לינוקס יש מוניטין של אבטחה, אבל זה לא מושלם. להפצות רבות אין גם את ברירות המחדל הטובות ביותר של האבטחה, לכן מומלץ ליישם כמה שיטות עבודה מומלצות עבור אבטחה. דוגמה אחת כזו היא באמצעות חומת אש.

יש כמה אפשרויות חומות אש בלינוקס, אבל רובן בעצם רק עטיפות סביב iptables. עבור מדריך זה אנו נראה לך איך לעבוד עם iptables ישירות.

מה זה Iptables?

Iptables הוא חומת האש של לינוקס לינוקס. זה מגיע עם כל הפצה לינוקס, וזה הדרך הישירה ביותר לשלוט על התנועה נכנסת ויוצאת מהמחשב.

Iptables יש מוניטין של להיות מורכב, וזה יכול להיות. אתה לא צריך לדעת הכל על iptables להשתמש בו ביעילות על שולחן העבודה שלך, אם כי. אתה רק צריך קצת ידע בסיסי איך זה עובד ואיך הכללים שלה מובנים.

Related : כיצד לטפל ולהגדיר את חומת האש ב - Linux

מבנה פיקוד

כל כללי iptables פועלים לפי אותו מבנה בסיסי. כל כלל הוא פקודה אחת בשורה iptables שאומר איך להתמודד עם התנועה ביציאה מסוימת. עיין בדוגמה הבאה:

 - INPUT -i eth0 -p tcp -m המדינה - ממוקם בהקדם, קשור - ספק 80 -JCEPT 

זה אולי נראה הרבה, אבל זה פשוט מאוד כאשר אתה לשבור אותו. ראשית, כלל זה מתחיל ב- -A כי זה יוסיף על הכללים iptables שלך.

לאחר מכן, הדגל - -i מציין את הממשק של הכלל. במקרה זה, זה eth0 . כאשר אתה כותב את הכללים שלך, ודא שאתה יודע איזה ממשק אתה מחובר לרשת באמצעות.

הדגל הבא, -p, מציין את הפרוטוקול. כלל זה הוא עבור tcp, שהוא תעבורת האינטרנט.

הדגל הוא קצת שונה. הוא משמש כדי לטעון כי יש מצב זה חייב להיות נפגשו על מנת לא לדחות את התנועה. התנאי בכלל זה הוא המדינה.

המדינה היא למעשה הדגל הבא. אתה צריך לתת - --state רשימה של מדינות מקובלות שנכתב בכל כובעים מופרדים עם פסיקים. כלל זה מקבל חיבורים חדשים וממוסדים.

השני לדגל האחרון כאן -. זה מייצג "יציאת המקור", וזה אומר iptables שבו התנועה מגיע. יש גם דגל - --dport שמייצג "port port". הוא משמש עבור כללי OUTPUT לטיפול באיזו תעבורת יציאה מגיעים.

לבסוף, יש את הדגל. זה אומר iptable אשר פעולה "לקפוץ" ל. במקרה זה הוא אמור ACCEPT את התנועה שעונה על התנאים הקודמים.

שימוש בקובץ

ניתן להזין את הכללים שלך iptables באופן ידני אחד אחד. זה מייגע מאוד, וזה מאוד קל לאבד את המקום שבו אתה נמצא ומה אתה עושה. זה הרבה יותר טוב ליצור קובץ כללים שאתה יכול לייבא לתוך iptables בבת אחת.

זה לא משנה איפה אתה יוצר את הקובץ. אנשים אפילו להפוך אותם בספרייה /tmp כי iptables מאחסן את התוצאה לאחר המיובאים.

צור את הקובץ שלך. מדריך זה הולך להשתמש /tmp/iptables-ip4 . בקובץ להוסיף את שתי השורות הבאות. כל הכללים שלך יעברו ביניהם.

 * מסנן # הכללים שלך כאן COMMIT 

צור את הכללים שלך

באפשרותך להתחיל בהגדרת הכללים שלך. אלה רק הצעות. ברור, אם אתה מפעיל שירותים אחרים או צריך יציאות אחרות לפתוח, אתה בהחלט יכול לצבוט כמה דברים או להוסיף הכללים שלך.

Loopback

ממשק לולאבק הוא ממשק פנימי לינוקס משתמש.

 -תשובה- אני-ג'ו-ג'ו-ג'ק-או-פוט - לא-ג'ו-ג'ק 

פינג

זה עניין של העדפה. אנשים רבים לא אוהבים לאפשר פינג בכלל על שולחנות העבודה שלהם. זה יכול להיות שימושי כדי לקבל את זה, אם כי, כדי לבדוק קשרים. אם ברצונך לאפשר פינג, הוסף את הכללים שבהמשך. אם לא, לא לכלול אותם.

 - INPUT -i eth0 -p icmp -m המדינה --state חדש - emp-type 8 -J ACCEPT-INPUT -i eth0 -p icmp -m מצב - הקמת מקושרים, קשורים- JCEPT-OUTPUT - o eth0 -p icmp -JCE ACCEPT 

הרשת

אתה ללא ספק רוצה להיות מסוגל להתחבר לאינטרנט. בצד השני של זה, אתה לא רוצה לאפשר חיבורים שמקורם באינטרנט.

 - INPUT -i eth0 -p tcp -m המדינה - ממוקם בהקשר, קשור - יציאת 80 -JCE-INPUT-i-eth0 -p tcp -m מדינה - תאריך ההקמה, קשורים - ספור 443 -JCEPT - OUTPUT -O eth0 -p tcp -m tcp - dport 80 -J ACPT - פלט - eth0 -p tcp -m tcp - dport 443 -JCEPT 

כמו כן, יהיה עליך לאפשר חיבורי DNS כדי שהמחשב שלך יוכל להשתמש בכתובות אתר במקום בכתובות IP בלבד, מכיוון שלא יהיה נוח במיוחד. החלף את כתובת ה- IP של הנתב עבור הכתובת שבה נעשה שימוש.

