У пост предњих Видели смо да конфигурација ИПТаблес функционише као заштитни зид. Сада можемо видети како да креирамо те скрипте тако да се правила извршавају аутоматски када се систем покрене, као и како та правила можемо на тренутак елиминисати или зауставити.
Пре него што направимо скрипту и покажемо вам како изгледа, поразговарајмо мало о НАТ-у и концепту шта желимо да урадимо са овом опремом.
НАТ и контекст примера.
Када говоримо о НАТ-у, ово можемо заменити са рутирањем, јер су обе задужене за међусобно повезивање две различите мреже. Стварна разлика је у томе што се рутирање примењује за прелазак са једне локалне мреже на другу, а ова друга мрежа се може повезати са рутером и изаћи на Интернет.
Док, када говоримо о НАТ-у, говоримо о усмеравању пакета са локалне или приватне мреже на јавну мрежу или Интернет. То чини маскирањем пакета стављањем јавне ИП адресе са којом иде на Интернет. Другим речима, не треба нам рутер, јер је јавна ИП адреса у директном власништву рачунара ГНУ / Линук.
Ово ћемо радити са слоганом да свој Линук користимо као рутер / заштитни зид за излазак на Интернет из локалне мреже. Али овде се могу појавити два сценарија.
- Да је наш Линук између рутера добављача услуга и локалне мреже.
У овом случају, између рутера и нашег Линука постојала би мрежа, а између Линука и локалне мреже постојала би друга различита мрежа. То значи да наш рутер не би морао да врши НАТ као такав, са једноставним усмеравањем саобраћаја како је објашњено у пост предњих Било би добро.
- Да наш Линук има интерфејс повезан са локалном мрежом, а преко другог интерфејса прима директно јавну ИП помоћу које се креће.
То значи да наш Линук мора да користи НАТ како би пакети могли да дођу до Интернета.
Тада ћемо за потребе ове мале лабораторије рећи да наш Линук директно прима јавну ИП адресу и тако моћи да тестира ефекте НАТ-а.
Да бисмо урадили НАТ, тада користимо синтаксу
иптаблес -т нат -А ПОСТРОУТИНГ -О етх1 -ј МАСКУЕРАДЕ
Где је етх1 интерфејс где примамо јавну ИП адресу, односно где идемо на Интернет.
Креирање иптаблес скрипте
Претпоставимо онда да је: 172.26.0.0 наша локална мрежа, а 81.2.3.4 је јавна ИП адреса са којом идемо на Интернет. (то је статички ип). Имам интерфејсе етх0 (локална мрежа)
етх1 (Јавна мрежа).
У основи се састоји од стварања скрипте која се може позвати из /етц/инит.д/фирестоп (на пример). и из ове скрипте можемо покренути, зауставити или провјерити статус наше конфигурације, баш као што то радимо са било којим системским демоном.
Претпоставимо да су моја ИПТАБЛЕС правила:
#! / бин / басх # Заштитни зид мог дома. # Назив датотеке / етц / фиревалл_он # Аутор Јлцмук Твиттер: @Јлцмук # # Основне смернице. иптаблес -П ИНПОУТ ДРОП иптаблес -П ОУТПУТ ДРОП иптаблес -П ФОРВАРД ДРОП # #НАТ за дељење Интернета од етх0 до етх1 иптаблес -т нат -А ПОСТРОУТИНГ -О етх1 -ј СНАТ --то-соурце 81.2.3.4 # # Дозволи долазне везе покренуте мојим иптаблес -А ФОРВАРД -м стате --стате УСТАНОВЉЕНО, ПОВЕЗАНО -ј ПРИХВАЋАЈ # # Овлашћени одлазни саобраћајни иптаблес -А НАПРЕД -и етх0 -о етх1 -п тцп --дпорт 80 -ј АЦЦЕПТ иптаблес -А НАПРЕД -и етх0 -о етх1 -п тцп --дпорт 443 -ј ПРИХВАТИ иптаблес -А НАПРЕД -и етх0 -о етх1 -п удп --дпорт 53 -ј ПРИХВАТИ
Објашњење:
Скрипта у основи ради следеће:
- Прво ограничите сву навигацију, везе и саобраћај. (Основне политике заштитног зида)
- Затим креирајте НАТ са одредиштем етх1. што указује да имамо статични јавни ип «КСНУМКС»
- Отвара портове потребне за примање пакета веза које сам иницирао.
- Прихвата одлазни ХТТП, ХТТПС и ДНС саобраћај.
Ако желимо да користимо нашу опрему за навигацију, требали бисмо поновити редове и променити НАПРЕД у ИНПУТ или ОУТПУТ према потреби.
