Matlamat tutorial ini adalah mengawal rangkaian kami, mengelakkan gangguan pihak "tetamu yang tidak diingini" lain yang dari dalam ingin melihat lantai (ungkapan Cuba yang bermaksud mengganggu, bercinta, dll), virus "packer", serangan luaran atau hanya untuk keseronokan mengetahui bahawa kita dapat tidur dengan tenang .
Nota: Ingatlah kebijakan iptables, TERIMA segala-galanya atau HILANGKAN semuanya, mereka boleh berguna, dalam beberapa kes dan bukan pada yang lain, yang bergantung pada kita, bahawa semua yang berlaku di rangkaian, adalah perniagaan kita, dan hanya milik kita, ya, milik anda , milik saya, dari orang yang membaca tutorial, tetapi tidak tahu bagaimana melaksanakannya, atau dari orang yang membacanya dan menerapkannya dengan baik.
Naik awak tetap !!!
Perkara pertama adalah untuk mengetahui, port apa yang dimiliki setiap perkhidmatan pada komputer dengan GNU / Linux terpasang, untuk itu, anda tidak perlu bertanya kepada sesiapa pun, atau terlibat dalam carian Google atau berunding dengan sarjana mengenai perkara ini, cukup baca fail. Fail kecil? Baiklah, fail kecil.
/ etc / services
Tetapi apa yang terkandung di dalamnya / etc / services?
Sangat mudah, penerangan semua perkhidmatan dan pelabuhan ada untuk perkhidmatan ini sama ada oleh TCP atau UDP, secara teratur dan menaik. Perkhidmatan dan pelabuhan tersebut telah diisytiharkan oleh IANA (Pihak Berkuasa Bilangan yang Ditugaskan di Internet).
Bermain dengan iptables
Sebagai langkah pertama, kita akan mempunyai PC, yang akan menjadi mesin ujian, memanggilnya seperti yang anda mahukan, Lucy, Karla atau Naomi, saya akan memanggilnya Bessie.
Keadaan:
Baiklah, Bessie adalah mesin projek yang akan mempunyai VSFTPd dipasang, OpenSSH berlari, dan a Apache2 yang dipasang sekali untuk penanda aras (ujian prestasi, tetapi kini hanya digunakan bersama dengan phpMyAdmin untuk mentadbir pangkalan data MySQL yang digunakan secara dalaman dari semasa ke semasa.
Catatan untuk diambil:
Ftp, ssh, apache2 dan mysql, adalah perkhidmatan yang menerima permintaan pada PC ini, jadi kami harus mengambil kira port yang mereka gunakan.
Sekiranya saya tidak salah dan / etc / services xD tidak berbohong, ftp menggunakan port 20 dan 21, ssh secara lalai 22 atau yang lain, jika telah ditentukan dalam konfigurasi (dalam beberapa catatan lain saya akan bercakap mengenai cara mengkonfigurasi SSH sedikit lebih banyak daripada yang biasa diketahui), Apache 80 atau 443 jika bersama SSL, dan MySQL 3306.
Sekarang kita memerlukan perincian lain, alamat IP PC yang akan berinteraksi dengan Bessie, supaya anggota bomba kita, di antaranya, tidak memijak selang (bermaksud tiada konflik haha).
Pepe, pemaju di PHP + MySQL, hanya akan mempunyai akses ke port 20-21, 80, 443 dan 3306, Frank bahawa dia ingin mengemas kini laman web projek yang akan dihantar dalam sebulan, dia hanya akan mempunyai akses ke port 80 / 443 dan 3306 sekiranya anda perlu membuat pembetulan di DB, dan saya akan mempunyai akses ke semua sumber di pelayan (dan saya mahu melindungi log masuk dengan ssh oleh IP dan MAC). Ping mesti diaktifkan sekiranya kita mahu meninjau mesin pada suatu ketika. Rangkaian kami adalah kelas C jenis 10.8.0.0/16.
Kami akan memulakan fail teks biasa yang dipanggil firewall.sh di mana ia akan mengandungi yang berikut:
Tampal No.4446 (iptables Skrip)
Oleh itu, dengan garis panduan ini, anda membenarkan akses kepada anggota DevTeam, anda melindungi diri anda, dan anda melindungi PC, saya rasa dijelaskan dengan lebih baik, bahkan dalam mimpi. Tinggal untuk memberikannya izin pelaksanaan, dan semuanya akan siap digunakan.
Terdapat alat yang, melalui GUI yang bagus, memungkinkan pengguna pemula untuk mengkonfigurasi firewall PC mereka, seperti "BadTuxWall", yang memerlukan Java. Juga FwBuilder, QT, yang telah dibahas di sini atau "Firewall-Jay", dengan antara muka dalam ncurses. Pada pendapat peribadi saya, saya suka melakukannya dalam teks biasa, jadi saya memaksa diri untuk belajar.
Itu sahaja, sampai jumpa lagi untuk terus menerangkan, kelewatan balas, beberapa konfigurasi, proses atau perkhidmatan lain.
hebat saya menantikan ssh salam, pos baik, salam.
Saya suka itu, saya akan menyiapkan soalan saya ...
# Benarkan Kemasukan ke alamat IP 192.168.0.15 dengan alamat fizikal 00: 01: 02: 03: 04: 05
iptables -A INPUT -s 192.168.0.15 -m mac –mac-source 00: 01: 02: 03: 04: 05 -p tcp –dport 22 -m state -state BARU -j MENERIMA
Sekiranya anda ingin menambahkan lebih banyak alamat IP dan mac, adalah masalah memasukkan rentetan INPUT lain yang berbeza-beza dengan alamat IP dan mac.
Edit: kerana WordPress tidak sesuai dengan tanda hubung berganda, bahagian perintah berikut mempunyai tanda hubung berganda
- - sumber mac 00: 01…
- - dport 22 ...
- - Nyatakan BARU ...
Sekiranya anda mahu, anda boleh menggunakan tag «kod» di sini anda meletakkan kod «/ kod» dan kedua-dua skrip akan berfungsi dengan sempurna 😉
Jelas menukar "dan" dengan simbol-simbol kurang-apa dan lebih besar-apa
Soalan. Semasa anda memasang pelayan, baik itu ssh atau apache atau apa sahaja. Pelabuhan tidak dibuka dengan sendirinya? Apakah perbezaan antara membiarkannya seperti ini atau membukanya dengan cara ini?