मध्ये मागील पोस्ट फायरवॉल म्हणून कार्य करण्यासाठी आम्ही आयपीटेबल्सचे कॉन्फिगरेशन पाहिले. आता आपण ती स्क्रिप्ट कशी तयार करावीत हे पाहता येईल जेणेकरून सिस्टम सुरू झाल्यावर नियम आपोआप अंमलात आणले जातील आणि आम्ही त्या नियमांना क्षणभर कसे दूर करू किंवा थांबवू शकतो.
स्क्रिप्ट करण्यापूर्वी आणि ते कसे दिसते ते दर्शविण्यापूर्वी आपण NAT आणि या उपकरणाद्वारे आम्हाला काय करायचे आहे या संकल्पनेबद्दल थोडेसे बोलू या.
NAT आणि उदाहरणाचा संदर्भ.
आम्ही NAT बद्दल बोलतो तेव्हा आम्ही यास मार्ग देऊन गोंधळ घालू शकतो कारण दोघे एकमेकांना दोन भिन्न नेटवर्क जोडण्याचे काम करतात. फरक खरोखर असा आहे की एका स्थानिक नेटवर्कवरून दुसर्या जाण्यासाठी राउटिंग लागू केले जाते आणि हे अन्य नेटवर्क राउटरशी कनेक्ट होऊ शकते आणि इंटरनेटवर जाऊ शकते.
जेथून, आम्ही NAT बद्दल बोलतो, तेव्हा आम्ही स्थानिक किंवा खाजगी नेटवर्क कडून सार्वजनिक नेटवर्क किंवा इंटरनेटवर पॅकेट्स रूट करण्याविषयी बोलतो. हे इंटरनेटवर पब्लिक आयपी टाकून पॅकेट्स मुखवटा करुन हे करते. दुसर्या शब्दांत, आम्हाला राउटरची आवश्यकता नाही, कारण सार्वजनिक आयपी थेट जीएनयू / लिनक्स संगणकाच्या मालकीची आहे.
आम्ही स्थानिक नेटवर्कमधून इंटरनेटवर जाण्यासाठी आमचे लिनक्स राउटर / फायरवॉल म्हणून वापरत आहोत या घोषणेसह हे कार्य करू. परंतु येथे दोन परिस्थिती दिसू शकतात.
- आमचे लिनक्स सर्व्हिस प्रोव्हाईडरच्या राउटर आणि स्थानिक नेटवर्क दरम्यान आहे.
या प्रकरणात, राउटर आणि आमच्या लिनक्स मध्ये एक नेटवर्क असेल, आणि लिनक्स आणि स्थानिक नेटवर्क दरम्यान एक वेगळं नेटवर्क असेल. याचा अर्थ असा आहे की आमच्या राउटरला NAT नुसार करणे आवश्यक नाही, जसे की स्पष्ट केल्यानुसार सामान्य रहदारी मार्ग मागील पोस्ट ते चांगले होईल.
- आमच्या लिनक्सचा एक इंटरफेस स्थानिक नेटवर्कशी कनेक्ट केलेला आहे आणि इतर इंटरफेसद्वारे तो थेट पब्लिक आयपी प्राप्त करतो ज्यासह तो नेव्हिगेट करतो.
याचा अर्थ असा की आपल्या लिनक्सने NAT करणे आवश्यक आहे जेणेकरुन पॅकेट्स इंटरनेटपर्यंत पोहोचू शकतील.
त्यावेळी या छोट्याशा प्रयोगशाळेच्या उद्देशाने, आम्ही असे म्हणू की आपल्या लिनक्सला एक सार्वजनिक आयपी प्राप्त होतो आणि त्यामुळे नेटच्या प्रभावाची चाचणी घेण्यात सक्षम होतो.
NAT करण्यासाठी आम्ही सिंटॅक्स वापरु
iptables -t nat -A POSTROUTING -O eth1 -j मस्करेड
जेथे एथ 1 इंटरफेस आहे जिथे आपल्याला सार्वजनिक आयपी प्राप्त होतो, म्हणजेच आम्ही इंटरनेटवर कुठे जातो.
Iptables स्क्रिप्ट तयार करत आहे
समजा असे समजा: 172.26.0.0 हे आपले स्थानिक नेटवर्क आहे आणि 81.2.3.4 हा सार्वजनिक आयपी आहे ज्यासह आपण इंटरनेटवर जातो. (हे एक स्थिर आयपी आहे). माझ्याकडे इंटरफेस आहेत एथ 0 (लोकल नेटवर्क)
eth1 (सार्वजनिक नेटवर्क).
त्यात मुळात एक स्क्रिप्ट तयार असते ज्यास /etc/init.d/firestop (उदाहरणार्थ) वरून कॉल केले जाऊ शकते. आणि या स्क्रिप्टवरून आम्ही आमच्या सिस्टम डेमन प्रमाणेच आपल्या कॉन्फिगरेशनची स्थिती प्रारंभ करू, थांबवू किंवा तपासू शकतो.
