Configuració d'iptables en CentOS juliol

Tots els sistemes operatius basats en el nucli de Linux tenen un tallafocs integrat que controla i filtra el tràfic entrant i sortint segons les regles definides per l'usuari o la plataforma. En la distribució CentOS 7, per defecte, aquesta funció la realitza el iptablesL'administrador de sistema o el gestor de la xarxa de vegades necessita ajustar el funcionament d'aquest component. De vegades, l'administrador de sistema o el gestor de la xarxa ha de configurar aquest component escrivint les regles adequades. En l'article d'avui ens agradaria parlar dels fonaments de la configuració de iptables En l'esmentat sistema operatiu.

Configuració d'iptables en CentOS juliol

L'eina en si està disponible immediatament després de completar la instal·lació de CentOS 7, però addicionalment caldrà instal·lar alguns serveis, que és del que parlarem a continuació. La plataforma en qüestió té una altra eina incorporada que actua com a tallafocs anomenada FirewallD. Recomanem desactivar aquest component per evitar conflictes en futurs treballs. Per les instruccions detallades sobre aquest tema en el nostre altre article en el següent enllaç.

Llegir més: Desactivació d'firewallD en CentOS juliol

Com saps, en el sistema es poden utilitzar tant els protocols IPv4 com IPv6. Avui ens centrarem en l'exemple de IPv4, però si vols configurar per a un altre protocol, has d'utilitzar l'opció iptables a la consola per utilitzar ip6tables.

Instal·lació dels serveis iptables

El primer que cal fer és afegir al seu sistema els components addicionals de la utilitat de la qual parlem avui. Ajuden a definir les regles i altres paràmetres. La descàrrega és des del repositori oficial, de manera que no et portarà molt de temps.

  1. Totes les accions posteriors es duran a terme a la consola clàssica, així que executeu-lo per qualsevol mètode convenient.
  2. La comanda per instal·lar els serveis és sudo yum install iptables-services. Introduïu i premeu la tecla entre en.
  3. Confirmeu el compte de superusuari especificant la contrasenya de la mateixa. Tingueu en compte que quan se li demani suo Els caràcters introduïts en la cadena mai es mostren.
  4. Se li demanarà que afegeixi un paquet a sistema, confirmi aquesta acció seleccionant el botó y.
  5. Un cop finalitzada la instal·lació, comproveu la versió actual de l'eina: sudo iptables --version.
  6. El resultat apareixerà en una nova línia.

El sistema operatiu està ara completament llest per a una major configuració de l'tallafocs a través de la utilitat iptables. Suggerim recórrer la configuració punt per punt, començant per la gestió de l'servei.

Detenció i inici dels serveis iptables

Control de la manera iptables es requereix quan és necessari comprovar l'acció de certes regles o simplement reiniciar un component. Per a això s'utilitzen les ordres incorporats.

  1. entre en sudo service iptables stop i premeu la tecla entre enper aturar els serveis.
  2. Especifiqueu la contrasenya de root per confirmar aquest procediment.
  3. Si el procés té èxit, es mostrarà una nova línia indicant que s'han realitzat canvis en el fitxer de configuració.
  4. Els serveis s'inicien de manera molt similar, només que la cadena té l'aspecte següent sudo service iptables start.

Una utilitat similar de reinici, arrencada o aturada està disponible en qualsevol moment, només recordi tornar el valor invers quan se sol·liciti.

Visualització i supressió de regles

Com s'ha esmentat anteriorment, el tallafocs es gestiona afegint regles de forma manual o automàtica. Per exemple, algunes aplicacions addicionals poden accedir a l'eina modificant certes polítiques. No obstant això, la majoria d'aquestes accions es continuen fent manualment. Es pot veure una llista de totes les regles actuals a través d'la comanda sudo iptables -L.

El resultat mostrat tindrà informació sobre les tres cadenes: "ENTRADA", "SORTIDA" и "ENDAVANT" - trànsit entrant, sortint i reenviat, respectivament.

Pot determinar l'estat de totes les cadenes introduint sudo iptables -S.

Si les normes que veus no et convenen, simplement s'esborren. La llista completa s'esborra de la següent manera: sudo iptables -F. Després de l'activació, les regles s'esborraran per absolutament les tres cadenes.

Quan només cal afectar les pòlisses d'una cadena, s'afegeix un argument addicional a la cadena:

sudo iptables -F INPUT
sudo iptables -F OUTPUT
sudo iptables -F FORWARD

L'absència de totes les regles vol dir que ara no s'aplica cap configuració de filtrat de trànsit a cap dels dos costats. Llavors, l'administrador de sistema ja estableix la nova configuració per si mateix, utilitzant tota la mateixa consola, la comanda i diversos arguments.

