iptables, gerçek bir duruma bir yaklaşım

Bu öğreticinin amacı ağımızı kontrol etiçeriden bizi görmek isteyen başka bir "istenmeyen misafir" (rahatsız etmek, sikmek, vb. anlamına gelen Küba ifadesi), "paketleyici" virüs, dış saldırılar veya sadece bilmenin keyfi için rahatsızlıklardan kaçınmak Huzur içinde uyuyabileceğimizi.

Dikkat: İptables politikalarını hatırlayın, her şeyi KABUL EDİN veya her şeyi REDDİN, faydalı olabilirler, bazı durumlarda faydalı olabilirler, bu bize bağlıdır, bu bize bağlıdır, ağda olan her şeyin bizim işimizdir ve sadece bizim, evet, sizin, benim, öğreticiyi okuyan ama nasıl çalıştırılacağını bilmeyen ya da okuyup çok iyi uygulayan birinden.

Ride you stay !!!

İlk şey, her hizmetin GNU / Linux yüklü bir bilgisayarda hangi bağlantı noktasını işgal ettiğini bilmektir, bunun için kimseye sormanıza veya Googling'e katılmanıza veya konuyla ilgili bir akademisyene danışmanıza gerek yoktur, sadece bir dosya okuyun. Küçük bir dosya? Evet, küçük bir dosya.

/ etc / services

Ama ne içeriyor / etc / services?

Çok kolay, hepsinin açıklaması hizmetler ve bağlantı noktaları bu hizmetler için TCP veya UDP tarafından düzenli ve artan bir şekilde mevcut. Söz konusu hizmetler ve limanlar, IANA (Internet Assigned Numbers Authority).

İptables ile oynamak

İlk adımlar olarak, test makinesi olacak bir PC'ye sahip olacağız, ona istediğinizi söyleyin, Lucy, Karla veya Naomi, ben onu arayacağım Bessie.

Durum:

Pekala, Bessie bir proje makinesi olacak VSFTPd monte edilmiş OpenSSH koşuyor ve bir Apache2 kıyaslama için bir kez yüklenmişti (performans testi), ancak artık yalnızca phpMyAdmin veritabanlarını yönetmek için MySQL zaman zaman dahili olarak kullanılır.

Alınacak notlar:

Ftp, ssh, apache2 ve mysql, bu PC'de istek alan hizmetlerdir, bu nedenle kullandıkları bağlantı noktalarını hesaba katmalıyız.

Eğer yanlış değilsem ve / etc / services yalan söylemez xD, ftp 20 ve 21 numaralı bağlantı noktasını kullanır, ssh varsayılan olarak 22 veya başka bir yapılandırmada tanımlanmışsa (başka bir gönderide nasıl yapılandırılacağından bahsedeceğim SSH normalde bilinenden biraz daha fazla), SSL ile ise Apache 80 veya 443 ve MySQL 3306.

Şimdi başka bir detaya ihtiyacımız var, Bessie ile etkileşime girecek PC'lerin IP adresleri, böylece itfaiyecilerimiz kendi aralarında hortumlara basmasınlar (çatışma yok haha).

PHP + MySQL'in geliştiricisi olan Pepe, yalnızca 20-21, 80, 443 ve 3306 bağlantı noktalarına erişebilecek, Frank işinin teslim edilecek projenin web sayfasını bir ay içinde güncellemek olduğunu, yalnızca 80 numaralı bağlantı noktasına erişebilecek. Veritabanında herhangi bir düzeltme yapmanız gerekirse / 443 ve 3306, sunucudaki tüm kaynaklara erişim sağlayacağım (ve ssh ile girişi IP ve MAC ile korumak istiyorum). Bir noktada makineyi yoklamak istememiz durumunda ping'i etkinleştirmeliyiz. Ağımız 10.8.0.0/16 tipi C sınıfıdır.

Adlı düz bir metin dosyası başlatacağız güvenlik duvarı.sh aşağıdakileri içerecektir:

4446 numaralı yapıştır (Script iptables)

Ve böylece, bu satırlarla DevTeam üyelerine erişime izin veriyorsunuz, kendinizi koruyorsunuz ve PC'yi koruyorsunuz, bence daha iyi açıklandı, rüyalarda bile. Geriye sadece yürütme izinleri verecek ve her şey gitmeye hazır olacak.

Hoş bir GUI aracılığıyla acemi kullanıcıların, Java gerektiren "BadTuxWall" gibi bilgisayarlarının güvenlik duvarını yapılandırmasına olanak tanıyan araçlar vardır. Ayrıca, burada daha önce tartışılan FwBuilder, QT veya ncurses'te bir arabirimi olan "Firewall-Jay". Kişisel görüşüme göre, bunu düz metin olarak yapmayı seviyorum, bu yüzden kendimi öğrenmeye zorluyorum.

Hepsi bu, yakında başka bir yapılandırma, işlem veya hizmetin karşıt tüylerinin tüylerini açıklamaya devam edeceğiz.