- 1. Филтрирање пакета на Линук -у
- 2. Прикажите статус заштитног зида
- 3. Зауставите, поново покрените или покрените иптаблес на Линук -у
- 4. Додајте нова правила заштитног зида у Линук
- 5. Избришите правило заштитног зида на Линук -у
- 6. Чувајте и враћајте правила иптаблес на Линук
- 7. Подесите подразумевана правила у Линук -у
- 8. Блокирајте ИП адресу у Линуку
- 9. Блокирајте долазне захтеве за порт на Линук -у
- 10. Да ли или не дозвољавате мрежни саобраћај користећи МАЦ адресу у Линуку
- 11. Блокирајте или дозволите ИЦМП захтеве на Линук -у
- 12. Отворите низ портова и ИП адреса у Линук -у
- 13. Ограничите број паралелних веза са сервером према ИП -у клијента на Линук -у
- 14. Ограничите број паралелних веза са сервером према ИП -у клијента на Линук -у
- 15. Јасна НАТ правила за Линук
- 16. Ресетујте бројаче пакета у Линук -у
- 17. Потврдите заштитни зид на Линуку
- 18. Дозволите приступ петљи помоћу иптаблес -а на Линук -у
- 19. Дефинишите нове иптаблес низове на Линук -у
- 20. Очистите ланце заштитних зидова и правила за иптаблес на Линук -у
Заштита мора увек бити једна од просторија у којој администратори, руководство и особље за подршку и, генерално, сви корисници било ког тренутног оперативног система морају да раде због више претњи присутних на мрежи.
У случају дистрибуција Линука, већина њих има напредне алате за примену филтера на мрежне пакете и на нивоу обраде контроле мрежних пакета при уносу, кретању, контроли и излазу стека. Мреже унутар језгра система који се користи , дакле, почевши од кернела 2.4, уведени су иптаблес, који се називају и нетфилтер и који имају виши ниво сигурности и практичне функционалности за заштиту система.
иптаблес управља ИПв4 филтрирањем, док ип6таблес управља ИПв6 филтрирањем на данашњим мрежама.
Солветиц ће урадити анализу о томе како иптаблес функционише и неке од практичнијих наредби које можемо преузети из њега.
1. Филтрирање пакета на Линук -у
Језгро дистрибуција Линука користи алат Нетфилтер за извођење процеса филтрирања пакета и на тај начин обавља задатке њиховог примања или заустављања.
Правила уграђена у НетфилтерНетфилтер је подразумевано уграђен у Линук кернел и има три табеле или листе правила интегрисаних на овај начин:
- филтер: Односи се на подразумевану табелу дизајнирану за управљање пакетима.
- нат: Његова функција је да мења пакете који су створени у новој вези које првенствено користи НАТ.
- мангле: Његова употреба се примењује када се морају променити одређени мрежни пакети.
Сада свака табела има групу уграђених ланаца који су повезани са радњама које може извршити нетфилтер, а то су:
Правила за филтрирање табелаУграђени низови за табелу филтера су:
- УЛАЗ: Везано је за пакете који су намењени хосту.
- ОУТПУТ: Ово функционира на мрежним пакетима који су генерирани локално.
- НАПРЕД: Повезује пакете који су усмерени кроз главни хост.
Правила за нат табелеУграђени низови за нат табелу су:
- ИСТРАЖИВАЊЕ: Његова функција је да мења мрежне пакете чим стигну.
- ИЗЛАЗАК: Дизајниран је тако да мења мрежне пакете који су креирани локално и активира се пре слања.
- ПОСТРОУТИНГ: Креирано за измену пакета пре слања глобално.
Правила за плоче од мангроваУграђени ланци за стол од мангрова су:
- УЛАЗ: Дизајнирано за измену мрежних пакета намењених главном хосту.
- ОУТПУТ: Креирано за измену локално креираних мрежних пакета и ради пре него што се пошаљу.
- НАПРЕД: Мења пакете који су усмерени кроз главни хост.
- ПРЕРОУТИНГ: Ваш задатак је да измените долазне пакете пре него што се усмере.
- ПОСТРОУТИНГ: Мења мрежне пакете пре процеса слања.
Сваки мрежни пакет примљен или послат из оперативног система Линук увек је везан за најмање једну табелу. Хајде сада да разумемо неке од кориснијих команди које можемо користити са иптаблес.
