iptables เป็นการประมาณกรณีจริง

เป้าหมายของบทช่วยสอนนี้คือ ควบคุมเครือข่ายของเราหลีกเลี่ยงความรำคาญในส่วนของ "แขกที่ไม่พึงปรารถนา" คนอื่น ๆ ที่ต้องการเห็นพื้น (สำนวนคิวบาที่หมายถึงการรบกวนมีเพศสัมพันธ์ ฯลฯ ) ไวรัส "แพ็คเกอร์" การโจมตีจากภายนอกหรือเพียงเพื่อความสุขที่ได้รู้ว่าเรา สามารถนอนหลับได้อย่างสงบ

หมายเหตุ: จำนโยบาย iptables ยอมรับทุกอย่างหรือปฏิเสธทุกอย่างสิ่งเหล่านี้อาจมีประโยชน์ในบางกรณีไม่ใช่ในบางกรณีขึ้นอยู่กับเราว่าทุกสิ่งที่เกิดขึ้นบนเครือข่ายเป็นธุรกิจของเราและมีเพียงของเราใช่ของคุณ ของฉันจากผู้ที่อ่านบทช่วยสอน แต่ไม่รู้วิธีเรียกใช้หรือจากผู้ที่อ่านและนำไปใช้เป็นอย่างดี

ขี่คุณอยู่ !!!

สิ่งแรกคือต้องรู้ว่าแต่ละบริการใช้พอร์ตใดในคอมพิวเตอร์ที่ติดตั้ง GNU / Linux เพื่อที่คุณจะได้ไม่ต้องถามใครหรือมีส่วนร่วมในการค้นหาของ Google หรือปรึกษานักวิชาการในเรื่องนี้เพียงแค่อ่านไฟล์ . ไฟล์เล็ก ๆ น้อย ๆ ? ใช่ไฟล์เล็ก ๆ น้อย ๆ

/ etc / บริการ

แต่มันประกอบด้วยอะไรบ้าง / etc / บริการ?

ง่ายมากคำอธิบายของทั้งหมด บริการและท่าเรือ ที่มีอยู่สำหรับบริการเหล่านี้ไม่ว่าจะโดย TCP หรือ UDP ในลักษณะที่เป็นระเบียบและจากน้อยไปมาก บริการและท่าเรือดังกล่าวได้รับการประกาศโดย IANA (องค์การกำหนดหมายเลขอินเทอร์เน็ต).

เล่นกับ iptables

ตามขั้นตอนแรกเราจะมีพีซีซึ่งจะเป็นเครื่องทดสอบเรียกว่าสิ่งที่คุณต้องการลูซี่คาร์ล่าหรือนาโอมิฉันจะเรียกมันว่า เบสซี่.

สถานการณ์:

อืมเบสซี่เป็นเครื่องจักรโครงการที่กำลังจะมี วีเอสเอฟทีพีดี ติดตั้ง OpenSSH วิ่งและ Apache2 ที่ติดตั้งครั้งเดียวสำหรับการเปรียบเทียบ (การทดสอบประสิทธิภาพ) แต่ตอนนี้ใช้ร่วมกับ phpMyAdmin เพื่อจัดการฐานข้อมูลของ MySQL ที่ใช้ภายในเป็นครั้งคราว

หมายเหตุที่ต้องทำ:

Ftp, ssh, apache2 และ mysql เป็นบริการที่รับคำขอบนพีซีเครื่องนี้ดังนั้นเราจึงต้องคำนึงถึงพอร์ตที่ใช้ด้วย

ถ้าฉันไม่ผิดและ / etc / บริการ ไม่ได้บอกว่าโกหก xD, ftp ใช้พอร์ต 20 และ 21, ssh โดยค่าเริ่มต้น 22 หรืออื่น ๆ หากมีการกำหนดไว้ในการกำหนดค่า (ในโพสต์อื่น ๆ ฉันจะพูดถึงวิธีกำหนดค่า SSH มากกว่าที่รู้จักกันทั่วไปเล็กน้อย), Apache 80 หรือ 443 หากใช้ SSL และ MySQL 3306

ตอนนี้เราต้องการรายละเอียดอีกอย่างคือที่อยู่ IP ของพีซีที่จะโต้ตอบกับ Bessie เพื่อไม่ให้นักผจญเพลิงของเราไปเหยียบท่อ (หมายความว่าไม่มีความขัดแย้งฮ่าฮ่า).

Pepe ผู้พัฒนา PHP + MySQL จะสามารถเข้าถึงพอร์ต 20-21, 80, 443 และ 3306 เท่านั้น Frank สิ่งที่เขาทำคืออัปเดตหน้าเว็บโครงการที่จะส่งมอบในหนึ่งเดือนเขาจะเข้าถึงพอร์ต 80 เท่านั้น / 443 และ 3306 ในกรณีที่คุณจำเป็นต้องทำการแก้ไขใด ๆ ใน DB และฉันจะสามารถเข้าถึงทรัพยากรทั้งหมดบนเซิร์ฟเวอร์ได้ (และฉันต้องการป้องกันการเข้าสู่ระบบด้วย ssh โดย IP และ MAC). เราต้องเปิดใช้งาน ping ในกรณีที่เราต้องการสำรวจเครื่องในบางจุด เครือข่ายของเราคือคลาส C ประเภท 10.8.0.0/16

เราจะเริ่มไฟล์ข้อความธรรมดาที่เรียกว่า ไฟร์วอลล์. sh ซึ่งจะประกอบด้วยสิ่งต่อไปนี้:

วาง No.4446 (Script iptables)

ดังนั้นด้วยบรรทัดเหล่านี้คุณอนุญาตให้เข้าถึงสมาชิก DevTeam ปกป้องตัวเองและปกป้องพีซีฉันคิดว่าอธิบายได้ดีกว่าไม่ใช่แม้แต่ในความฝัน เพียงแค่ให้สิทธิ์ในการดำเนินการเท่านั้นและทุกอย่างจะพร้อมใช้งาน

มีเครื่องมือที่ช่วยให้ผู้ใช้มือใหม่สามารถกำหนดค่าไฟร์วอลล์ของพีซีได้ผ่าน GUI เช่น "BadTuxWall" ซึ่งต้องใช้ Java ผ่าน GUI นอกจากนี้ FwBuilder, QT ซึ่งได้มีการพูดคุยกันแล้วที่นี่หรือ "Firewall-Jay" ที่มีอินเทอร์เฟซใน ncurses ในความเห็นส่วนตัวของฉันฉันชอบที่จะทำมันเป็นข้อความธรรมดาดังนั้นฉันจึงบังคับตัวเองให้เรียนรู้

นั่นคือทั้งหมดที่พบกันเร็ว ๆ นี้เพื่ออธิบายต่อไปความยุ่งเหยิงของการตอบโต้การกำหนดค่ากระบวนการหรือบริการ