iptables, một ước tính gần đúng với một trường hợp thực tế

Mục tiêu của hướng dẫn này là kiểm soát mạng của chúng tôi, tránh sự khó chịu từ một số "vị khách không mong muốn" khác, những người từ bên trong muốn nhìn thấy chúng tôi trên sàn nhà (cách nói của người Cuba có nghĩa là làm phiền, chết tiệt, v.v.), vi rút "đóng gói", các cuộc tấn công bên ngoài hoặc đơn giản là vì niềm vui khi biết rằng chúng tôi có thể ngủ yên .

Ghi: Hãy nhớ các chính sách iptables, CHẤP NHẬN mọi thứ hoặc TỪ CHỐI mọi thứ, chúng có thể hữu ích, trong một số trường hợp và không hữu ích trong một số trường hợp khác, điều đó phụ thuộc vào chúng tôi, rằng mọi thứ xảy ra trên mạng, là việc của chúng tôi và chỉ của chúng tôi, vâng, của bạn , của tôi, từ một người đã đọc hướng dẫn nhưng không biết cách chạy nó, hoặc từ một người đã đọc nó và áp dụng nó quá tốt.

Đi xe bạn ở lại !!!

Điều đầu tiên là phải biết cổng nào mà mỗi dịch vụ chiếm trên máy tính cài đặt GNU / Linux, bạn không cần phải hỏi bất kỳ ai hoặc tham gia tìm kiếm trên Google hoặc tham khảo ý kiến ​​của một học giả về chủ đề này mà chỉ cần đọc một tệp. Một tập tin nhỏ? Vâng, một tập tin nhỏ.

/ etc / services

Nhưng nó chứa những gì / etc / services?

Rất dễ dàng, mô tả của tất cả dịch vụ và cảng hiện có cho các dịch vụ này bằng TCP hoặc UDP, một cách có tổ chức và tăng dần. Các dịch vụ và cổng đã nói đã được khai báo bởi IANA (Tổ chức cấp phát số hiệu Internet).

Chơi với iptables

Ở những bước đầu tiên, chúng ta sẽ có một chiếc PC, đó sẽ là chiếc máy kiểm tra, hãy gọi nó là gì bạn muốn, Lucy, Karla hoặc Naomi, tôi sẽ gọi nó Bessie.

Tình hình:

Chà, tốt, Bessie là một cỗ máy dự án sẽ có VSFTPd gắn kết, OpenSSH đang chạy, và một Apache2 đã được cài đặt một lần để đo điểm chuẩn (kiểm tra hiệu suất), nhưng bây giờ chỉ được sử dụng cùng với phpMyAdmin quản lý cơ sở dữ liệu của MySQL được sử dụng nội bộ theo thời gian.

Những lưu ý cần thực hiện:

Ftp, ssh, apache2 và mysql, là các dịch vụ đang nhận yêu cầu trên PC này, vì vậy chúng tôi phải tính đến các cổng mà chúng sử dụng.

Nếu tôi không sai và / etc / services không nói dối xD, ftp sử dụng cổng 20 và 21, ssh theo mặc định 22 hoặc một số khác, nếu nó đã được xác định trong cấu hình (trong một số bài đăng khác, tôi sẽ nói về cách cấu hình SSH nhiều hơn một chút so với mức bình thường được biết), Apache 80 hoặc 443 nếu có SSL và MySQL 3306.

Bây giờ chúng tôi cần một chi tiết khác, địa chỉ IP của các PC sẽ tương tác với Bessie, để các nhân viên cứu hỏa của chúng tôi, trong số họ, không giẫm lên ống mềm (có nghĩa là không có xung đột haha).

Pepe, nhà phát triển PHP + MySQL, sẽ chỉ có quyền truy cập vào các cổng 20-21, 80, 443 và 3306, Frank, việc của anh ấy là cập nhật trang web của dự án sẽ được giao trong một tháng, anh ấy sẽ chỉ có quyền truy cập vào cổng 80 / 443 và 3306 trong trường hợp bạn cần thực hiện bất kỳ chỉnh sửa nào trong DB và tôi sẽ có quyền truy cập vào tất cả các tài nguyên trên máy chủ (và tôi muốn bảo vệ thông tin đăng nhập bằng ssh bằng IP và MAC). Chúng tôi phải kích hoạt ping trong trường hợp chúng tôi muốn thăm dò máy tại một số điểm. Mạng của chúng tôi là loại C thuộc loại 10.8.0.0/16.

Chúng tôi sẽ bắt đầu một tệp văn bản thuần túy có tên tường lửa.sh trong đó nó sẽ chứa những thứ sau:

Dán số 4446 (iptables tập lệnh)

Và như vậy, với những dòng này, bạn cho phép truy cập vào các thành viên DevTeam, bảo vệ bản thân và bảo vệ PC, tôi nghĩ đã giải thích rõ hơn, thậm chí không phải trong mơ. Nó chỉ còn lại để cung cấp cho nó quyền thực thi và mọi thứ sẽ sẵn sàng hoạt động.

Có những công cụ, thông qua một GUI đẹp, cho phép người dùng mới làm quen định cấu hình tường lửa của PC, chẳng hạn như "BadTuxWall", yêu cầu Java. Ngoài ra, FwBuilder, QT, đã được thảo luận ở đây hoặc "Firewall-Jay", với giao diện bằng ncurses. Theo ý kiến ​​cá nhân của tôi, tôi thích làm ở dạng văn bản thuần túy, vì vậy tôi buộc mình phải học.

Đó là tất cả, hẹn gặp lại bạn để tiếp tục giải thích, phần còn lại của bộ phản, của một số cấu hình, quy trình hoặc dịch vụ khác.


6 bình luận, để lại của bạn

Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu bằng *

*

*

  1. Chịu trách nhiệm về dữ liệu: Miguel Ángel Gatón
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.

  1.   rudolph alexander dijo

    tuyệt vời, tôi mong đợi lời chào ssh, bài đăng tốt, lời chào.

  2.   faustod dijo

    Tôi thích điều đó, tôi sẽ chuẩn bị các câu hỏi của mình ...

  3.   nwt_lazaro dijo

    # Cho phép nhập địa chỉ IP 192.168.0.15 với địa chỉ thực 00: 01: 02: 03: 04: 05

    iptables -A INPUT -s 192.168.0.15 -m mac –mac-source 00: 01: 02: 03: 04: 05 -p tcp –dport 22 -m state –state MỚI -j CHẤP NHẬN

    Nếu bạn muốn thêm nhiều địa chỉ IP và mac, bạn sẽ phải chèn một chuỗi INPUT khác thay đổi địa chỉ IP và mac tương ứng.

  4.   nwt_lazaro dijo

    Chỉnh sửa: vì WordPress không có dấu gạch ngang kép, nên các phần sau của lệnh có dấu gạch nối đôi
    - - nguồn mac 00: 01…
    - - cổng 22 ...
    - - trạng thái MỚI ...

    1.    KZKG ^ Gaara dijo

      Nếu bạn muốn, bạn có thể sử dụng nhãn «mã» ở đây, bạn đặt mã «/ mã» và hai tập lệnh sẽ hoạt động hoàn hảo 😉
      Rõ ràng là thay đổi "và" bằng các ký hiệu của cái ít hơn và cái lớn hơn

  5.   @Jlcmux dijo

    Câu hỏi. Khi bạn cài đặt một máy chủ, có thể là ssh hoặc apache hoặc bất cứ thứ gì. Cổng không tự mở? Sự khác biệt giữa việc để nó như thế này hoặc mở nó theo cách này?