2. Прикажите статус заштитног зида
Корак 1
Да бисмо сазнали тренутно стање заштитног зида, извршавамо следећи ред:
судо иптаблес -Л -н -в
ЕНЛАРГЕ
Корак 2
Тамо можемо потврдити сваки ланац са одговарајућим нивоима управљаних пакета, параметри који се користе у овој команди су:
-ЛПрикажите правила листе.
-вГенерише детаљне информације као што су име интерфејса, плус опције правила, плус пакети и бројачи бајтова су такође наведени, са суфиксом 'К', 'М' или 'Г' за опције од 1000, 1.000.000 и 1.000.000.000, респективно.
-нПриказује ИП адресу и порт у нумеричком формату.
Корак 3
Ако желите, погледајте овај резултат са бројем редова, можемо извршити следеће:
иптаблес -н -Л -в --лине -бројеви
ЕНЛАРГЕ
3. Зауставите, поново покрените или покрените иптаблес на Линук -у
Корак 1
Главне команде за управљање задацима иптаблес на почетном или зауставном нивоу су:
сервице иптаблес стоп сервице иптаблес старт сервице иптаблес рестартКорак 2
Такође ће бити могуће користити команду иптаблес да зауставите заштитни зид и уклоните сва правила попут овог:
иптаблес -Ф иптаблес -Кс иптаблес -т нат -Ф иптаблес -т нат -Кс иптаблес -т мангле -Ф иптаблес -т мангле -Кс иптаблес -П ИНПУТ АЦЦЕПТ иптаблес -П ИЗЛАЗ ПРИХВАТИ иптаблес -П НАПРЕД ПРИХВАТИКорак 3
Дефинисани параметри су:
-ФУклоните сва правила.
-ИКСИзбришите низ.
-тиме_табеле: Изаберите табелу (названу нат или мангле) и избришите или одбаците правила.
-ППодесите подразумеване смернице као што су ДРОП, РЕЈЕЦТ или АЦЦЕПТ.
4. Додајте нова правила заштитног зида у Линук
Корак 1
Један од најпрактичнијих задатака иптаблес -а је стварање одређених правила за исправно управљање пакетима, за уметање једног или више правила у изабрани ланац користићемо следећу синтаксу где се бројеви редова морају прво открити:
иптаблес -Л ИНПУТ -н --лине -бројевиКорак 2
на пример, додајмо следеће правило:
иптаблес -И УЛАЗ 2 -с 192.168.0.50 -ј ДРОПКорак 3
Касније ћемо видети правила користећи горњу команду. Тамо видимо да је створено правило додато у ред 3 како је назначено.
ЕНЛАРГЕ
5. Избришите правило заштитног зида на Линук -у
Корак 1
Пре свега, морамо приказати правила која су створена да бисмо тачно одредили која од њих треба елиминисати, да бисмо добили ове информације имамо следеће опције:
иптаблес -Л ИНПУТ -н --лине -нумберс иптаблес -Л ОУТПУТ -н --лине -нумберс иптаблес -Л ОУТПУТ -н --лине -нумберс | мањеКорак 2
Сада, да бисмо избрисали претходно створено правило 3, извршићемо следеће:
иптаблес -Д УЛАЗ 3
ЕНЛАРГЕ
6. Чувајте и враћајте правила иптаблес на Линук
Корак 1
Сваки пут када направимо промену у правилима иптаблес морамо наставити са спремањем тих промена, за то је довољно извршити следећи ред:
сервис иптаблес знаКорак 2
Једноставно можемо вратити та правила која смо ускладиштили извршавањем следећег:
сервице иптаблес се поново покреће
7. Подесите подразумевана правила у Линук -у
Помоћу иптаблес -а биће могуће дозволити или одбити подразумевана правила која се морају применити на цео систем на следећи начин.
