Метою цього підручника є контролювати нашу мережу, уникаючи роздратування з боку якогось іншого "небажаного гостя", який зсередини хоче розпиляти підлогу (кубинський вираз, що означає турбувати, трахнути тощо), вірус "пакувальника", зовнішні атаки або просто для задоволення, знаючи, що ми можемо спати спокійно .
Увага: Пам'ятайте про правила iptables, ПРИЙМІТЬ все або ЗАБОРОНИТИ все, вони можуть бути корисними, в деяких випадках, а не в інших, що залежить від нас, що все, що відбувається в мережі, є нашим бізнесом, і тільки нашим, так, вашим , моє, від того, хто читав підручник, але не знає, як його виконати, або від того, хто його прочитав і застосував занадто добре.
Їзди ти залишайся !!!
Перше, що потрібно зробити, це знати, який порт займає кожна послуга на комп’ютері з встановленим GNU / Linux, для цього не потрібно нікого запитувати або брати участь у пошуку Google чи консультуванні з цього приводу, просто прочитайте файл. Маленький файл? Ну так, невеликий файл.
/ etc / services
Але що він містить / etc / services?
Дуже просто, опис усіх послуги та порти існуючих для цих послуг або TCP, або UDP, організовано та за зростанням. Зазначені послуги та порти були оголошені IANA (Internet Assigned Numbers Authority).
Гра з iptables
В якості перших кроків у нас буде ПК, який буде тестовою машиною, називайте так, як ви хочете, Люсі, Карла чи Наомі, я буду називати це Бессі.
Ситуація:
Ну, добре, Бессі - це проектна машина, яка збирається мати VSFTPd змонтований, OpenSSH біг, і a Apache2 який був встановлений один раз для тестування (перевірка продуктивності), але зараз використовується лише разом із PHPMYADMIN для адміністрування баз даних MySQL які використовуються внутрішньо час від часу.
Примітки, які потрібно взяти:
Ftp, ssh, apache2 та mysql - це служби, які отримують запити на цьому ПК, тому ми повинні враховувати порти, якими вони користуються.
Якщо я не помиляюся і / etc / services не говорить брехні xD, ftp використовує порти 20 і 21, ssh за замовчуванням 22 або якийсь інший, якщо це було визначено в конфігурації (в якомусь іншому дописі я розповім про те, як налаштувати SSH трохи більше, ніж зазвичай відомо), Apache 80 або 443, якщо він має SSL, та MySQL 3306.
Тепер нам потрібна ще одна деталь, IP-адреси ПК, які збираються взаємодіяти з Бессі, щоб наші пожежники між собою не наступали на шланги (означає відсутність конфлікту ха-ха).
Пепе, розробник PHP + MySQL, матиме доступ лише до портів 20-21, 80, 443 та 3306, Френк, що його справа - оновити веб-сторінку проекту, яка буде доставлена протягом місяця, він матиме доступ лише до порту 80 / 443 та 3306 на випадок, якщо вам потрібно внести будь-які виправлення в БД, і я отримаю доступ до всіх ресурсів на сервері (і я хочу захистити логін за допомогою ssh за допомогою IP та MAC). Ми повинні активувати ping на випадок, якщо в якийсь момент ми хочемо опитати машину. Наша мережа - клас С типу 10.8.0.0/16.
Ми почнемо звичайний текстовий файл із назвою firewall.sh в якому він міститиме наступне:
Вставити No 4446 (iptables сценарію)
Отже, за допомогою цих рядків ви дозволяєте доступ членам DevTeam, захищаєте себе і захищаєте ПК, я думаю, це краще пояснити навіть уві сні. Залишилося лише надати йому дозволи на виконання, і все буде готово до роботи.
Існують інструменти, які за допомогою приємного графічного інтерфейсу дозволяють початківцям користувачам налаштовувати брандмауер своїх ПК, наприклад "BadTuxWall", який вимагає Java. Також FwBuilder, QT, про який вже було сказано тут, або "Firewall-Jay", з інтерфейсом у ncurses. На мою особисту думку, я люблю робити це у відкритому тексті, тому змушую себе вчитися.
Ось і все, до швидкої зустрічі, щоб продовжити пояснення, пух зустрічного пуху, якоїсь іншої конфігурації, процесу чи послуги.
чудово Я з нетерпінням чекаю привітання ssh, хорошого допису, привітання
Мені це подобається, я підготую свої запитання ...
# Дозволити вхід на IP-адресу 192.168.0.15 з фізичною адресою 00: 01: 02: 03: 04: 05
iptables -A INPUT -s 192.168.0.15 -m mac –mac-source 00: 01: 02: 03: 04: 05 -p tcp –dport 22 -m state –state NEW -j ACCEPT
Якщо ви хочете додати більше IP та mac-адрес, мова буде йти про вставлення іншого рядка INPUT, що змінюватиме IP та mac адреси відповідно.
Редагувати: оскільки WordPress не ладнає з подвійними дефісами, у наступних частинах команди були подвійні дефіси
- - mac-source 00: 01…
- - dport 22 ...
- - стан НОВИЙ ...
Якщо ви хочете, ви можете використовувати мітки «код», тут ви вводите код «/ код», і два скрипти будуть працювати чудово 😉
Очевидно, змінюючи "і" символами менше-чого і більш-чого
Питання. Коли ви встановлюєте сервер, будь то ssh чи apache або що завгодно. Порт не відкривається сам по собі? Яка різниця між тим, щоб залишити його таким чи відкрити таким?