iptables, приближение к реальному случаю

Цель этого урока - контролировать нашу сеть, избегая раздражения со стороны какого-либо другого «нежелательного гостя», который изнутри хочет распилить пол (кубинское выражение, которое означает беспокоить, трахаться и т. д.), вируса «упаковщика», внешних атак или просто ради удовольствия узнать, что мы может спать спокойно.

примечание: Запомните политики iptables, ПРИНИМАЙТЕ все или ОТКАЗЫВАЙТЕ все, они могут быть полезны в одних случаях и не в других, это зависит от нас, что все, что происходит в сети, является нашим делом, и только нашим, да, вашим, мой, от того, кто прочитал руководство, но не знает, как его запустить, или от того, кто прочитал его и применил его слишком хорошо.

Ездить ты останься !!!

Во-первых, нужно знать, какой порт занимает каждая служба на компьютере с установленным GNU / Linux, для этого вам не нужно никого спрашивать, участвовать в поиске в Google или консультироваться с ученым по этому вопросу, просто прочтите файл. . Маленький файл? Ну да, небольшой файл.

/ etc / services

Но что в нем содержится / etc / services?

Очень просто, описание всего услуги и порты Существуют для этих служб либо по TCP, либо по UDP, организованным и восходящим образом. Указанные услуги и порты были объявлены IANA (Internet Assigned Numbers Authority).

Играем с iptables

В качестве первых шагов у нас будет ПК, который будет тестовой машиной, назовите его как хотите, Люси, Карла или Наоми, я назову его Бесси.

ситуация:

Что ж, Бесси - это проектная машина, у которой будет ВСФТПд установленный, OpenSSH бег, и Apache2 который был установлен один раз для тестирования (тест производительности), но теперь используется только вместе с PHPMYADMIN управлять базами данных MySQL которые время от времени используются внутри компании.

Заметки взять:

Ftp, ssh, apache2 и mysql - это службы, которые получают запросы на этом ПК, поэтому мы должны учитывать порты, которые они используют.

Если я не ошибаюсь и / etc / services не врет xD, ftp использует порт 20 и 21, ssh по умолчанию 22 или какой-то другой, если он был определен в конфигурации (в другом посте я расскажу о том, как настроить SSH немного больше, чем обычно известно), Apache 80 или 443, если он с SSL, и MySQL 3306.

Теперь нам нужна еще одна деталь, IP-адреса ПК, которые будут взаимодействовать с Бесси, чтобы наши пожарные между собой не наступали на шланги (означает отсутствие конфликта, ха-ха).

Пепе, разработчик PHP + MySQL, будет иметь доступ только к портам 20-21, 80, 443 и 3306, Фрэнк, что его задача - обновить веб-страницу проекта, который будет доставлен в течение месяца, у него будет только доступ на порт 80/443 и 3306, если вам нужно внести какие-либо исправления в БД, и у меня будет доступ ко всем ресурсам на сервере (и я хочу защитить логин с помощью ssh по IP и MAC). Мы должны активировать пинг на случай, если в какой-то момент мы захотим опросить машину. Наша сеть относится к классу C типа 10.8.0.0/16.

Мы запустим простой текстовый файл с именем брандмауэр.sh в котором он будет содержать следующее:

Вставить No 4446 (Скрипт iptables)

Итак, с помощью этих строк вы разрешаете доступ участникам DevTeam, защищаете себя и защищаете ПК, я думаю, лучше объяснить, даже не во сне. Осталось только дать ему права на выполнение, и все будет готово к работе.

Существуют инструменты, которые с помощью красивого графического интерфейса позволяют начинающим пользователям настраивать брандмауэр своих компьютеров, например «BadTuxWall», для которого требуется Java. Также FwBuilder, QT, который уже обсуждался здесь, или "Firewall-Jay" с интерфейсом в ncurses. По моему личному мнению, мне нравится делать это простым текстом, поэтому я заставляю себя учиться.

Вот и все, до скорой встречи, чтобы продолжить объяснение, вздор какой-то другой конфигурации, процесса или услуги.