เป้าหมายของบทช่วยสอนนี้คือ ควบคุมเครือข่ายของเราหลีกเลี่ยงความรำคาญในส่วนของ "แขกที่ไม่พึงปรารถนา" คนอื่น ๆ ที่ต้องการเห็นพื้น (สำนวนคิวบาที่หมายถึงการรบกวนมีเพศสัมพันธ์ ฯลฯ ) ไวรัส "แพ็คเกอร์" การโจมตีจากภายนอกหรือเพียงเพื่อความสุขที่ได้รู้ว่าเรา สามารถนอนหลับได้อย่างสงบ
หมายเหตุ: จำนโยบาย iptables ยอมรับทุกอย่างหรือปฏิเสธทุกอย่างสิ่งเหล่านี้อาจมีประโยชน์ในบางกรณีไม่ใช่ในบางกรณีขึ้นอยู่กับเราว่าทุกสิ่งที่เกิดขึ้นบนเครือข่ายเป็นธุรกิจของเราและมีเพียงของเราใช่ของคุณ ของฉันจากผู้ที่อ่านบทช่วยสอน แต่ไม่รู้วิธีเรียกใช้หรือจากผู้ที่อ่านและนำไปใช้เป็นอย่างดี
ขี่คุณอยู่ !!!
สิ่งแรกคือต้องรู้ว่าแต่ละบริการใช้พอร์ตใดในคอมพิวเตอร์ที่ติดตั้ง GNU / Linux เพื่อที่คุณจะได้ไม่ต้องถามใครหรือมีส่วนร่วมในการค้นหาของ Google หรือปรึกษานักวิชาการในเรื่องนี้เพียงแค่อ่านไฟล์ . ไฟล์เล็ก ๆ น้อย ๆ ? ใช่ไฟล์เล็ก ๆ น้อย ๆ
/ etc / บริการ
แต่มันประกอบด้วยอะไรบ้าง / etc / บริการ?
ง่ายมากคำอธิบายของทั้งหมด บริการและท่าเรือ ที่มีอยู่สำหรับบริการเหล่านี้ไม่ว่าจะโดย TCP หรือ UDP ในลักษณะที่เป็นระเบียบและจากน้อยไปมาก บริการและท่าเรือดังกล่าวได้รับการประกาศโดย IANA (องค์การกำหนดหมายเลขอินเทอร์เน็ต).
เล่นกับ iptables
ตามขั้นตอนแรกเราจะมีพีซีซึ่งจะเป็นเครื่องทดสอบเรียกว่าสิ่งที่คุณต้องการลูซี่คาร์ล่าหรือนาโอมิฉันจะเรียกมันว่า เบสซี่.
สถานการณ์:
อืมเบสซี่เป็นเครื่องจักรโครงการที่กำลังจะมี วีเอสเอฟทีพีดี ติดตั้ง OpenSSH วิ่งและ Apache2 ที่ติดตั้งครั้งเดียวสำหรับการเปรียบเทียบ (การทดสอบประสิทธิภาพ) แต่ตอนนี้ใช้ร่วมกับ phpMyAdmin เพื่อจัดการฐานข้อมูลของ MySQL ที่ใช้ภายในเป็นครั้งคราว
หมายเหตุที่ต้องทำ:
Ftp, ssh, apache2 และ mysql เป็นบริการที่รับคำขอบนพีซีเครื่องนี้ดังนั้นเราจึงต้องคำนึงถึงพอร์ตที่ใช้ด้วย
ถ้าฉันไม่ผิดและ / etc / บริการ ไม่ได้บอกว่าโกหก xD, ftp ใช้พอร์ต 20 และ 21, ssh โดยค่าเริ่มต้น 22 หรืออื่น ๆ หากมีการกำหนดไว้ในการกำหนดค่า (ในโพสต์อื่น ๆ ฉันจะพูดถึงวิธีกำหนดค่า SSH มากกว่าที่รู้จักกันทั่วไปเล็กน้อย), Apache 80 หรือ 443 หากใช้ SSL และ MySQL 3306
ตอนนี้เราต้องการรายละเอียดอีกอย่างคือที่อยู่ IP ของพีซีที่จะโต้ตอบกับ Bessie เพื่อไม่ให้นักผจญเพลิงของเราไปเหยียบท่อ (หมายความว่าไม่มีความขัดแย้งฮ่าฮ่า).
