Sāciet darbu ar Iptables: Neļaujiet sliktiem cilvēkiem (un robotiem) atrasties ārpus sava servera

Atklāšana: Jūsu atbalsts palīdz vietnei darboties! Mēs nopelnām nodošanas maksu par dažiem pakalpojumiem, kurus mēs iesakām šajā lapā.


Iptable ir Linux lietotāja kosmosa lietojumprogramma, ko izmanto IPv4 tabulu konfigurēšanai, ko izmanto Linux kodola ugunsmūris. Iptables ir iekļauts lielākajā daļā Linux izplatījumu, kas darbojas ar 2.4.x kodola vai jaunāku.

Iptable ir ārkārtīgi elastīga komandrindas ugunsmūra utilīta, kas izmanto politikas ķēdes, lai atļautu vai bloķētu trafiku. Tas ir skaidri paredzēts sistēmas administratoriem, jo ​​tam ir nepieciešamas paaugstinātas privilēģijas, un tas ir jāizpilda lietotāja saknei.

Īsa vēsture

Projekta iptables izstrāde tika sākta 1998. gadā, un to vadīja Austrālijas programmatūras izstrādātājs Rusty Russell. Iptable tika izveidots kā ipchains pēctecis – agrāka Linux ugunsmūra utilīta, kuru arī izveidoja Rasels.

Projektam paplašinoties, Rusty Russell 1999. gadā nodibināja Netfilter Core Team. Tas izveidoja Netfilter Linux ietvaru un iptables un izlaida tos ar GNU General Public License. 2000. gada martā Netfilter un iptables tika apvienoti Linux kodola galvenajā tīklā.

Iptable funkcijas un dizains

Dažādiem protokoliem tiek izmantoti dažādi kodola moduļi – iptable attiecas uz IPv4, ip6table uz IPv6, arptable uz ARP un ebtable uz Ethernet rāmjiem..

Iptable tiek izmantots IPv4 pakešu filtru noteikumu tabulu iestatīšanai, uzturēšanai un pārbaudei Linux kodolā..

Var definēt vairākas atšķirīgas tabulas, katrā tabulā iekļaujot vairākas iebūvētas ķēdes vai lietotāja definētas ķēdes. Katra ķēde ir noteikumu kopums, kas var atbilst pakešu kopumam, savukārt katrs noteikums norāda, ko darīt ar atbilstošo paketi. To sauc par mērķi.

Ja pakete atbilst noteikumam, tās likteni nosaka mērķa vērtība: ACCEPT izlaiž paketi, DROP izmet paketi, QUEUE nodod paketi lietotāju telpā, RETURN atsāk nākamo kārtulu iepriekšējā zvana ķēdē.

Atkarībā no kodola konfigurācijas un aktīvajiem moduļiem ir pieejamas līdz piecām neatkarīgām tabulām:

  • Filtrēt ir noklusējuma tabula, kurā ir iebūvētās ķēdes INPUT, FORWARD un OUTPUT.
  • Nat tiek izmantots, ja rodas pakete, kas rada jaunu savienojumu, kurā ir iebūvētās ķēdes PREROUTING, OUTPUT un POSTROUTING.
  • Mangle – izmanto specializētai pakešu maiņai, kas satur iebūvētās ķēdes PREROUTING, INPUT, OUTPUT, FORWARD un POSTROUTING.
  • Neapstrādāts tiek izmantots, lai konfigurētu atbrīvojumus no savienojuma izsekošanas apvienojumā ar NOTRACK mērķi, nodrošinot iebūvētās ķēdes PREROUTING un OUTPUT.
  • Drošība tiek izmantots obligātās piekļuves kontroles (MAC) tīkla noteikumiem ar iebūvētām ķēdēm INPUT, OUTPUT un FORWARD.

Iptables atzītās iespējas ir sadalītas komandās, parametros un citās opcijās.

Izmantojot Iptables

Iptables ir komandrindas utilīta, kas iepriekš instalēta lielākajā daļā Linux izplatījumu. Gadījumā, ja jums ir jāatjaunina vai jāinstalē iptables, varat izmantot šo komandu:

sudo apt-get instalēt iptables

Jums vajadzētu būt īpaši uzmanīgam, ja esat pieteicies attālajā serverī un konfigurējat tā iptables noteikumus, jo viena nepareiza komanda var jūs bloķēt, un tas, iespējams, manuāli jāfiksē serverī.

Mēs parādīsim dažas izplatītas un vienkāršas komandas, kas tiek izmantotas iptables noteikumu konfigurēšanā. Ja plānojat izmantot uzlabotās iptable funkcijas, jums jāpārbauda daži no iptable resursiem, kurus mēs piedāvājam tālāk.