Recepció i caiguda de l'trànsit en els circuits

Cada circuit es configura per separat per acceptar o bloquejar el trànsit. Establint un valor determinat, és possible garantir que, per exemple, es bloquegi tot el trànsit entrant. Per a això, la comanda ha de ser sudo iptables --policy INPUT DROPon ENTRADA - el nom de l'circuit, i DROP - valor de restabliment.

S'estableixen exactament els mateixos paràmetres per a altres circuits, per exemple sudo iptables --policy OUTPUT DROP. Per establir un valor per a la recepció de trànsit, llavors DROP canvis en ACCEPTAR i s'obté sudo iptables --policy INPUT ACCEPT.

Permís i bloqueig de ports

Com saps, totes les aplicacions i processos de xarxa s'executen en un port específic. A l'bloquejar o permetre certes direccions, pot controlar l'accés de tots els objectius de la xarxa. Prenguem com a exemple el reenviament de ports 80. En "Terminal". tot el que has de fer és introduir una ordre sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPTon -A - Afegir una nova regla, ENTRADA - indicació de l'circuit, -P - definició de l'protocol, en aquest cas TCP, i -port - port de destinació.

El mateix comando s'aplica a port 22que és utilitzat pel servei SSH: sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT.

Per bloquejar el port especificat, s'aplica una cadena exactament de la mateixa mena, només que a la fi ACCEPTAR canvia a. DROP. El resultat és, per exemple, sudo iptables -A INPUT -p tcp --dport 2450 -j DROP.

Totes aquestes regles es registren a l'arxiu de configuració i pots veure-les en qualsevol moment. Com a recordatori, això es fa a través de sudo iptables -L. Si desitja resoldre l'adreça IP de la xarxa juntament amb el port, la cadena es modifica lleugerament - després de TPC afegit per -s i la pròpia direcció. sudo iptables -A INPUT -p tcp -s 12.12.12.12/32 --dport 22 -j ACCEPTon 12.12.12.12/32 - adreça IP requerida.

El bloqueig segueix el mateix principi, canviant el valor a la fin ACCEPTAR en DROP. Llavors tens, per exemple, sudo iptables -A INPUT -p tcp -s 12.12.12.0/24 --dport 22 -j DROP.

Bloqueig d'ICMP

El ICMP (Internet Control Message Protocol) és un protocol que forma part de TCP / IP i que intervé en la transmissió de missatges d'error i emergència quan es gestiona el trànsit. Per exemple, quan el servidor sol·licitat no està disponible, és l'eina la que realitza les funcions de l'servei. la utilitat iptables et permet bloquejar-a través del tallafocs, i pots fer-ho amb una ordre sudo iptables -A OUTPUT -p icmp --icmp-type 8 -j DROP. Això bloquejarà les peticions des de i cap a la seva servidor.

Les sol·licituds entrants es bloquegen de manera una mica diferent. Llavors has d'introduir sudo iptables -I INPUT -p icmp --icmp-type 8 -j DROP. Després d'activar aquestes regles, el servidor no respondrà a les sol·licituds de ping.

Evitar accions no autoritzades al servidor

De vegades els servidors són objecte d'atacs DDoS o altres accions no autoritzades per part dels atacants. Una configuració adequada de l'tallafocs li permetrà protegir d'aquest tipus de pirateria. Per començar, us recomanem que estableixi aquestes regles:

  1. Escriure a la consola iptables -A INPUT -p tcp --dport 80 -m limit --limit 20/minute --limit-burst 100 -j ACCEPTon Límit 20 / minut - Limitar la freqüència dels resultats positius. Vostè mateix pot especificar la unitat de mesura, per exemple, /second, /minute, /hour, /day. -nombre de ràfegues límit - Limita el nombre de paquets que es poden enviar. Tots els valors s'estableixen individualment segons les preferències de l'administrador.
  2. A continuació, pot desactivar l'escaneig de ports oberts per eliminar una de les possibles causes de la pirateria. Introduïu la primera ordre sudo iptables -N block-scan.
  3. A continuació, especifiqueu sudo iptables -A block-scan -p tcp —tcp-flags SYN,ACK,FIN,RST -m limit —limit 1/s -j RETURN.
  4. L'últim tercer ordre té la forma: sudo iptables -A block-scan -j DROP. l'expressió escaneig en bloc en aquests casos és el nom de l'circuit utilitzat.

La configuració que es mostra avui és només l'operació bàsica en l'eina de gestió de l'tallafocs. En la documentació oficial de la utilitat trobareu una descripció de tots els arguments i opcions disponibles i podrà configurar el tallafocs específicament segons les seves necessitats. Més amunt hem parlat de les normes de seguretat estàndard que s'apliquen amb més freqüència i que, en la majoria dels casos, són obligatòries.

Ens alegrem d'haver pogut ajudar amb el seu problema.

Descriviu el que no li ha funcionat.
Els nostres especialistes intentaran respondre amb la major rapidesa possible.

Li ha ajudat aquest article?