У овом водичу ћемо говорити о иптаблес, заштитни зид или заштитни зид који имамо у Линук -у. Овај алат ће нам омогућити да филтрирамо пакете (са којима ће се упутство бавити), генерише запис дневника, извршава НАТ преводе.
Захваљујући иптаблес -у можемо једноставно генерирати правила за филтрирање пакета, иако вам при првом кориштењу може дјеловати помало збуњујуће, видјет ћете да када га користите неколико дана нема никаквих компликација.
Употреба овог алата захтева високе привилегије, односно мораћемо да будемо суперкорисници да бисмо га покренули. Имамо много могућности у оквиру иптаблес -а, циљ водича је да кроз примере сагледа приближну употребу. Важно је да када завршите водич, наставите да копате, јер је то веома корисно.
Затим напуштамо званичну веб страницу у случају да је од интереса:
БелешкаЗа ИПв6 имамо ип6таблес.
Ако желимо да видимо информације о иптаблес -овима, извршићемо следеће у терминалу:
ман иптаблесВидећемо следеће информације:
На слици можете видети део информација које даје команда, да бисте видели све, померите се надоле у терминалу. Као што смо видели на почетку водича, један од задатака који ће нам дозволити иптаблес је да створимо правила или филтере како бисмо знали шта да радимо са пакетима који као полазиште / одредиште имају нашу машину. За овај задатак биће нас занимало зашто користимо следеће концепте:
Одбори
Иптаблес има неколико табела, али за наш водич се фокусирамо само на филтер сто, који је задужен за филтрирање, подразумевано се користи у иптаблес.
Ланци
Низови које ћу овде ставити су они који припадају табели која је претходно коментарисана.
- Улазни: Пакети намењени нашој машини.
- Оутпут: Пакети који потичу из нашег система.
- Напријед: Пакети који пролазе кроз нашу машину да би се преусмерили на другу.
Правила
Навешћемо 2 која ће се користити у водичу, али има их још.
- Прихвати: Пакети се прихватају.
- Кап: Пакети се одбацују.
Параметри
Неки од параметара које можемо користити су следећи.
- -Правило: Да бисте додали правило
- -Д правило: За брисање правила које наводимо.
- -Л: Омогућава нам да наведемо правила.
- -Ф: Избришите сва постојећа правила.
- -ј мета: Подесите врсту правила (Прихвати, Одбаци).
- -т стол: Показује табелу која се користи (подразумевано табела филтера).
- -п протокол: Користи се за означавање протокола.
- -и интерфејс: Успостављамо интерфејс за правило.
- -с: За означавање порекла.
- -д: За означавање одредишта.
- -х: Приказује помоћ.
Има их још много, колико могу бити --дестинатион-порт или --соурце-порт. Да бисте их видели, можете покренути наредбу о којој смо горе говорили:
ман иптаблесИли можете покренути и:
иптаблес -хБелешкаМорате пажљиво погледати опције које нуди алат, јер разликује мала и велика слова и можемо погрешити (неће бити исто ставити -п то -П).
Почнимо са примерима, биће стављено укупно 10, па ће се боље разумети и видети како иптаблес ради у режиму заштитног зида. У примерима нећете видети судо, неће бити потребно ако сте као роот, иначе ћете морати да додате реч судо на почетку сваког примера.
1. Забранити одлазак на било коју дестинацијуЗа почетак ћемо дати једноставан пример, не напуштајте излаз нигде.
иптаблес -А ИЗЛАЗ -ј ДРОПОвај је веома лак, као што видите, следећи је још лакши.
2. Обришите сва правилаНастављамо са врло једноставним примером, остављамо наше иптаблес без правила, јер ћемо за ово извршити:
иптаблес -ФПа хајде да то закомпликујемо још мало у следећој.
3. Забранити полазак преко луке 80Сада се бринемо о затварању излаза преко одређеног порта, у овом случају то је 80, па нећемо имати прегледавање веба кроз хттп протокол (ако одемо на хттпс страницу, можемо се кретати, иако бисмо могли учинити исто као 80).
иптаблес -А ИЗЛАЗ -п тцп --дестинатион -порт 80 -ј ДРОПБелешкаКада користимо одредишни или изворни порт, мораћемо да ставимо -п параметар за означавање протокола.
Прелазимо на четврти пример.
4. Забраните навигацију до страницеОвом приликом желимо да забранимо приступ Кс страници са нашег система, замислимо да је ова страница решетиц.цом, јер за то сазнајемо њен ИП, врло лако извршењем пинг -а ћемо га добити.
А сада ћемо извршити:
иптаблес -А ИЗЛАЗ -д 178.33.118.246 -ј ДРОПКао што видимо, довољно је да након параметра наведете свој ИП -д.
5. Наведите правила која постојеОвај пример ће покушати да наведе правила филтрирања која смо тренутно дефинисали:
иптаблес -ЛВидимо слику, имамо само два дефинисана правила, као што видимо испод:
Пређимо на шести пример, у којем ћемо поново користити списак правила.
6. Обришите одређено правилоОвде ћемо, полазећи од правила која смо имали у претходном примеру, избрисати једно од излазних правила, у овом случају прво које се појави, извршавамо следеће:
иптаблес -Д ИЗЛАЗ 1А да бисмо проверили да ли је ефикасно избрисан, користимо пример 5:
Наставимо са још.
7. Избегавајте пингНе желимо да нас пингују, јер ћемо због тога блокирати унос за ИЦМП протокол.
иптаблес -А УЛАЗ -п ИЦМП -ј ДРОПИспод остављам слику пингања пре извршавања горње команде и после:
Видимо да наша машина не одговара, јер одбија ИЦМП пакете. Ако блокирамо излаз уместо уноса, извршили бисмо:
иптаблес -А ИЗЛАЗ -п ИЦМП -ј ДРОППоновило би се исто што и на претходној слици. За тестирање сам урадио 3 пута пинг, ако извршимо можемо видети број пакета:
иптаблес -Л -в
Видимо да ефективно ставља 3 на претходну слику.
8. Спречите да нам ИП шаље податкеПрименићемо улазни, не желимо да нас повеже одређени ИП, па ћемо извршити:
иптаблес -А УЛАЗИ -с 192.168.66.1 -ј ДРОППогледајмо нешто дужи пример.
9. Дозволите излазе на низ ИП адресаЗамислите да желите прихватити само излазе на низ ИП адреса, али одбити остале излазе, морамо извршити:
Иптаблес -А ОУТПУТ -д 192.168.0.0/24 -ј АЦЦЕПТ Иптаблес -А ОУТПУТ -ј ДРОПБелешкаРедослијед извршавања правила је битан, испробајте овај примјер са мрежом коју желите дозволити и успоставите везу, видјет ћете да ради, затим избришите сва правила и извршите 2 реченице обрнуто, сада би одбацио везе .
Пређимо на десети и последњи пример.
10. Отворите порт 143 (имап)Отворићемо порт за унос свих тцп пакета, у овом случају 143 (за остале би било исто).
иптаблес -А ИНПУТ -м стање -стање НОВО -п тцп --дпорт 143 -ј ПРИХВАТИУ овом примеру смо желели да користимо --дпорт, тако да видите да можемо користити ово или --дестинатион-порт, такође бисмо могли користити --спорт уместо --соурце-порт.
Водич се овде завршава, сада покушавате да примените друга правила, што више вежбате, брже ћете имати примену правила и мање ће вас то коштати. За крај остављамо водич који би вас могао занимати, отварање и затварање портова у систему Виндовс 10.