iptables, een benadering van een echt geval

Het doel van deze tutorial is controle over ons netwerk, het vermijden van ergernissen van een andere 'ongewenste gast' die van binnenuit de vloer wil zien (Cubaanse uitdrukking die betekent lastig vallen, neuken, enz.), 'packer'-virus, aanvallen van buitenaf of gewoon voor het plezier dat te weten we kunnen rustig slapen.

notitie: Onthoud het iptables-beleid, ACCEPTEER alles of WEIGER alles, ze kunnen nuttig zijn, in sommige gevallen en niet in andere, dat hangt van ons af, dat alles wat er op het netwerk gebeurt, onze zaak is, en alleen de onze, ja, die van jou, de mijne, van degene die de tutorial heeft gelezen, maar niet weet hoe hij deze moet uitvoeren, of degene die het heeft gelezen en het te goed heeft toegepast.

Rijd je verblijf !!!

Het eerste dat u moet weten, is welke poort elke service inneemt op een computer waarop GNU / Linux is geïnstalleerd, daarvoor hoeft u niemand te vragen, of betrokken te raken bij Google zoeken of een geleerde raadplegen over het onderwerp, lees gewoon een bestand . Een klein bestand? Nou ja, een klein dossier.

/ Etc / services

Maar wat zit er in / Etc / services?

Heel eenvoudig, de beschrijving van alles diensten en havens bestaande voor genoemde services, hetzij via TCP of UDP, op een georganiseerde en oplopende manier. Deze diensten en havens zijn aangegeven door de IANA (Internet Assigned Numbers Authority).

Spelen met iptables

Als eerste stappen zullen we een pc hebben, die de testmachine zal zijn, noem het zoals je wilt, Lucy, Karla of Naomi, ik zal het noemen Bessie.

situatie:

Bessie is een projectmachine die een VSFTPd gemonteerd, OpenSSH hardlopen, en een Apache2 dat eenmaal is geïnstalleerd voor benchmarking (prestatie test), maar wordt nu alleen gebruikt in combinatie met phpMyAdmin om de databases van MySQL die van tijd tot tijd intern worden gebruikt.

Aantekeningen om te maken:

Ftp, ssh, apache2 en mysql zijn de services die verzoeken ontvangen op deze pc, dus we moeten rekening houden met de poorten die ze gebruiken.

Als ik het niet mis heb en / Etc / services vertelt geen leugens xD, ftp gebruikt poort 20 en 21, ssh standaard 22 of een andere, als het is gedefinieerd in de configuratie (in een ander bericht zal ik het hebben over hoe te configureren SSH iets meer dan normaal bekend is), Apache 80 of 443 als het met SSL en MySQL 3306 is.

Nu hebben we nog een detail nodig, de IP-adressen van de pc's die met Bessie gaan communiceren, zodat onze brandweerlieden onderling niet op de slangen trappen (betekent geen conflict haha).

Pepe, de ontwikkelaar in PHP + MySQL, heeft alleen toegang tot de poorten 20-21, 80, 443 en 3306, Frank dat het zijn ding is om de webpagina van het project dat binnen een maand moet worden opgeleverd, bij te werken, hij zal alleen toegang hebben naar poort 80/443 en 3306 voor het geval u enige correctie in de database moet aanbrengen, en ik heb toegang tot alle bronnen op de server (en ik wil de login beschermen met ssh door IP en MAC). We moeten de ping activeren voor het geval we de machine ooit willen pollen. Ons netwerk is klasse C van het type 10.8.0.0/16.

We starten een bestand met platte tekst met de naam firewall.sh waarin het het volgende zal bevatten:

Plak nr. 4446 (Script iptables)

En dus, met deze regels, geef je toegang tot de DevTeam-leden, bescherm je jezelf en bescherm je de pc, denk ik beter uitgelegd, zelfs niet in dromen. Het blijft alleen om het uitvoeringsmachtigingen te geven en alles is klaar voor gebruik.

Er zijn tools waarmee beginnende gebruikers via een mooie GUI de firewall van hun pc's kunnen configureren, zoals "BadTuxWall", waarvoor Java nodig is. Ook de FwBuilder, QT, die hier al is besproken of de "Firewall-Jay", met een interface in ncurses. Naar mijn persoonlijke mening doe ik het graag in platte tekst, dus ik dwing mezelf om te leren.

Dat is alles, tot ziens om door te gaan met het uitleggen, de pluis van de tegenfluff, van een andere configuratie, proces of service.