समजा माझ्या आयपटेबल्सचे नियम आहेतः
#! / बिन / बॅश # माझ्या घराची फायरवॉल. # फाईलचे नाव / इत्यादी / फायरवॉल_ऑन # Jlcmux ट्विटर द्वाराः @Jlcmux # # मूलभूत धोरण. iptables -P इनपुट आउट ड्रॉप iptables -P आऊटपुट ड्रॉप iptables -P फॉरवर्ड ड्रॉप # #NAT एथ 0 ते एथ 1 वर इंटरनेट सामायिक करण्यासाठी n नॅट -ए पोस्ट -ओ पोस्टिंग -O एथ 1 -j स्नेट - टू-सोर्स 81.2.3.4 # # माझ्या आयपटेबल्सने सुरू केलेल्या इनकमिंग कनेक्शनला परवानगी द्या -ए फॉरवर्ड-मी स्टेट - स्टेट एस्टेब्लिशिड, संबंधित -ज प्रवेश प्राप्त करा # # अधिकृत आउटगोइंग ट्रॅफिक इप्टेबल्स -ए फॉरवर्ड -i एथ0 -o एथ 1 -पी टीसीपी --डोर्ट 80 -j एसीपीपीटी iptables -ए फॉरवर्ड -i एथ0-ओ एथ 1 -पी टीसीपी --डपोर्ट 443 -जे एसीसीपीटी इप्टेबल्स -ए फॉरवर्ड -i एथ0 -ओ एथ 1 -पी यूडीपी --dport 53 -j एसीसीपीटी
स्पष्टीकरणः
मुळात स्क्रिप्ट निम्नलिखित करते:
- प्रथम सर्व नेव्हिगेशन, कनेक्शन आणि रहदारी प्रतिबंधित करा. (मूलभूत फायरवॉल धोरणे)
- नंतर गंतव्य eth1 सह NAT तयार करा. आमच्याकडे स्थिर सार्वजनिक आयपी असल्याचे दर्शवित आहे "81.2.3.4"
- माझ्याद्वारे सुरू केलेल्या कनेक्शनची पाकिटे मिळविण्यासाठी आवश्यक पोर्ट उघडते.
- परदेशी एचटीटीपी, एचटीटीपीएस आणि डीएनएस रहदारी स्वीकारतो.
आम्हाला नॅव्हिगेट करण्यासाठी आमची उपकरणे वापरू इच्छित असतील तर आम्ही रेषांची पुनरावृत्ती केली पाहिजे आणि फॉरवर्डला इनपुट किंवा आऊटपुटमध्ये योग्य ते बदलले पाहिजे.
स्क्रिप्ट रद्द करा.
आता आपण एक स्क्रिप्ट तयार करणार आहोत जी वरील सर्व गोष्टी अधिलिखित करेल आणि संगणकास या सर्व गोष्टींपासून साफ करेल. (चाचणीच्या उद्देशाने किंवा आम्हाला फक्त फायरवॉल बंद करायचा आहे).
#! / बिन / बॅश # माझ्या घराची फायरवॉल. # फाईलचे नाव / इत्यादी / फायरवॉल_ऑफ # Jlcmux ट्विटर द्वाराः @Jlcmux # # डिलीटिंग iptables नियम -F # # डीफॉल्ट पॉलिसी लागू करणे (सर्व ट्रॅफिक स्वीकारले जाते) -P इनपुट ACCEPT iptables -P OUTPUT ACCEPT iptables -P फॉरवर्ड एसीसीपीटी
स्वयंचलित.
आता आपण स्क्रिप्ट आत तयार केले पाहिजे /etc/init.d/ आणि सेवा स्वयंचलितपणे सुरू होते आणि आम्ही हे अधिक आरामदायक मार्गाने व्यवस्थापित करू शकतो.
#! / बिन / बॅश # माझ्या घराची फायरवॉल. # फाईलचे नाव /etc/init.d/ फायरवॉल # Jlcmux ट्विटर द्वाराः @JLCuxux प्रकरण start 1 प्रारंभात) / वगैरे / फायरवॉल_ ऑन ;; थांबा) / इ / फायरवॉल_ऑफ ;; स्थिती) iptables -L ;; *) प्रतिध्वनी "चुकीचे वाक्यरचना. वैध = /etc/init.d/ फायरवॉल प्रारंभ | थांबा | स्थिती;; एएसएसी
स्पष्टीकरणः
ही शेवटची स्क्रिप्ट आम्ही घातली आहे /etc/init.d/ नावासह फायरवॉल. जर आपल्याला फायरवॉल व्यवस्थापित करायचा असेल तर आपण ही आज्ञा वापरू शकतो /etc/init.d/ फायरवॉल प्रारंभ. त्याच प्रकारे आपण हे थांबवू किंवा राज्य पाहू शकतो.
