .. arahaba misaotra anjara lehibe

  6.   Avrah dia hoy izy:

    Salama! Tsara be ny lahatsoratra roa.
    Ho fandraisana anjara azonao ampiana hatramin'ny farany amin'ity ampahany ity:

    "Ankehitriny dia hanitsy ny rakitra /etc/rc.local izahay ary hametraka zavatra toy ny: /etc/init.d/ firewall manomboka ka manomboka amin'ny rafitra izany."

    Ampio ity amin'ny rc.local.

    raha [-x /etc/init.d/ firewall]; dia
    /etc/init.d/ fanombohana firewall
    fi

    Midika izany fa raha misy "firewall" manana alalana famonoana, dia tanteraho, raha tsy izany.
    Raha tadiavinao ny tsy hanombohan'ny "firewall" dia esory fotsiny ireo alalana.

    Ohatra: chmod + x /etc/init.d/ firewall
    hampandeha azy isaky ny fanombohana na ...
    chmod -x /etc/init.d/ firewall
    hanafoanana azy io tanteraka.

    Misaotra!