iptables, бодит тохиолдлын ойролцоо тоо

Энэхүү гарын авлагын зорилго нь манай сүлжээг хянахДотоодоос биднийг харахыг хүсдэг бусад "хүсээгүй зочин" -ын бухимдлаас зайлсхийх (төвөгшөөх, зөндөө гэх мэт Кубын илэрхийлэл), "савлагч" вирус, гадны халдлага эсвэл зүгээр л тайван унтаж чадна гэдгээ мэдэхийн тулд. .

ТэмдэглэлIptables бодлогыг санаарай, бүгдийг ХҮЛЭЭН АВААРАЙ эсвэл бүх зүйлийг DENY болгоорой, тэдгээр нь зарим тохиолдолд биш, харин биднээс шалтгаалах, сүлжээнд болж буй бүх зүйл бидний бизнес, зөвхөн биднийх, зөвхөн таных байх нь ашигтай байж болох юм. , минийх, хичээлийг уншсан, гэхдээ яаж ажиллуулахаа мэдэхгүй байгаа хүнээс эсвэл үүнийг уншаад хэтэрхий сайн хэрэгжүүлсэн хүнээс.

Морь унаад үлд !!!

Хамгийн эхний зүйл бол GNU / Linux суулгагдсан компьютер дээр үйлчилгээ тус бүр нь ямар боомт эзэлдэг болохыг мэдэх явдал юм. Үүний тулд та хэн нэгнээс асуух, эсвэл Google-тэй холбогдох эсвэл энэ сэдвээр эрдэмтэнтэй зөвлөлдөх шаардлагагүй болно. Жаахан файл уу? Тийм ээ, жижиг файл.

/ etc / services

Гэхдээ энэ нь юу агуулдаг вэ / etc / services?

Маш хялбар, бүгдийн тайлбар үйлчилгээ ба портууд TCP эсвэл UDP-ийн эдгээр үйлчилгээнд зохион байгуулалттай, өгсөх хэлбэрээр ашиглаж болно. Дээрх үйлчилгээ, боомтуудыг IANA (Интернэтэд бүртгэгдсэн тоон мэдэгдлүүд).

Iptables ашиглан тоглох

Эхний алхамууд дээр бид туршилтын машин болох PC-тэй болно, үүнийг хүссэн зүйлээ дууд, Люси, Карла, Наоми, би үүнийг нэрлэнэ. Бесси.

Нөхцөл байдал:

За, Бесси бол төслийн машин юм VSFTPd холбосон, OpenSSH гүйж, а Apache2 жишиг тогтоох зорилгоор нэг удаа суулгасан (гүйцэтгэлийн тест), гэхдээ одоо зөвхөн хамт ашиглагдаж байна phpMyAdmin мэдээллийн санг удирдах MySQL дотооддоо үе үе ашигладаг.

Авах тэмдэглэл:

Ftp, ssh, apache2 болон mysql нь энэ компьютер дээр хүсэлт хүлээн авч байгаа үйлчилгээнүүд тул бид тэдгээрийн ашигладаг портуудыг анхаарч үзэх хэрэгтэй.

Хэрэв би буруугүй бол / etc / services худлаа ярьдаггүй xD, ftp нь тохиргоонд тодорхойлогдсон бол порт 20 ба 21, анхдагчаар ssh ашигладаг, эсвэлбусад зарим бичлэгт би хэрхэн тохируулах талаар ярих болно SSH ердийнхөөс арай илүү юм), SSL-тэй бол Apache 80 эсвэл 443, MySQL 3306.

Одоо бидэнд гал сөнөөгчид хоолойгоо гишгэхгүйн тулд Бесситэй харьцах компьютеруудын IP хаягууд хэрэгтэй болно (зөрчилдөхгүй гэсэн үг хаха).

PHP + MySQL програмыг боловсруулдаг Пепе нь зөвхөн 20-21, 80, 443, 3306 портууд руу нэвтрэх боломжтой, Фрэнк, түүний хийх ажил бол вэбсайтын хуудсыг нэг сарын дотор шинэчлэх, зөвхөн 80 порт руу нэвтрэх боломжтой болно. / 443 ба 3306-г хэрэв танд ДБ-д залруулга хийх шаардлагатай бол би сервер дээрх бүх нөөцийг ашиглах боломжтой болно (би IP болон MAC-ээр ssh-р нэвтрэх эрхийг хамгаалахыг хүсч байна). Бид хэзээ нэгэн цагт машинаас санал асуулга авахыг хүсч байгаа тохиолдолд ping-ийг идэвхжүүлэх ёстой. Манай сүлжээ нь 10.8.0.0/16 төрлийн С ангилалтай.