Корак 1
Да бисмо елиминисали сав промет, извршавамо:
иптаблес -П ИНПУТ ДРОП иптаблес -П ОУТПУТ ДРОП иптаблес -П НАПРЕД ДРОПКорак 2
Да бисте уклонили сав долазни саобраћај:
иптаблес -П ИНПУТ ДРОП иптаблес -П НАПРЕД ДРОП иптаблес -П ОУТПУТ АЦЦЕПТ иптаблес -А ИНПУТ -м стање -НОВО, УСТАНОВЉЕНО -ј АЦЦЕПТ
ЕНЛАРГЕ
8. Блокирајте ИП адресу у Линуку
Помоћу иптаблес -а биће могуће блокирати одређену ИП адресу како би се спречило њено приступање мрежном пакету систему. За овај задатак имамо следеће опције:
иптаблес -А ИНПУТ -с 192.168.0.14 -ј ДРОП (Специфични ИП) иптаблес -А ИНПУТ -с 192.168.0.0/24 -ј ДРОП (Распон адреса)
9. Блокирајте долазне захтеве за порт на Линук -у
Корак 1
Још један типичан безбедносни задатак је ограничити приступ пакетима преко одређеног порта, са иптаблес -ом имамо следеће опције:
Блокирајте све радњеБлокирајте све радње за одређени порт извршавањем:
иптаблес -А ИНПУТ -п тцп --дпорт 80 -ј ДРОП иптаблес -А ИНПУТ -и етх1 -п тцп --дпорт 80 -ј ДРОП
Блокирајте портБлокирајте порт за одређену ИП адресу:
иптаблес -А ИНПУТ -п тцп -с 192.168.0.14 --дпорт 80 -ј ДРОП иптаблес -А ИНПУТ -и етх1 -п тцп -с 192.168.0.1/24 --дпорт 80 -ј ДРОП
Блокирајте одлазну ИП адресу
Могуће је блокирати одлазни саобраћај на одређени хост или домен, на пример Солветиц.цом, за то извршавамо следеће:
хост -т то солутионтиц.цом
ЕНЛАРГЕ
Корак 2
Сада, са овом ИП адресом, настављамо са блокирањем:
иптаблес -А ИЗЛАЗ -д 178.33.118.246 -ј ДРОПКорак 3
Такође ће бити могуће блокирати цео домен на овај начин:
иптаблес -А ИЗЛАЗ -п тцп -д ввв.солветиц.цом -ј ДРОП
10. Да ли или не дозвољавате мрежни саобраћај користећи МАЦ адресу у Линуку
Друга могућност коришћења је да ограничите или дозволите употребу пакета на основу МАЦ адресе изабраног уређаја. За ово ћемо користити једну од следећих опција:
иптаблес -А ИНПУТ -м мац --мац -соурце 00: 2Ф: ЕФ: 85: 04: 09 -ј ДРОП (Одбијање саобраћаја са изабране МАЦ адресе) иптаблес -А ИНПУТ -п тцп --дестинатион -порт 22 -м мац --мац -соурце 00: 2Ф: ЕФ: 85: 04: 09 -ј АЦЦЕПТ (Подржава пакете са адресе назначене само портом 22)
11. Блокирајте или дозволите ИЦМП захтеве на Линук -у
ИЦМП протокол (Интернет Цонтрол Мессаге Протоцол) је протокол развијен за управљање информацијама везаним за грешке на рачунарима локалне мреже, тако да се помоћу овог протокола могу упућивати удаљени захтеви за проверу доступности тима, а то у погледу безбедности може бити деликатно .
Корак 1
Да бисмо избегли ИЦМП захтеве на Линук -у, можемо покренути следеће редове:
иптаблес -А ИНПУТ -п ицмп --ицмп -типе ецхо -рекуест -ј ДРОП иптаблес -А ИНПУТ -и етх1 -п ицмп --ицмп -типе ецхо -рекуест -ј ДРОПКорак 2
Пинг одговори такође могу бити ограничени на одређене мреже или хостове попут овог:
иптаблес -А ИНПУТ -с 192.168.0.1/24 -п ицмп --ицмп -типе ецхо -рекуест -ј АЦЦЕПТКорак 3
Моћи ћемо да прихватимо само ограничену врсту ИЦМП захтева попут ове:
иптаблес -А ИНПУТ -п ицмп --ицмп -типе ецхо -репли -ј АЦЦЕПТ иптаблес -А ИНПУТ -п ицмп --ицмп -типе дестинатион -унреацхабле -ј АЦЦЕПТ иптаблес -А ИНПУТ -п ицмп --ицмп -типе тиме- премашио -ј ПРИХВАТИ
12. Отворите низ портова и ИП адреса у Линук -у
Корак 1
Ово је корисно ако морамо омогућити дефинисани опсег портова за извршавање административних радњи или извршења програма:
иптаблес -А УЛАЗ -м стање -стање НОВО -м тцп -п тцп --дпорт 9000: 9020 -ј ПРИХВАТИТако смо отворили опсег портова од 9000 до 9020 за ТЦП везе.
Корак 2
Друга алтернатива је омогућити низ ИП адреса постављањем одређеног порта попут овог. Тамо смо овластили овај опсег да користи порт 80.
