iptables, en approximation till ett verkligt fall

Målet med denna handledning är kontrollera vårt nätverk, undvika irritationer från någon annan "oönskad gäst" som inifrån vill såga golvet (kubansk uttryck som betyder att störa, knulla, etc), "packer" -virus, externa attacker eller helt enkelt för nöjet att veta att vi kan sova lugnt.

anteckning: Kom ihåg iptables-policyerna, ACCEPTERA allt eller NÖJA allt, de kan vara användbara, i vissa fall och inte i andra, som beror på oss, att allt som händer i nätverket är vår verksamhet, och bara vår, ja, din, min, från den som läste självstudien, men inte vet hur man kör den, eller från den som läste den och använde den för bra.

Rida du stanna !!!

Det första är att veta vilken port varje tjänst upptar på en dator med GNU / Linux installerad, för det behöver du inte fråga någon, eller bli involverad i att Google söker eller konsulterar en forskare om ämnet, läs bara en fil . En liten fil? Ja, en liten fil.

/ etc / services

Men vad innehåller den? / etc / services?

Mycket lätt, beskrivningen av alla tjänster och hamnar existerande för dessa tjänster antingen av TCP eller UDP, på ett organiserat och stigande sätt. Nämnda tjänster och hamnar har förklarats av IANA (Internet Assigned Numbers Authority).

Leker med iptables

Som första steg kommer vi att ha en dator, som kommer att vara testmaskinen, kalla det vad du vill, Lucy, Karla eller Naomi, jag kommer att kalla det Bessie.

situación:

Tja, ja, Bessie är en projektmaskin som kommer att ha en VSFTPd monterad, OpenSSH löpning, och en Apache2 som installerades en gång för benchmarking (utvärderingsprov), men används nu bara i kombination med phpMyAdmin att administrera databaser för MySQL som används internt då och då.

Anteckningar att ta:

Ftp, ssh, apache2 och mysql, är de tjänster som tar emot förfrågningar på den här datorn, så vi måste ta hänsyn till de portar de använder.

Om jag inte har fel och / etc / services berättar inte lögner xD, ftp använder port 20 och 21, ssh som standard 22 eller något annat, om det har definierats i konfigurationen (i något annat inlägg kommer jag att prata om hur man konfigurerar SSH lite mer än vad som normalt är känt), Apache 80 eller 443 om det är med SSL och MySQL 3306.

Nu behöver vi en annan detalj, IP-adresserna för datorerna som kommer att interagera med Bessie, så att våra brandmän inte trampar på slangarna (betyder ingen konflikt haha).

Pepe, utvecklaren i PHP + MySQL, kommer bara att ha tillgång till portarna 20-21, 80, 443 och 3306, Frank att hans sak är att uppdatera webbsidan för projektet som ska levereras inom en månad, han har bara tillgång till port 80/443 och 3306 om du behöver göra någon korrigering i DB, och jag kommer att ha tillgång till alla resurser på servern (och jag vill skydda inloggningen med ssh via IP och MAC). Vi måste aktivera ping om vi någon gång vill polla maskinen. Vårt nätverk är klass C av typ 10.8.0.0/16.

Vi startar en vanlig textfil som heter brandvägg.sh där den kommer att innehålla följande:

Klistra in nr 4446 (skript-iptabeller)

Och så, med dessa rader, ger du tillgång till DevTeam-medlemmar, skyddar dig själv och skyddar datorn, tror jag bättre förklaras, inte ens i drömmar. Det återstår bara att ge det exekveringsbehörigheter, och allt kommer att vara klart.

Det finns verktyg som, genom en trevlig GUI, tillåter nybörjare att konfigurera brandväggen på sina datorer, till exempel "BadTuxWall", som kräver Java. Även FwBuilder, QT, som redan har diskuterats här eller "Firewall-Jay", med ett gränssnitt i ncurses. Enligt min personliga åsikt gillar jag att göra det i klartext, så jag tvingar mig själv att lära mig.

Det är allt, vi ses snart för att fortsätta förklara, motfluffens fluff, av någon annan konfiguration, process eller tjänst.


Innehållet i artikeln följer våra principer om redaktionell etik. Klicka på för att rapportera ett fel här.

6 kommentarer, lämna din

Lämna din kommentar

Din e-postadress kommer inte att publiceras.

*

*

  1. Ansvarig för uppgifterna: Miguel Ángel Gatón
  2. Syftet med uppgifterna: Kontrollera skräppost, kommentarhantering.
  3. Legitimering: Ditt samtycke
  4. Kommunikation av uppgifterna: Uppgifterna kommer inte att kommuniceras till tredje part förutom enligt laglig skyldighet.
  5. Datalagring: databas värd för Occentus Networks (EU)
  6. Rättigheter: När som helst kan du begränsa, återställa och radera din information.

  1.   rudolf alexander sade

    bra jag ser fram emot ssh hälsningar, bra inlägg, hälsningar.

  2.   faustod sade

    Jag gillar det, jag förbereder mina frågor ...

  3.   nwt_lazaro sade

    # Tillåt inträde till IP-adress 192.168.0.15 med fysisk adress 00: 01: 02: 03: 04: 05

    iptables -A INPUT -s 192.168.0.15 -m mac –mac-source 00: 01: 02: 03: 04: 05 -p tcp –dport 22 -m state –state NEW -j ACCEPT

    Om du vill lägga till fler IP- och mac-adresser handlar det om att infoga en annan INPUT-sträng som varierar IP- och mac-adresserna.

  4.   nwt_lazaro sade

    Redigera: eftersom WordPress inte klarar dubbla bindestreck hade följande delar av kommandot dubbla bindestreck
    - - mac-source 00: 01…
    - - dport 22 ...
    - - ange NY ...

    1.    KZKG ^ Gaara sade

      Om du vill kan du använda taggarna «kod» här lägger du in koden «/ kod» och de två skripten fungerar perfekt 😉
      Uppenbarligen ändra "och" med symboler för mindre-vad och större-vad

  5.   @Jlcmux sade

    Fråga. När du installerar en server, vare sig det är ssh eller apache eller vad som helst. Hamnen öppnas inte av sig själv? Vad är skillnaden mellan att lämna den så här eller öppna den så här?