Бид нэртэй текст файлыг эхлүүлэх болно галт хана .sh үүнд дараахь зүйлийг агуулна.

№4446 оо (скрипт iptables)

Тиймээс эдгээр мөрүүдээр та DevTeam-ийн гишүүдэд хандах, өөрийгөө хамгаалах, компьютерээ хамгаалах боломжийг олгодог. Энэ нь зөвхөн гүйцэтгэх зөвшөөрлийг өгөхөд л үлдэх бөгөөд бүх зүйл бэлэн болох болно.

Гайхамшигтай GUI-ээр дамжуулан шинэхэн хэрэглэгчид Java-г шаарддаг "BadTuxWall" гэх мэт компьютерынхаа галт ханыг тохируулах боломжийг олгодог хэрэгслүүд байдаг. Түүнчлэн энд аль хэдийн яригдсан FwBuilder, QT эсвэл "Firewall-Jay" сувилагч интерфэйстэй. Миний хувийн бодлоор би үүнийг энгийн текстээр хийх дуртай тул өөрийгөө хүчээр сурч мэднэ.

Энэ бол удахгүй болох өөр тохиргоо, процесс эсвэл үйлчилгээний эсрэг линтын хөвөнг үргэлжлүүлэн тайлбарлахаар уулзах болно.


Нийтлэлийн агуулга нь бидний зарчмуудыг баримталдаг редакцийн ёс зүй. Алдааны талаар мэдээлэхийн тулд товшино уу энд байна.

6 сэтгэгдэл, үлдээгээрэй

Сэтгэгдэлээ үлдээгээрэй

Таны и-мэйл хаяг хэвлэгдсэн байх болно.

*

*

  1. Мэдээллийг хариуцах: Мигель Анхель Гатан
  2. Мэдээллийн зорилго: СПАМ-ыг хянах, сэтгэгдлийн менежмент.
  3. Хууль ёсны байдал: Таны зөвшөөрөл
  4. Мэдээллийн харилцаа холбоо: Хуулийн үүргээс бусад тохиолдолд мэдээллийг гуравдагч этгээдэд дамжуулахгүй.
  5. Өгөгдөл хадгалах: Occentus Networks (ЕХ) -с зохион байгуулсан мэдээллийн сан
  6. Эрх: Та хүссэн үедээ мэдээллээ хязгаарлаж, сэргээж, устгаж болно.

  1.   Родолфо Алежандро гэж хэлэв

    агуу Би ssh мэндчилгээ, сайн бичлэг, мэндчилгээний нэгийг тэсэн ядан хүлээж байна.

  2.   Фаустод гэж хэлэв

    Би үүнд дуртай, би асуултаа бэлдэнэ ...

  3.   nwt_lazaro гэж хэлэв

    # 192.168.0.15 IP хаяг руу 00: 01: 02: 03: 04: 05 гэсэн физик хаягаар нэвтрэхийг зөвшөөрнө үү

    iptables -A INPUT -s 192.168.0.15 -m mac –mac-source 00: 01: 02: 03: 04: 05 -p tcp --dport 22 -m state -state NEW -j ХҮЛЭЭХ

    Хэрэв та илүү олон IP болон mac хаяг нэмэхийг хүсвэл IP болон mac хаягийг өөр өөр INPUT мөр оруулах шаардлагатай болно.

  4.   nwt_lazaro гэж хэлэв

    Би засварлаж байна: WordPress давхар зураастай таарахгүй тул командын дараах хэсгүүд давхар зураастай байв
    - - mac-source 00: 01…
    - - dport 22 ...
    - - муж улсын ШИНЭ ...

    1.    KZKG ^ Гаара гэж хэлэв

      Хэрэв та хүсвэл та «код» хаягийг ашиглаж болно, та «/ код» кодыг оруулаад хоёр скрипт төгс ажиллах болно.
      "Ба" -г юугаас бага, юугаар илүү гэсэн тэмдгээр өөрчлөх нь ойлгомжтой

  5.   @Jlcmux гэж хэлэв

    Асуулт. Серверээ суулгахдаа ssh эсвэл apache эсвэл бусад ямар ч зүйл бай. Боомт өөрөө нээгдэхгүй байна уу? Үүнийг ингэж үлдээх эсвэл ингээд нээх хоёрын хооронд ямар ялгаа байдаг вэ?