Откажи скрипту.
Сада ћемо створити скрипту која надјачава све горе наведено и оставља рачунар чистим од свега овога. (У сврху тестирања или само желимо да искључимо заштитни зид).
#! / бин / басх # Заштитни зид мог дома. # Назив датотеке / етц / фиревалл_офф # Написао Јлцмук Твиттер: @Јлцмук # #Избриши правила иптаблес -Ф # #Примење подразумеваних смерница (сав саобраћај прихваћен) иптаблес -П ИНПУТ АЦЦЕПТ иптаблес -П ОУТПУТ АЦЦЕПТ иптаблес -П ФОРВАРД АЦЦЕПТ
Аутоматизација.
Сада морамо створити скрипту изнутра /етц/инит.д/ а услуга се аутоматски покреће и њоме можемо управљати на угоднији начин.
#! / бин / басх # Заштитни зид мог дома. # Име датотеке /етц/инит.д/ фиревалл # Аутор Јлцмук Твиттер: @Јлцмук случај $ 1 у старту) / етц / фиревалл_он ;; стоп) / етц / фиревалл_офф ;; статус) иптаблес -Л ;; *) ецхо "Погрешна синтакса. Важеће = /етц/инит.д/ старт фиревалл-а | стоп | статус ;; есац
Објашњење:
Последњу скрипту коју смо ставили /етц/инит.д/ са именом фиревалл. Дакле, ако желимо да управљамо заштитним зидом, можемо користити наредбу /етц/инит.д/ старт фиревалл-а. На исти начин можемо то зауставити или видети државу.
Сада ћемо уредити датотеку /етц/рц.лоцал и ставили смо нешто попут: /етц/инит.д/ старт фиревалл-а да започнемо са системом.
Такође. Ово је други део. Надам се да ће то донети свима вама. У следећем видимо Проки и ИДС.
Ако користите Дебиан, у репо-у постоји пакет (иптаблес-персистент) који чини управо то, он одлаже тренутна правила у /етц/иптаблес/рулес.в4 или в6 у зависности од тога шта користите, а затим их примењује на вас када подигнете систем.
У пракси, за чишћење конфигурације конвенционалног иптаблес заштитног зида (а употреба НАТ-а са моје тачке гледишта не би била таква), у већини случајева било би довољно испирање правила и ресетовање подразумеваних политика на АЦЦЕПТ.
Али у теорији, и колико знам, поред овога такође треба да очистите несигурне низове и ресетујете бројаче. Радње које треба предузети имајући на уму да поред „филтрирања“ постоје и друге табеле (за ово је обавезно прочитати датотеку „/ проц / нет / ип_таблес_намес“).
Иначе, православље каже да заштитни зид већ мора бити покренут пре него што мрежа крене. Не знам како се то постиже на другим Линук системима, али на Дебиан-у би се скрипта могла прилагодити и поставити у директоријум "/етц/нетворк/иф-пре-уп.д/".
Добар заштитни зид свима. 😉
Здраво, пост је врло добар. Прочитао сам цела 2 тома.
Чека се следећи 🙂
Питање из мог незнања, настављамо са иптаблес, али за неколико верзија кернела имамо нфтаблес, већ тестирам, питања су, да ли је нфтаблес нешто бета у односу на иптаблес? Да ли ће се иптаблес и даље користити много дуже?
Хвала.
нфтаблес укључује све функционалности иптаблес, ип6таблес, арптаблес и ебтаблес, а све користи нову инфраструктуру и у простору језгра и у корисничком простору, што осигурава боље перформансе и побољшану функционалност. нфтаблес ће заменити иптаблес и све остале поменуте алате, али засад не, бар док не буде шире раширена употреба нфтаблес као таквих.
врло добар пост, желео сам да прочитам више јер је врло добро објашњено .. поздрав хвала велики допринос
Здраво! Врло добро оба поста.
Као допринос можете додати на крају у овом делу:
„Сада ћемо уредити датотеку /етц/рц.лоцал и ставити нешто попут: /етц/инит.д/фирестоп старт тако да започне са системом.“
Додајте ово на рц.лоцал.
ако је [-к /етц/инит.д/ фиревалл]; онда
/етц/инит.д/ старт фиревалл-а
fi
Што значи да ако „заштитни зид“ има дозволе за извршење, извршите га, ако не.
Ако желите да се „заштитни зид“ не покрене, само морате уклонити дозволе.
На пример: цхмод + к /етц/инит.д/ фиревалл
да се покрене при сваком покретању или ...
цхмод -к /етц/инит.д/ фиревалл
да га потпуно онемогући.
Поздрав!