Иако је Линук један од најпоузданијих и најсигурнијих оперативних система, захваљујући својим карактеристикама, увек ће постојати нека врста рањивости, била она својствена систему или ненамерно од стране корисника. Да бисмо повећали сигурност Линука, имамо различите алате дизајниране за заштиту услуга, процеса, профила или датотека, а данас ћемо се фокусирати на посебан који се зове Иптаблес.
Шта је ИптаблесИптаблес је напредни заштитни зидни алат који је интегрисан у Линук кернел који је део пројекта који се зове нетфилтер.
Захваљујући Иптаблес -у моћи ћемо прецизно и директно управљати свим долазним и одлазним везама са сервером. Иптаблес је развијен за ИПв4 адресирање, док за ИПв6 имамо Ип6таблес.
1. Иптаблес структура у Линук -у
Структура коју налазимо у Иптаблес -у је следећа:
СировоОн је одговоран за филтрирање пакета пре било које друге постојеће табеле
ФилтерОво је подразумевана табела апликације
НатКористи се за превођење мрежних адреса
МангровеКористи се за измену специјализованих мрежних пакета
СигурностМоже се применити за правила мрежне везе са обавезном контролом приступа
2. Структура команде у Иптаблес -у на Линук -у
У Иптаблес -у свако правило је команда која показује како треба поступати са мрежним пакетом.
Можемо користити следећу структуру:
-А УЛАЗ -и етх0 -п тцп -м стање -УСПОСТАВЉЕНО, ПОВЕЗАНО --спорт 80 -ј ПРИХВАТИПараметри који се користе су:
- -А: Означава да ће се правила додати у Иптаблес
- -и: Означава интерфејс на који ће се правило применити
- -п: Односи се на протокол на који ће се правило примењивати
- -м: Односи се на чињеницу да постоји услов који мора бити испуњен да би се правило применило
- --стате: Дозвољава прихватање нових веза
- --спорт: Означава изворни порт
- -ј: (Скок) означава да могу прихватити сав саобраћај који испуњава дате услове.
3. Креирање правила помоћу Иптаблес -а на Линук -у
Иако можемо ручно додати правила, много је практичније створити датотеку правила и затим је увести. У овом случају креираћемо датотеку на путањи / тмп / иптаблес-ип4 и можемо користити уређивач за њено прилагођавање:
судо нано / тмп / иптаблес-ип4Синтакса ће бити следећа:
* филтер # Правила за додавање ЦОММИТСада ћемо унутар наведене датотеке створити следећа правила:
Лоопбацк = То је спољни интерфејс Линука
-А УЛАЗ -и ло -ј ПРИХВАТИ -А ИЗЛАЗ -о ло -ј ПРИХВАТИ
Пинг = Омогућава нам да проверимо мрежне везе
-А УЛАЗ -и етх0 -п ицмп -м стање -стање НОВО --ицмп -тип 8 -ј ПРИХВАТАЊЕ -А УЛАЗ -и етх0 -п ицмп -м стање -стање УСПОСТАВЉЕНО, ПОВЕЗАНО -ј ПРИХВАТАЊЕ -А ИЗЛАЗ - о етх0 -п ицмп -ј ПРИХВАТИ
Веб = Помоћу ових правила контролишемо долазни и одлазни саобраћај.
