Ku xaqiijinta shabakaddaada waxyaabaha la adeegsado - Wakiil - NAT - IDS: QAYBTA 2

en el boostada hore Waxaan aragnay qaabeynta IPTables si ay ugu shaqeyso sidii Firewall. Hadda waxaan arki karnaa sida loo abuuro qoraalladaas si markaa xeerarka si toos ah loogu fuliyo markii nidaamku bilaabmayo, iyo sidoo kale sida aan uga takhalusi karno ama u joojin karno xeerarkaas daqiiqad.

Kahor intaadan samayn qoraalka oo aan ku tusin sida ay u egtahay, aan xoogaa ka hadalno NAT iyo fikradda waxa aan dooneyno inaan ku sameyno qalabkan.

NAT iyo Macnaha guud ee tusaalaha.

Markii aan ka hadlayno NAT, waxaan ku qaldi karnaa tan wadid, maadaama labadooduba mas'uul ka yihiin isku xirka laba shabakadood oo kala duwan. Farqiga dhabta ah ayaa ah in dariiqa loo adeegsado inuu ka baxo mid ka mid ah shabakadaha maxalliga ah isla markaana shabakaddan kale ay ku xirmi karto router-ka oo ay u bixi karto internetka.

Halka, markaan ka hadlayno NAT, waxaan ka hadleynaa xirmooyinka baakadaha ee shabakadda maxalliga ah ama kuwa gaarka loo leeyahay illaa shabakadda dadweynaha ama internetka. Tani waxay ku sameysaa iyadoo lagu daboolayo xirmooyinka iyadoo la gelinayo IP-ga dadweynaha ee ay la aadeyso internetka. Si kale haddii loo dhigo, uma baahnin router, maxaa yeelay IP-ga dadweynaha waxaa si toos ah u leh kombiyuutarka GNU / Linux.

NAT

Waxaan tan kula shaqeyn doonnaa halkudhigga aan u adeegsaneyno Linux-kayaga sidii router / firewall si aan uga baxno internetka shabakad maxalli ah. Laakiin halkan laba xaaladood ayaa ka muuqan kara.

  • In Linux-keena uu u dhexeeyo router-bixiyaha adeegga iyo shabakadda maxalliga ah.

Xaaladdan oo kale, inta u dhexeysa router-ka iyo Linux-keena waxaa jiri doona shabakad, iyo inta u dhexeysa Linux iyo shabakadda maxalliga ah waxaa jiri doona shabakad kale oo ka duwan. Tani waxay ka dhigan tahay in routerkeenu uusan u baahnayn inuu sameeyo NAT sidaas oo kale, iyadoo la raacayo wadada taraafikada ee fudud sida lagu sharaxay boostada hore Way fiicnaan laheyd.

  • In Linux-keena uu leeyahay interface ku xiran shabakada maxalliga ah iyo iyada oo loo marayo interface-ka kale wuxuu si toos ah u helayaa IP-ga dadweynaha oo ay ku socoto.

Tani waxay ka dhigan tahay in Linuxkeennu ay tahay inuu sameeyo NAT si baakadaha ay u gaaraan internetka.

Ujeeddooyinka shaybaarkan yar markaa, waxaan dhihi doonnaa in Linux-keena uu si toos ah u helo IP-ga dadweynaha oo markaa awood u yeesho inuu tijaabiyo saameynta NAT.

Si loo sameeyo NAT ka dib waxaan u adeegsannaa qaabeynta

 iptables -t nat -AQAADINTA -O eth1 -j MASQUERADE

Halkee eth1 ay tahay isgaarsiinta halka aan ka helno IP-ga dadweynaha, taasi waa, halka aan aadno internetka.

MASQUERADE waxaa la isticmaalaa marka ip uu yahay mid guud laakiin wuu ku kala duwanaan karaa waqtiga (firfircoonida). Haddii kale waxaan isticmaali karnaa SNAT –in-laga helo ip

Abuuritaanka qoraalka iptables

Ka soo qaad markaa: 172.26.0.0 waa shabakadeena maxalliga ah iyo 81.2.3.4 waa IP-ga dadweynaha ee aan ugu tagno internetka. (waa ip ma guurto ah). Waxaan hayaa isku xirnaanta eth0 (Shabakad maxalli ah)

eth1 (Shabakadda dadweynaha).

Asal ahaan waxay ka kooban tahay sameynta qoraal laga soo wici karo /etc/init.d/firestop (tusaale ahaan). iyo qoraalkan waxaan ka bilaabi karnaa, joojin karnaa ama ka hubin karnaa xaalada qaabkeena, sida aan ku sameyno nidaam daemon kasta.