иптаблес -А ИНПУТ -п тцп --дестинатион -порт 80 -м ипранге --срц -ранге 192.168.0.70-192.168.0.80 -ј АЦЦЕПТ
13. Ограничите број паралелних веза са сервером према ИП -у клијента на Линук -у
Корак 1
Можемо користити цоннлимит модул за дефинисање ових ограничења, на пример, да бисмо омогућили 5 ссх веза по клијенту, уносимо следеће:
иптаблес -А ИНПУТ -п тцп --син --дпорт 22 -м цоннлимит --цоннлимит -абове 5 -ј ОДБИЈИ
ЕНЛАРГЕ
Корак 2
Да бисте ограничили ХТТП приступ на 10:
иптаблес -п тцп --син --дпорт 80 -м цоннлимит --цоннлимит -абове 10 --цоннлимит -маск 24 -ј ДРОПКорак 3
Навели смо следеће:
- --цоннлимит-абове 5: Подудара се ако је број постојећих веза већи од 5.
- --цоннлимит-маск 24: Ово су хостови група који користе дужину префикса. За ИПв4, то мора бити број између (укључујући) 0 и 32.
14. Ограничите број паралелних веза са сервером према ИП -у клијента на Линук -у
Корак 1
НАТ (Нетворк Аддресс Транслатион) је систем за превођење мрежних адреса и на тај начин олакшава навигацију. Да бисмо их навели, извршићемо следеће:
иптаблес -т нат -Л -н -в
ЕНЛАРГЕ
Корак 2
Биће могуће видети овај резултат са одговарајућим редовима овако:
иптаблес -т нат -в -Л -н --лине -број
15. Јасна НАТ правила за Линук
Корак 1
Ако желимо да избришемо успостављена НАТ правила, извршићемо следеће:
иптаблес -т нат -в -Л -н --лине -нумбер иптаблес -т нат -в -Л ПРЕРОУТИНГ -н -иптаблес -лине -број -т нат -в -Л ПОСТРОУТИНГ -н --лине -нумберКорак 2
Да бисмо избрисали сва правила „ПРЕРОУТИНГ“ извршавамо следећу синтаксу:
иптаблес -т нат -Д ПРЕРОУТИНГ {Правило број} Корак 3Да бисмо избрисали сва правила „ПОСТРОУТИНГ“ која извршавамо:
иптаблес -т нат -Д ПОСТРОУТИНГ {правило број}
16. Ресетујте бројаче пакета у Линук -у
Прво морамо извршити наредбу "иптаблес -Л -н -в", коју смо видели раније, да бисмо навели бројаче.
Корак 1
Да бисте обрисали ове бројаче, само покрените следеће:
иптаблес -ЗКорак 2
Да бисмо ресетовали бројаче само за приступ, извршавамо:
иптаблес -З УЛАЗ
17. Потврдите заштитни зид на Линуку
Корак 1
Пре свега, морамо потврдити да ли су портови отворени или не следећом командом:
нетстат -тулпн
ЕНЛАРГЕ
Корак 2
Да бисмо потврдили одређени порт, извршавамо:
нетстат -тулпн | греп: 80
ЕНЛАРГЕ
Корак 3
У случају да порт није отворен, извршавамо:
услуга хттпд стартКорак 4
Затим морамо бити сигурни да иптаблес има приступ преко тог порта:
иптаблес -Л ИНПУТ -в -н | греп 80
18. Дозволите приступ петљи помоћу иптаблес -а на Линук -у
Лоопбацк приступ чији је приступ са ИП 127.0.0.1 је важан и увек га треба оставити активним за задатке администрације и управљања мрежом. Да бисте га омогућили у иптаблес -у, само извршите следеће.
иптаблес -А ИНПУТ -и ло -ј АЦЦЕПТ иптаблес -А ОУТПУТ -о ло -ј АЦЦЕПТ
19. Дефинишите нове иптаблес низове на Линук -у
Корак 1
Са иптаблес -има имамо могућност да дефинишемо сопствени ланац и у њега сачувамо прилагођена правила. Да бисмо дефинисали ланац, извршавамо следеће:
иптаблес -Н "Назив низа"Корак 2
Затим покрећемо "иптаблес -Л" да наведемо низове иптаблес:
ЕНЛАРГЕ
Корак 3
У резултату ћемо видети наш креирани ланац:
ЕНЛАРГЕ
20. Очистите ланце заштитних зидова и правила за иптаблес на Линук -у
Да бисмо извршили ово брисање, морамо извршити следеће:
иптаблес -ФКао што видимо, иптаблес је свеобухватно решење за централно управљање различитим безбедносним аспектима у дистрибуцијама Линука ради постизања побољшања у свему што се тиче приватности.