 - INPUT -i ens3 -s 192.168.1.1 -p udp -sport 53 -m מדינה - מקושרת, קשורה- JJPT-OUTPUT -O-3 -d 192.168.1.1 -p udp -dport 53m udp-jjpt 

זְמַן

רוב שולחנות העבודה של Linux משתמשים ב- NTP כדי להגדיר ולתחזק את זמן המערכת מהאינטרנט. עליך לאפשר למחשב להתחבר לשרת NTP כדי לקבל את הזמן.

 - INPUT -i eth0 -p p p p p p state state state state state state p p p p p p p p p p p p p p p p p p p p p p p p p p p p p p p p p p p p p p p p p p 

הַדפָּסָה

אלא אם אתה משתמש במדפסת USB או בשרת הדפסה חיצוני, עליך להפעיל חיבורים ל- CUPS.

 - INPUT -P udp -m udp -dport 631 -JCE ACPPT-INPUT -P tCP-m tcp - dport 631 -JCE-OUTPUT -P udp -m udp - sport 631 -J ACPT -A OUTPUT -P tcp -m tcp --ספורט 631 - קבלה ראשונה 

אֶלֶקטרוֹנִי

אתה כנראה רוצה להיות מסוגל לשלוח ולקבל דוא"ל, יותר מדי. אימייל יכול להיות מסובך. יציאות המותרות כאן הן יציאות SSL דוא"ל. אם אתה צריך להשתמש דוא"ל מאובטחת, תחליף אלה יציאות.

 # IMAP-INPUT -i eth0 -p tcp -m מצב - הוקם, קשור -ספור 993 -ג'יי-ג'ים -אוטפוט -אתלט 0-tcp -m tcp --dport 993 -JCEPT # POP3 -A INPUT -i eth0 -p tcp -m מצב - הוקם, קשור -ספור 995 -ג'ק -אפוטפוט -אוטל -p tcp -m tcp --dport 995 -JCEPT # SMTP -A INPUT -i eth0 -Pc tcp -m המדינה - מיקום שהוקם, קשור - ספורט 465 -הנהגה- O-Output - eth0 -p tcp -m tcp - dport 465 -JCEPT 

SSH

כדי לנצל באופן מלא חיבורי SSH, אתה צריך להיות לאפשר הן קלט פלט על SSH.

 # Input-INPUT -i IN3-p-tcp -m מצב - חדש חדש, הוקם - 22 -JCEPT-OUTPUT -O3-3-tcp-m המדינה - מצב שהוקם - sport 22-JCEPT # Output -AUTPUT -O-3 -p tcp -m מצב - חדש חדש, הוקם - 22-J ACPTPT-INPUT -i ens3 -p tcp -m מצב - נאמן הוקם - sport 22-JJPT 

DHCP

רוב שולחנות העבודה של Linux משתמשים ב- DHCP כדי לקבל באופן אוטומטי כתובת IP מנתב. DHCP משתמש יציאות משלה, ולכן הם צריכים להיות נגישים מדי. אם אתה משתמש בכתובת IP סטטית, אינך זקוק לכללים אלה.

 - INPUT -i eth0 -p p p p p state state state state state state state state state state state state p p p p p p p p p p p p p p p p p p p p p p p p p p p p p p p p p p p p p p p p p p p p p p p p p p p? 

דחה את כל השאר

לבסוף, אתה הולך להגיד iptables לדחות לחלוטין את כל מה שאתה לא מותר במפורש הכללים לעיל.

 - INPUT -JJ REJET - A FORWARD -JJ REJECT -AUTPUT - דחה 

אחרי הכל, הכללים שלך צריך להיראות משהו כזה.

ייבוא ​​הכללים שלך

כעת יש לך רשימה מלאה iptables רשימת הכללים. אתה רק צריך למסור את זה כדי iptables להשתמש.

במקרה שחלק מהכללים נוספו עם הזמן, נקה אותם. לאחר פקודות אלה, תראה את ברירות המחדל שמאפשרות הכל.

 sudo iptables -F && supto iptables -X 

עם אלה הלכו, אתה יכול לשחזר את החדשות מהקובץ שיצרת.

 sudo iptables- לשחזר </ tmp / itpables-ip4 

המחשב שלך משתמש כעת בכללי iptables החדשים. אתה יכול לבדוק אותם.

 sudo iptables -S 

עם זאת, הם עדיין לא קבע. אם אתה מפעיל מחדש את המחשב שלך עכשיו, אתה הולך להיות זמן רע מאוד .

הפיכתם לצמיתות

ישנן מספר דרכים להפוך את הכללים קבע. הם שונים עבור כל חלוקה. מדריך זה יתמקד במערכות מבוססות דביאן ואובונטו, כיוון שהן הפופולריות ביותר.

יש חבילה זמינה, הנקראת iptables-persistant, המטפל שמירת iptables ושחזור. כל מה שאתה צריך לעשות הוא להתקין את זה.

 sudo apt להתקין iptables- מתמיד 

במהלך ההתקנה, החבילה תשאל אותך אם ברצונך לשמור את התצורה. בחר "כן".

בעתיד, אם ברצונך להוסיף כללים, תוכל לשמור שוב על-ידי הפעלת הפקודה הבאה.

 שירות sudo netfilter- מתמיד שמור 

כעת אתה שולט על התנועה הזורמת דרך המחשב. יש בהחלט יותר כי אתה יכול לעשות עם iptables, אבל אתה צריך להרגיש בטוח עם היסודות הראשון.