Ka soo qaad in sharciyadayda IPTABLES ay yihiin:

#! / bin / bash # Firewall-ka gurigayga. # Magaca faylka / iwm / firewall_on # Waxaa qoray Jlcmux Twitter: @Jlcmux # # Siyaasad aasaasi ah. iptables -P INPOUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP # #NAT si loo wadaago internetka laga bilaabo eth0 ilaa eth1 iptables -t nat -A POSTROUTING -O eth1 -j SNAT --to-source 81.2.3.4
# # U oggolow isku xirnaanta soo socota ee ay bilaabayaan iptable--A FORWARD -m state - dowlad-goboleed DHISME, RELATED -j ACCEPT # # Gaadiidka la fasaxay ee iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 80 -j ACCEPT iptables -HADDII HOOSE -i eth0 -o eth1 -p tcp --dport 443 -j ACCEPT iptables -A FORWARD -i eth0 -o eth1 -p udp --dport 53 -j ACCEPT
Ha iloobin inaad siiso rukhsad dil

Sharaxa:

Qoraalku asal ahaan wuxuu sameeyaa waxyaabaha soo socda:

  1. Marka hore xaddid dhammaan marinnada, iskuxirka iyo taraafikada. (Xeerarka aasaasiga ah ee Firewall)
  2. Kadib ku abuur NAT leh meesha aad ku socotid1. oo tilmaamaysa inaan haysanno ip dadweynaha oo taagan "81.2.3.4"
  3. Waxay fureysaa dekedaha lagama maarmaanka u ah helitaanka xirmooyinka isku xirnaanta ee aan bilaabay.
  4. Wuxuu aqbalaa HTTP, HTTPS, iyo taraafikada DNS.
Shuruucda waxaa loogu talo galay taraafikada HORTA maxaa yeelay waxaan u adeegsanaa Linux ahaan Router ahaan, marka siyaasadaha waxaa loo adeegsadaa taraafikada ku sii socota Linux, taas oo ah, waxay u dhaqmeysaa sidii dhexdhexaadiye. Tani waxay ka dhigan tahay in Linux-keena aanu si dhab ah u socon karin ama u heli karin wax xog ah si toos ah. Waxay khuseysaa oo keliya kombuyuutarrada ku xiran, laakiin ma khuseyso nafteeda

Haddii aan rabnay inaan u isticmaalno qalabkeenna si aan u dhex marno waa inaan ku celcelinnaa khadadka oo aan u beddeleynaa HORUMAR u beddelasho ama ka bax sida ugu habboon.

Ka noqo qoraalka.

Hadda waxaan abuureynaa qoraal ka gudbaya dhammaan waxyaalaha kor ku xusan oo ka dhigaya kombiyuutarka nadiif intaas oo dhan. (Ujeeddooyinka imtixaanka ama waxaan dooneynaa inaan damino gidaarka).

#! / bin / bash # Firewall-ka gurigayga. # Magaca faylka / iwm / firewall_off # Waxaa qoray Jlcmux Twitter: @Jlcmux # #Tirtirka iptables Xeerarka -F # # Dalbashada siyaasadaha caadiga ah (taraafikada oo dhan waa la aqbalay)

Qalabaynta

Hadda waa inaan ku abuurnaa qoraalka gudaha /etc/init.d/ oo adeeggu si toos ah ayuu u bilaabmaa oo waxaan ugu maamuli karnaa si ka raaxo badan.

#! / bin / bash # Firewall-ka gurigayga. # Magaca faylka /etc/init.d/ firewall # Waxaa qoray Jlcmux Twitter: @Jlcmux kiiska $ 1 bilawgii) / etc / firewall_on ;; joogso) / iwm / firewall_off ;; mansab) iptables -L ;; *) echo "syntax qaldan. ansax = /etc/init.d/ firewall start | stop | status ;; esac

Sharaxa:

Qoraalkan ugu dambeeyay ee aan galnay /etc/init.d/ magaca leh galka dabka. Markaa haddii aan rabno inaan maamulno darbiyadda waxaan isticmaali karnaa amarka /etc/init.d/ firewall bilaabid. Si la mid ah waan joojin karnaa ama arki karnaa gobolka.

Hadda waxaan dooneynaa inaan wax ka bedelno feylka /etc/rc.local oo waxaan dhignaa wax sida: /etc/init.d/ firewall bilaw in laga bilaabo nidaamka.

Sidoo kale. Tani waa qaybtii labaad. Waxaan rajaynayaa inay wax idiin soo kordhiso dhammaantiin. In xiga waxaan arki wakiil iyo IDS.


