Ang layunin ng tutorial na ito ay kontrolin ang aming network, pag-iwas sa mga inis sa bahagi ng ilang iba pang "hindi kanais-nais na panauhin" na mula sa loob ay nais na makita sa amin ang sahig (expression ng Cuban na nangangahulugang abalahin, magkantot, atbp), "packer" na virus, panlabas na pag-atake o para lamang sa kasiyahan na malaman na maaari kaming makatulog nang payapa .
Nota: Tandaan ang mga patakaran ng iptable, TANGGAPIN ang lahat o Tanggihan ang lahat, maaari silang maging kapaki-pakinabang, sa ilang mga kaso at hindi sa iba, nakasalalay sa amin, na ang lahat ng nangyayari sa network, ay ang aming negosyo, at atin lamang, oo, iyo , minahan, mula sa isang nagbasa ng tutorial, ngunit hindi alam kung paano ito maisagawa, o mula sa isang nagbasa nito at inilapat ito nang napakahusay.
Sumakay manatili ka !!!
Ang unang bagay ay upang malaman, kung anong port ang bawat serbisyo ay sumasakop sa isang computer na may naka-install na GNU / Linux, para doon, hindi mo na kailangang tanungin ang sinuman, o makisali sa paghahanap sa Google o pagkonsulta sa isang scholar sa paksa, basahin lamang ang isang file. Isang maliit na file? Oo oo, isang maliit na file.
/ etc / services
Ngunit ano ang nilalaman nito / etc / services?
Napakadali, ang paglalarawan ng lahat mga serbisyo at daungan mayroon para sa mga serbisyong ito alinman sa pamamagitan ng TCP o UDP, sa isang maayos at paakyat na paraan. Ang nasabing mga serbisyo at daungan ay idineklara ng IANA (Internet Nakatalagang Numbers Authority).
Nagpe-play sa mga iptable
Bilang mga unang hakbang, magkakaroon kami ng PC, na kung saan ay ang magiging test machine, tawagan ito kung ano ang gusto mo, Lucy, Karla o Naomi, tatawagin ko ito Bessie.
Sitwasyon:
Sa gayon, mabuti, ang Bessie ay isang makina ng proyekto na magkakaroon ng VSFTPd naka-mount, OpenSSH tumatakbo, at a Apache2 na naka-install nang isang beses para sa benchmarking (pagsubok sa pagganap), ngunit ginagamit lamang ngayon kasabay ng phpMyAdmin upang pangasiwaan ang mga database ng MySQL na ginagamit sa loob paminsan-minsan.
Mga tala na kukunin:
Ang Ftp, ssh, apache2 at MySQL, ay ang mga serbisyo na tumatanggap ng mga kahilingan sa PC na ito, kaya kailangan naming isaalang-alang ang mga port na ginagamit nila.
Kung hindi ako nagkamali at / etc / services Ang xD ay hindi nagsasabi ng kasinungalingan, ang ftp ay gumagamit ng port 20 at 21, ssh bilang default 22 o ilang iba pa, kung ito ay tinukoy sa pagsasaayos (sa ilang iba pang post ay pag-uusapan ko kung paano i-configure SSH kaunti pa kaysa sa karaniwang kilala), Apache 80 o 443 kung ito ay kasama ng SSL, at MySQL 3306.
Ngayon kailangan namin ng isa pang detalye, ang mga IP address ng mga PC na makikipag-ugnay sa Bessie, upang ang aming mga bumbero, bukod sa kanilang sarili, ay hindi tumapak sa mga hose (nangangahulugang walang hidwaan haha).
Si Pepe, ang developer sa PHP + MySQL, ay magkakaroon lamang ng pag-access sa mga port 20-21, 80, 443 at 3306, Frank na ang kanyang bagay ay i-update ang web page ng proyekto na maihahatid sa loob ng isang buwan, magkakaroon lamang siya ng access sa port 80 / 443 at 3306 kung sakaling kailangan mong gumawa ng anumang pagwawasto sa DB, at magkakaroon ako ng pag-access sa lahat ng mga mapagkukunan sa server (at nais kong protektahan ang pag-login gamit ang ssh ng IP at MAC). Ang ping ay dapat na buhayin kung sakaling nais nating botohan ang makina sa ilang mga punto. Ang aming network ay ang klase C ng uri 10.8.0.0/16.
Sisimulan namin ang isang simpleng text file na tinawag firewall.sh kung saan naglalaman ito ng mga sumusunod:
I-paste ang No.4446 (Script iptables)
At sa gayon, sa mga linyang ito, pinapayagan mong mag-access sa mga miyembro ng DevTeam, pinoprotektahan mo ang iyong sarili, at protektahan mo ang PC, sa palagay ko mas mahusay na ipinaliwanag, hindi kahit sa mga panaginip. Nananatili lamang ito upang bigyan ito ng mga pahintulot sa pagpapatupad, at magiging handa na ang lahat na pumunta.
Mayroong mga tool na, sa pamamagitan ng isang magandang GUI, pinapayagan ang mga gumagamit ng baguhan na i-configure ang firewall ng kanilang mga PC, tulad ng "BadTuxWall", na nangangailangan ng Java. Gayundin ang FwBuilder, QT, na tinalakay na dito o ang "Firewall-Jay", na may isang interface sa ncurses. Sa aking personal na opinyon, nais kong gawin ito sa payak na teksto, kaya pinipilit kong malaman ang aking sarili.
Iyon lang, magkita tayo sa lalong madaling panahon upang magpatuloy na magpaliwanag, ang himulmol ng counter-fluff, ng ilang iba pang pagsasaayos, proseso o serbisyo.
mahusay inaasahan ko ang ssh pagbati, magandang post, pagbati.
Gusto ko iyon, ihahanda ko ang aking mga katanungan ...
# Payagan ang Pagpasok sa IP address 192.168.0.15 na may pisikal na address 00: 01: 02: 03: 04: 05
iptables -A INPUT -s 192.168.0.15 -m mac –mac-source 00: 01: 02: 03: 04: 05 -p tcp –dport 22 -m state –state BAGONG -j TANGGAPIN
Kung nais mong magdagdag ng higit pang mga IP at mac address, ito ay magiging isang bagay ng pagpasok ng isa pang INPUT string na nag-iiba-iba ng mga IP at mac address ayon sa pagkakabanggit.
I-edit: dahil ang WordPress ay hindi nakakasama sa mga dobleng gitling, ang mga sumusunod na bahagi ng utos ay mayroong dobleng gitling
- - mac-source 00: 01…
- - dport 22 ...
- - estado BAGO ...
Kung nais mo maaari mong gamitin ang mga tag na «code» dito inilagay mo ang code «/ code» at ang dalawang script ay gagana nang perpekto 😉
Malinaw na binabago ang "at" sa pamamagitan ng mga simbolo ng mas mababa-ano at mas-ano
Tanong. Kapag nag-install ka ng isang server, maging ssh o Apache o kung ano pa man. Ang port ay hindi magbubukas nang mag-isa? Ano ang pagkakaiba sa pagitan ng pag-iwan nito ng ganito o pagbubukas nito sa ganitong paraan?