Pepe ผู้พัฒนา PHP + MySQL จะสามารถเข้าถึงพอร์ต 20-21, 80, 443 และ 3306 เท่านั้น Frank สิ่งที่เขาทำคืออัปเดตหน้าเว็บโครงการที่จะส่งมอบในหนึ่งเดือนเขาจะเข้าถึงพอร์ต 80 เท่านั้น / 443 และ 3306 ในกรณีที่คุณจำเป็นต้องทำการแก้ไขใด ๆ ใน DB และฉันจะสามารถเข้าถึงทรัพยากรทั้งหมดบนเซิร์ฟเวอร์ได้ (และฉันต้องการป้องกันการเข้าสู่ระบบด้วย ssh โดย IP และ MAC). เราต้องเปิดใช้งาน ping ในกรณีที่เราต้องการสำรวจเครื่องในบางจุด เครือข่ายของเราคือคลาส C ประเภท 10.8.0.0/16
เราจะเริ่มไฟล์ข้อความธรรมดาที่เรียกว่า ไฟร์วอลล์. sh ซึ่งจะประกอบด้วยสิ่งต่อไปนี้:
วาง No.4446 (Script iptables)
ดังนั้นด้วยบรรทัดเหล่านี้คุณอนุญาตให้เข้าถึงสมาชิก DevTeam ปกป้องตัวเองและปกป้องพีซีฉันคิดว่าอธิบายได้ดีกว่าไม่ใช่แม้แต่ในความฝัน เพียงแค่ให้สิทธิ์ในการดำเนินการเท่านั้นและทุกอย่างจะพร้อมใช้งาน
มีเครื่องมือที่ช่วยให้ผู้ใช้มือใหม่สามารถกำหนดค่าไฟร์วอลล์ของพีซีได้ผ่าน GUI เช่น "BadTuxWall" ซึ่งต้องใช้ Java ผ่าน GUI นอกจากนี้ FwBuilder, QT ซึ่งได้มีการพูดคุยกันแล้วที่นี่หรือ "Firewall-Jay" ที่มีอินเทอร์เฟซใน ncurses ในความเห็นส่วนตัวของฉันฉันชอบที่จะทำมันเป็นข้อความธรรมดาดังนั้นฉันจึงบังคับตัวเองให้เรียนรู้
นั่นคือทั้งหมดที่พบกันเร็ว ๆ นี้เพื่ออธิบายต่อไปความยุ่งเหยิงของการตอบโต้การกำหนดค่ากระบวนการหรือบริการ
เยี่ยมมากฉันหวังว่าจะได้ทักทาย ssh โพสต์ดีๆทักทาย
ฉันชอบฉันจะเตรียมคำถามของฉัน ...
# อนุญาตให้เข้าสู่ที่อยู่ IP 192.168.0.15 พร้อมที่อยู่จริง 00: 01: 02: 03: 04: 05
iptables -A INPUT -s 192.168.0.15 -m mac –mac-source 00: 01: 02: 03: 04: 05 -p tcp –dport 22 -m state -state ใหม่ -j ACCEPT
หากคุณต้องการเพิ่มที่อยู่ IP และ mac เพิ่มเติมจะเป็นเรื่องของการแทรกสตริง INPUT อื่นที่แตกต่างกันไปตามที่อยู่ IP และ mac ตามลำดับ
แก้ไข: เนื่องจาก WordPress ไม่เข้ากับยัติภังค์คู่ส่วนต่อไปนี้ของคำสั่งจึงมีขีดกลางสองเท่า
- - แหล่งที่มาของ mac 00: 01 …
- - dport 22 ...
- - สถานะใหม่ ...
หากคุณต้องการคุณสามารถใช้แท็ก«โค้ด»ที่นี่คุณใส่โค้ด« / code »และสคริปต์ทั้งสองจะทำงานได้อย่างสมบูรณ์😉
เห็นได้ชัดว่าการเปลี่ยน "และ" ด้วยสัญลักษณ์ของ less-what และ greater-what
คำถาม. เมื่อคุณติดตั้งเซิร์ฟเวอร์ไม่ว่าจะเป็น ssh หรือ apache หรืออะไรก็ตาม พอร์ตไม่เปิดเอง? ปล่อยไว้แบบนี้หรือเปิดไว้แบบนี้ต่างกันอย่างไร?