-А УЛАЗ -и етх0 -п тцп -м стање -стање УСПОСТАВЉЕНО, ПОВЕЗАНО -спорт 80 -ј ПРИХВАТАЊЕ -А УЛАЗ -и етх0 -п тцп -м стање -стање УСТАНОВЉЕНО, ПОВЕЗАНО --спорт 443 -ј ПРИХВАТЉАВАЊЕ -А ИЗЛАЗ -о етх0 -п тцп -м тцп --дпорт 80 -ј ПРИХВАТИ -А ИЗЛАЗ -о етх0 -п тцп -м тцп --дпорт 443 -ј ПРИХВАТИ
У случају додавања ДНС -а користићемо следеће редове:
-А УЛАЗ -и енс3 -с 192.168.0.1 -п удп --спорт 53 -м стање -стање УСПОСТАВЉЕНО, ПОВЕЗАНО -ј ПРИХВАТАЊЕ -А ИЗЛАЗ -о енс3 -д 192.168.0.1 -п удп --дпорт 53 -м удп -ј ПРИХВАТИ
Белешка:Овде морамо изменити ИП по потреби
Време = Ова правила дозвољавају повезивање са НТП ради исправне синхронизације времена
-А УЛАЗ -и етх0 -п удп -м стање -стање УСПОСТАВЉЕНО, ПОВЕЗАНО --дпорт 123 -ј ПРИХВАТАЊЕ -А ИЗЛАЗ -о етх0 -п удп -м удп --спорт 123 -ј ПРИХВАТИ
Штампање = Омогућава УСБ портове за повезивање штампача
-А ИНПУТ -п удп -м удп --дпорт 631 -ј АЦЦЕПТ -А ИНПУТ -п тцп -м тцп --дпорт 631 -ј АЦЦЕПТ -А ОУТПУТ -п удп -м удп --спорт 631 -ј АЦЦЕПТ -А ОУТПУТ -п тцп -м тцп --спорт 631 -ј ПРИХВАТИ
Е -пошта = Можемо омогућити различите протоколе е -поште
# ИМАП -А УЛАЗ -и етх0 -п тцп -м стање -стање УСПОСТАВЉЕНО, ПОВЕЗАНО --спорт 993 -ј ПРИХВАТАЊЕ -А ИЗЛАЗ -о етх0 -п тцп -м тцп --дпорт 993 -ј ПРИХВАТИ
# ПОП3 -А УЛАЗ -и етх0 -п тцп -м стање -стање УСПОСТАВЉЕНО, ПОВЕЗАНО --спорт 995 -ј ПРИХВАТАЊЕ -А ИЗЛАЗ -о етх0 -п тцп -м тцп --дпорт 995 -ј ПРИХВАТИ
# СМТП -А УЛАЗ -и етх0 -п тцп -м стање -стање УСПОСТАВЉЕНО, ПОВЕЗАНО --спорт 465 -ј ПРИХВАТАЊЕ -А ИЗЛАЗ -о етх0 -п тцп -м тцп --дпорт 465 -ј ПРИХВАТИ
ССХ = Омогућите сигурне везе са рачунаром помоћу ССХ протокола
# Улаз -А УЛАЗ -и енс3 -п тцп -м стање -стање НОВО, УСТАНОВЉЕНО --дпорт 22 -ј ПРИХВАТАЊЕ -А ОУТПУТ -о енс3 -п тцп -м стање -стање УСТАНОВЉЕНО -спорт 22 -ј ПРИХВАТЉАВАЊЕ
# Излаз -А ИЗЛАЗ -о енс3 -п тцп -м стање -стање НОВО, УСТАНОВЉЕНО --дпорт 22 -ј ПРИХВАТАЊЕ -А УЛАЗ -и енс3 -п тцп -м стање -стање УСТАНОВЉЕНО -спорт 22 -ј ПРИХВАТАЊЕ
ДХЦП: Можемо створити правила за ауторизацију ИП адресирања путем ДХЦП -а
-А УЛАЗ -и етх0 -п удп -м стање -стање УСПОСТАВЉЕНО, ПОВЕЗАНО --спорт 67:68 -ј ПРИХВАТАЊЕ -А ИЗЛАЗ -о етх0 -п удп -м удп --дпорт 67:68 -ј ПРИХВАТИ
Одбијте све везе: Можемо додати следеће редове да онемогућимо све горе наведено:
-А УЛАЗ -ј ОДБАЦИ -А НАПРЕД -ј ОДБИТИ -А ИЗЛАЗ -ј ОДБИТИ
Сви ови редови биће додати у поменуту датотеку:
ЕНЛАРГЕ
Чувамо промене
Цтрл + О.
Остављамо уредника да користи
Цтрл + Кс
4. Увоз правила помоћу Иптаблес Линука
Када се датотека уреди, можемо увести ова правила у Иптабле извршавањем следеће наредбе:
судо иптаблес -Ф && судо иптаблес -КсСтатус правила можемо видети помоћу наредбе судо иптаблес -С:
ЕНЛАРГЕ
У случају да желимо да вратимо сва правила извршићемо следећи ред:
судо иптаблес-ресторе < / тмп / итпаблес-ип4Ако желимо да ова правила буду трајна, извршићемо следеће:
судо апт инсталл иптаблес-персистентНа овај начин Иптаблес је наш најбољи савезник при конфигурисању заштитног зида у Линук окружењима.
