iptables, наближення до реального випадку

Метою цього підручника є контролювати нашу мережу, уникаючи роздратування з боку якогось іншого "небажаного гостя", який зсередини хоче розпиляти підлогу (кубинський вираз, що означає турбувати, трахнути тощо), вірус "пакувальника", зовнішні атаки або просто для задоволення, знаючи, що ми можемо спати спокійно .

Увага: Пам'ятайте про правила iptables, ПРИЙМІТЬ все або ЗАБОРОНИТИ все, вони можуть бути корисними, в деяких випадках, а не в інших, що залежить від нас, що все, що відбувається в мережі, є нашим бізнесом, і тільки нашим, так, вашим , моє, від того, хто читав підручник, але не знає, як його виконати, або від того, хто його прочитав і застосував занадто добре.

Їзди ти залишайся !!!

Перше, що потрібно зробити, це знати, який порт займає кожна послуга на комп’ютері з встановленим GNU / Linux, для цього не потрібно нікого запитувати або брати участь у пошуку Google чи консультуванні з цього приводу, просто прочитайте файл. Маленький файл? Ну так, невеликий файл.

/ etc / services

Але що він містить / etc / services?

Дуже просто, опис усіх послуги та порти існуючих для цих послуг або TCP, або UDP, організовано та за зростанням. Зазначені послуги та порти були оголошені IANA (Internet Assigned Numbers Authority).

Гра з iptables

В якості перших кроків у нас буде ПК, який буде тестовою машиною, називайте так, як ви хочете, Люсі, Карла чи Наомі, я буду називати це Бессі.

Ситуація:

Ну, добре, Бессі - це проектна машина, яка збирається мати VSFTPd змонтований, OpenSSH біг, і a Apache2 який був встановлений один раз для тестування (перевірка продуктивності), але зараз використовується лише разом із PHPMYADMIN для адміністрування баз даних MySQL які використовуються внутрішньо час від часу.

Примітки, які потрібно взяти:

Ftp, ssh, apache2 та mysql - це служби, які отримують запити на цьому ПК, тому ми повинні враховувати порти, якими вони користуються.

Якщо я не помиляюся і / etc / services не говорить брехні xD, ftp використовує порти 20 і 21, ssh за замовчуванням 22 або якийсь інший, якщо це було визначено в конфігурації (в якомусь іншому дописі я розповім про те, як налаштувати SSH трохи більше, ніж зазвичай відомо), Apache 80 або 443, якщо він має SSL, та MySQL 3306.

Тепер нам потрібна ще одна деталь, IP-адреси ПК, які збираються взаємодіяти з Бессі, щоб наші пожежники між собою не наступали на шланги (означає відсутність конфлікту ха-ха).

Пепе, розробник PHP + MySQL, матиме доступ лише до портів 20-21, 80, 443 та 3306, Френк, що його справа - оновити веб-сторінку проекту, яка буде доставлена ​​протягом місяця, він матиме доступ лише до порту 80 / 443 та 3306 на випадок, якщо вам потрібно внести будь-які виправлення в БД, і я отримаю доступ до всіх ресурсів на сервері (і я хочу захистити логін за допомогою ssh за допомогою IP та MAC). Ми повинні активувати ping на випадок, якщо в якийсь момент ми хочемо опитати машину. Наша мережа - клас С типу 10.8.0.0/16.

Ми почнемо звичайний текстовий файл із назвою firewall.sh в якому він міститиме наступне:

Вставити No 4446 (iptables сценарію)

Отже, за допомогою цих рядків ви дозволяєте доступ членам DevTeam, захищаєте себе і захищаєте ПК, я думаю, це краще пояснити навіть уві сні. Залишилося лише надати йому дозволи на виконання, і все буде готово до роботи.

Існують інструменти, які за допомогою приємного графічного інтерфейсу дозволяють початківцям користувачам налаштовувати брандмауер своїх ПК, наприклад "BadTuxWall", який вимагає Java. Також FwBuilder, QT, про який вже було сказано тут, або "Firewall-Jay", з інтерфейсом у ncurses. На мою особисту думку, я люблю робити це у відкритому тексті, тому змушую себе вчитися.

Ось і все, до швидкої зустрічі, щоб продовжити пояснення, пух зустрічного пуху, якоїсь іншої конфігурації, процесу чи послуги.


Зміст статті відповідає нашим принципам редакційна етика. Щоб повідомити про помилку, натисніть тут.

6 коментарі, залиште свій

Залиште свій коментар

Ваша електронна адреса не буде опублікований. Обов'язкові для заповнення поля позначені *

*

*

  1. Відповідальний за дані: Мігель Анхель Гатон
  2. Призначення даних: Контроль спаму, управління коментарями.
  3. Легітимація: Ваша згода
  4. Передача даних: Дані не передаватимуться третім особам, за винятком юридичних зобов’язань.
  5. Зберігання даних: База даних, розміщена в мережі Occentus Networks (ЄС)
  6. Права: Ви можете будь-коли обмежити, відновити та видалити свою інформацію.

  1.   Родольфо Алехандро - сказав він

    чудово Я з нетерпінням чекаю привітання ssh, хорошого допису, привітання

  2.   Фаустод - сказав він

    Мені це подобається, я підготую свої запитання ...

  3.   nwt_lazaro - сказав він

    # Дозволити вхід на IP-адресу 192.168.0.15 з фізичною адресою 00: 01: 02: 03: 04: 05

    iptables -A INPUT -s 192.168.0.15 -m mac –mac-source 00: 01: 02: 03: 04: 05 -p tcp –dport 22 -m state –state NEW -j ACCEPT

    Якщо ви хочете додати більше IP та mac-адрес, мова буде йти про вставлення іншого рядка INPUT, що змінюватиме IP та mac адреси відповідно.

  4.   nwt_lazaro - сказав він

    Редагувати: оскільки WordPress не ладнає з подвійними дефісами, у наступних частинах команди були подвійні дефіси
    - - mac-source 00: 01…
    - - dport 22 ...
    - - стан НОВИЙ ...

    1.    KZKG ^ Гаара - сказав він

      Якщо ви хочете, ви можете використовувати мітки «код», тут ви вводите код «/ код», і два скрипти будуть працювати чудово 😉
      Очевидно, змінюючи "і" символами менше-чого і більш-чого

  5.   @Jlcmux - сказав він

    Питання. Коли ви встановлюєте сервер, будь то ssh чи apache або що завгодно. Порт не відкривається сам по собі? Яка різниця між тим, щоб залишити його таким чи відкрити таким?