Pašreiz konfigurētos iptables noteikumus var uzskaitīt, izmantojot:

iptables – L

Vairumā gadījumu jūs vēlēsities, lai jūsu sistēma pēc noklusējuma pieņem savienojumus, izmantojot šīs komandas:

iptables – politika INPUT ACCEPT
iptables –politiskais izlaides akcepts
iptables – politika PAREIZI PIEŅEMT

Pēc tam jūs varat izmantot iptables, lai liegtu savienojumus no noteiktām IP adresēm vai portiem, piemēram:

iptables -A INPUT -s 192.168.10.10 -j DROP

Vai arī varat bloķēt savienojumus no virknes IP adrešu, piemēram:

iptables -A INPUT -s 192.168.10.0/24 -j DROP

Dažos īpašos gadījumos jūs varētu izmantot pretēju pieeju, nekā aprakstīts iepriekš. Jūs varētu noraidīt visus savienojumus un manuāli norādīt tos, kuriem vēlaties ļaut izveidot savienojumu. Šo iestatīšanu varētu izmantot serveriem ar sensitīviem datiem, kas ir savienoti ar unikālu IP adresi.

iptables – politika INPUT DROP
iptables –politiskais Izejas piliens
iptables – politika FORWARD DROP
iptables -A INPUT -s 192.168.10.10 -j ACCEPT

Ir svarīgi atzīmēt, ka visas izmaiņas, kas veiktas iptables noteikumos, netiks automātiski saglabātas. Izmaiņas ir jāsaglabā manuāli, izmantojot komandu, kas var atšķirties atkarībā no izplatīšanas. Šī ir Ubuntu komanda:

sudo / sbin / iptables-save

Gadījumā, ja aizmirsāt saglabāt veiktās izmaiņas iptables, tās tiks zaudētas, nākamreiz atsākot iptable pakalpojumu..

Varat arī izmantot komandu flush, lai notīrītu visus konfigurētos noteikumus:

iptables -F

Iptables resursi

Tiešsaistē ir daudz iptable resursu, kas ir saprotams, jo iptable ir iekļauts lielākajā daļā Linux izplatījumu. Iptable programmu apgūšanai un lietošanai nevajadzētu būt grūtībām, it īpaši, ja paļaujaties uz tādiem kvalitātes resursiem kā:

  • Iptable Oficiālā rokasgrāmata ir detalizēta, un tajā ir sniegta noderīga atsauce uz iptable komandām un parametriem.
  • Linux 2.4 pakešu filtrēšana HOWTO dokumentācija ir ļoti detalizēts pakešu filtrēšanas apraksts, ko raksta Rusty Russell. Īpaša interese ir sadaļa Iptables lietošana.
  • Iptables How To ir jauks iptables pārskats.

Iptable grāmatas

Nav daudz grāmatu, kas nodarbojas ar iptable, lai gan iptable ir pieminētas daudzās grāmatās, kas rakstītas uz Linux tīkla un ugunsmūriem..

Tā kā ir daudz kvalitatīvu tiešsaistes resursu, nav brīnums, ka vairs nav tādu grāmatu, kas nodarbojas ar iptables. Tāpēc mēs izdalījām tikai vienu grāmatu par iptables:

  • Gregora Purdija atsauce uz Linux Iptable Pocket: Šī kabatas atsauce jums palīdzēs kritiskos brīžos, kad kāds steidzīgi lūdz jūs atvērt vai aizvērt ostu, lai aktivizētu kādu svarīgu trafiku vai bloķētu uzbrukumu. Grāmata saglabās smalko sintaksi taisni un palīdzēs atcerēties visas vērtības, kas jāievada, lai būtu pēc iespējas drošāka..

Secinājums

Iptable ir plaši izmantota utilīta, tāpēc to noteikti ir vērts apgūt, ja liela daļa jūsu darba notiek ap Linux balstītiem serveriem. Par laimi, tā popularitāte nozīmē, ka iptables joprojām tiek aktīvi attīstīts, un periodiski tiek ieviestas jaunas versijas.

Tas arī nozīmē, ka tiešsaistē netrūkst kvalitatīvu iptables resursu, taču, ja jums patīk papīra gurkstēšana, jums būs grūti atrast iptable grāmatas. Tomēr digitālo iptable resursu milzīgais apjoms vairāk nekā kompensē paperback resursu trūkumu.

Iptables ir jaudīga, taču ērti lietojama utilīta. Visiem topošajiem Linux guru vajadzētu to apgūt.

Turpmākie lasījumi un resursi

Mums ir vairāk rokasgrāmatu, mācību materiālu un infografiku, kas saistīti ar datora lietošanu:

  • Linux programmēšanas ievads un resursi: šī dziļā niršana Linux programmēšanā nonāk kodolā, kur ir visas darbības.
  • Tīkla programmēšana ar interneta ligzdām: uzziniet visu par tīklošanu internetā.

Unix programmēšanas resursi

Ja jūs patiešām nokļūstat Linux un vēlaties sākt tam izveidot programmas, mums ir lieliska vieta, kur sākt mācīties: Unix programmēšanas resursi.

Tīmekļa pārziņa rīku galīgais saraksts A-Z
Unix programmēšanas resursi

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map