आता आपण फाईल एडिट करणार आहोत /etc/rc.local आणि आम्ही असे काहीतरी ठेवलेः /etc/init.d/ फायरवॉल प्रारंभ प्रणाली सुरू करण्यासाठी.
सुद्धा. हा दुसरा भाग आहे. मला आशा आहे की हे आपल्या सर्वांसाठी काहीतरी आणेल. पुढील मध्ये आपण प्रॉक्सी आणि आयडी पाहू.
जर आपण डेबियन वापरत असाल तर रेपोमध्ये एक पॅकेज आहे (इप्टेबल्स-पर्सिस्टंट) जे ते करते, ते आपण सध्या वापरत असलेल्या नियमांवर /etc/iptables/rules.v4 किंवा v6 मध्ये डंप करते आणि नंतर ते आपल्यास लागू करतात. जेव्हा आपण सिस्टम उचलता.
सराव मध्ये, पारंपारिक इप्टेबल्स फायरवॉलची कॉन्फिगरेशन साफ करणे (आणि NAT वापरणे माझ्या दृष्टीकोनातून असे होणार नाही), बहुतेक प्रकरणांमध्ये नियम फ्लश होतो आणि एसीसीईपीटीवर डीफॉल्ट पॉलिसी रीसेट करणे पुरेसे असते.
परंतु सिद्धांतानुसार, आणि मला माहिती आहे त्या व्यतिरिक्त आपल्याला विना-डीफॉल्ट तार साफ करणे आणि काउंटर रीसेट करणे देखील आवश्यक आहे. "फिल्टर" व्यतिरिक्त इतर सारण्या देखील लक्षात घेण्याकरिता केल्या गेलेल्या कृती (यासाठी "/ proc / नेट / ip_tables_names" फाईल वाचणे अनिवार्य आहे).
तसे, ऑर्थोडॉक्सी असे म्हणतात की नेटवर्क होण्यापूर्वी फायरवॉल आधीच असणे आवश्यक आहे. हे इतर लिनक्स सिस्टममध्ये कसे प्राप्त केले जाते हे मला माहित नाही, परंतु डेबियनमध्ये स्क्रिप्ट रुपांतरित केली जाऊ शकते आणि "/etc/network/if-pre-up.d/" निर्देशिकेत सेट केले जाऊ शकते.
प्रत्येकाला चांगली फायरवॉलिंग. 😉
नमस्कार, पोस्ट खूप चांगले आहे. मी संपूर्ण 2 खंड वाचले आहेत.
पुढील प्रतीक्षेत 🙂
माझ्या अज्ञानाचा प्रश्न, आम्ही इप्टेबल्ससह चालू ठेवतो, परंतु कर्नलच्या अनेक आवृत्त्यांकरिता आमच्याकडे नफ्टेबल आहेत, मी आधीपासूनच चाचणी घेत आहे, प्रश्न म्हणजे एनप्टेबल इप्टेबल्सच्या बाबतीत बीटा काहीतरी आहे का? Iptables जास्त काळ वापरणे सुरू ठेवेल?
धन्यवाद.
nftables मध्ये iptables, ip6tables, arptables आणि ebtables ची सर्व कार्यक्षमता समाविष्ट आहे, सर्व कर्नलस्पेस व युजरस्पेस मध्ये नवीन पायाभूत सुविधा वापरत आहे, जे उत्तम कामगिरी व सुधारित कार्यक्षमता सुनिश्चित करते. एनएफटेबल्स इप्टेबल्स आणि इतर सर्व साधनांचा उल्लेख करेल परंतु आत्तापर्यंत नाही, किमान नफटेबल्सचा अधिक व्यापक वापर होईपर्यंत नाही.
खूप चांगली पोस्ट, मला हे अधिक वाचण्याची इच्छा आहे कारण हे फार चांगले वर्णन केले आहे .. शुभेच्छा धन्यवाद मोठ्या योगदानाने
नमस्कार! दोन्ही पोस्ट खूप चांगले.
योगदान म्हणून आपण या भागाच्या शेवटी जोडू शकता:
"आता आम्ही /etc/rc.local फाइल संपादित करणार आहोत आणि असे काहीतरी ठेवू: /etc/init.d/firestop जेणेकरून ती सिस्टमपासून सुरू होईल."
Rc.local मध्ये हे जोडा.
जर [-x /etc/init.d/ फायरवॉल]; मग
/etc/init.d/ फायरवॉल प्रारंभ
fi
ज्याचा अर्थ असा आहे की जर "फायरवॉल" कडे अंमलबजावणीची परवानगी असेल तर ती कार्यान्वित करा.
आपण "फायरवॉल" सुरू करू इच्छित नसल्यास आपणास फक्त परवानग्या काढाव्या लागतील.
उदाहरणार्थ: chmod + x /etc/init.d/ फायरवॉल
प्रत्येक प्रारंभावर ते चालू करण्यासाठी किंवा ...
chmod -x /etc/init.d/ फायरवॉल
पूर्णपणे अक्षम करण्यासाठी.
धन्यवाद!