7 faallooyin, ka tag taada

Ka tag faalladaada

cinwaanka email aan la daabacin doonaa. Beeraha loo baahan yahay waxaa lagu calaamadeeyay la *

*

*

  1. Masuul ka ah xogta: Miguel Ángel Gatón
  2. Ujeedada xogta: Xakamaynta SPAM, maaraynta faallooyinka.
  3. Sharci: Oggolaanshahaaga
  4. Isgaarsiinta xogta: Xogta looma gudbin doono dhinacyada saddexaad marka laga reebo waajibaadka sharciga ah.
  5. Kaydinta xogta: Macluumaadka ay martigelisay Shabakadaha Occentus (EU)
  6. Xuquuqda: Waqti kasta oo aad xadidi karto, soo ceshan karto oo tirtiri karto macluumaadkaaga.

  1.   ka fogaansho dijo

    Haddii aad isticmaaleysid Debian, waxaa jira xirmo kujira repo (iptables-joogto ah) taas oo si sax ah u sameysa taas, waxay daadinaysaa xeerarka hadda jira ee ku jira /etc/iptables/rules.v4 ama v6 iyadoo kuxiran waxaad isticmaaleyso ka dibna adiga ayey kugu khuseysaa marka aad nidaamka kor u qaaddo.

  2.   ocz dijo

    Ficil ahaan, in la nadiifiyo qaab-dhismeedka iptables-ka caadiga ah ee dhismaha (iyo isticmaalka NAT ma noqon doonto sidaas aragtideyda), xaaladaha badankood qaanuunka waa la dhaqaajiyaa oo dib-u-dejinta siyaasadaha asalka u ah ACCEPT ayaa ku filnaan lahaa.
    Laakiin aragti ahaan, iyo inta aan ogahay, intaas waxaa sii dheer waxaad sidoo kale u baahan tahay inaad nadiifiso xargaha aan caadiga ahayn oo aad dib u dhigto tirooyinka. Ficillada la qaadayo iyadoo maanka lagu hayo in "filter" ka sokow ay jiraan miisas kale, (waa qasab in la akhriyo feylka "/ proc / net / ip_tables_names" tan).

    By the way, orthodoxy waxay sheegaysaa in darb-daruhu ay qasab tahay inuu horey ujiro kahor intaysan shabakadu bilaaban. Ma aqaano sida loogu guuleysto nidaamyada kale ee Linux, laakiin kuwa Debian-ka ah ayaa qoraalka loo waafajin karaa loona dejin karaa galka "/etc/network/if-pre-up.d/".

    Difaaca wanaagsan ee qof walba. 😉

  3.   NauTiluS dijo

    Waad salaaman tihiin, qoraalka waa mid aad u wanaagsan. Waxaan aqriyay dhamaan 2dii mug.

    Sugitaanka xiga 🙂

  4.   qarsoodi la'aan dijo

    Su'aal ka timid jaahilnimadayda, waxaan ku sii wadaynaa iptables, laakiin dhowr nooc oo kernel ah waxaan leenahay nfable, horay ayaan u tijaabinayaa, su'aalaha waa, nftables ma wax beta ah marka loo eego iptables? Qalabka iptables-ka ma sii socon doonaa in la sii isticmaalo muddo dheer?

    Waad ku mahadsan tahay.

    1.    yukiteru dijo

      nftables waxaa ka mid ah dhammaan shaqooyinka iptables, ip6table, arptables iyo ebtable, dhammaantood waxay adeegsanayaan kaabayaal cusub kernelspace iyo userpace labadaba, taas oo hubineysa waxqabadka wanaagsan iyo hagaajinta shaqeynta. nftables wuxuu badali doonaa iptables iyo dhamaan aaladaha kale ee la soo sheegay laakiin waqtigaan laguma beddeli doono, ugu yaraan ilaa inta uu ka sii ballaadhayo isticmaalka qalabka sida.

  5.   Alejandro dijo

    post aad ufiican, waxaan rabay inaan waxbadan aqriyo maadama sifiican loo sharaxay .. salaan mahadsanid wax ku biirinta weyn

  6.   Avrah dijo

    Salaan! Aad u fiican labada boostada.
    Qaadhaan ahaan waxaad ku dari kartaa dhamaadka qaybtaan:

    "Hadda waxaan tafatiri doonnaa faylka /etc/rc.local oo waxaan dhigeynaa wax sida: /etc/init.d/firestop start si ay uga bilaabato nidaamka."

    Ku dar tan rc.local.

    haddii [-x /etc/init.d/ firewall]; markaa
    /etc/init.d/ firewall bilaw
    fi

    Taas oo macnaheedu yahay in haddii "firewall" uu leeyahay rukhsad dil, fuliya, haddii kale.
    Haddii aad rabto "firewall" ka in uusan bilaaban, waa inaad iska saarto rukhsadaha.

    Tusaale ahaan: chmod + x /etc/init.d/ firewall
    si looga dhigo inay socodsiiso bilow kasta ama ...
    chmod -x /etc/init.d/ firewall
    in gabi ahaanba la joojiyo.

    Waad ku mahadsan tahay!