Selv om Linux er et av de mest pålitelige og sikre operativsystemene, takket være dets egenskaper, vil det alltid være en slags sårbarhet, enten det er iboende i systemet eller utilsiktet av brukeren. For å øke Linux -sikkerheten har vi forskjellige verktøy designet for å beskytte tjenester, prosesser, profiler eller filer, og i dag vil vi fokusere på en spesiell som heter Iptables.
Hva er IptablesIptables er et avansert brannmurverktøy som er integrert i Linux -kjernen som er en del av et prosjekt kalt netfilter.
Takket være Iptables vil vi kunne administrere alle innkommende og utgående tilkoblinger til serveren nøyaktig og direkte. Iptables er utviklet for IPv4 -adressering, mens for IPv6 har vi Ip6 -tabeller.
1. Iptables -struktur i Linux
Strukturen vi finner i Iptables er følgende:
RåDet er ansvarlig for å filtrere pakkene før noen annen eksisterende tabell
FilterDette er standardtabellen for programmet
NatDen brukes til oversettelse av nettverksadresser
MangroveDen brukes til endring av spesialiserte nettverkspakker
SikkerhetKan implementeres for obligatoriske regler for nettverkstilkobling
2. Kommandostruktur i Iptables på Linux
I Iptables er hver regel en kommando som angir hvordan nettverkspakketrafikken skal håndteres.
Vi kan bruke følgende struktur:
-EN INNGANG -i eth0 -p tcp -m tilstand -ESTABLISHED, RELATED --sport 80 -j ACCEPTParametrene som brukes er:
- -A: Indikerer at reglene vil bli lagt til Iptables
- -i: Angir grensesnittet som regelen skal brukes på
- -p: Henviser til protokollen der regelen vil gjelde
- -m: Viser til at det er en betingelse som må være oppfylt for å anvende regelen
- --stat: Tillat aksept av nye forbindelser
- -sport: Angir kildeporten
- -j: (Jump) indikerer at de kan godta all trafikk som oppfyller de gitte betingelsene.
3. Lage regler ved hjelp av Iptables på Linux
Selv om vi kan legge til reglene manuelt, er det mye mer praktisk å lage en regelfil og deretter importere den. I dette tilfellet vil vi opprette filen i banen / tmp / iptables-ip4, og vi kan bruke en editor for den respektive justeringen:
sudo nano / tmp / iptables-ip4Syntaksen vil være følgende:
* filtrer # regler for å legge til COMMITNå vil vi lage følgende regler i filen:
Loopback = Det er det eksterne grensesnittet til Linux
-EN INNGANG -i lo -j AKSept
Ping = Lar oss sjekke nettverkstilkoblinger
-A INPUT -i eth0 -p icmp -m state -state NEW --icmp -type 8 -j ACCEPT -A INPUT -i eth0 -p icmp -m state -state ESTABLISHED, RELATED -j ACCEPT -A OUTPUT - o eth0 -p icmp -j GODTAK
Web = Gjennom disse reglene kontrollerer vi innkommende og utgående trafikk.
-EN INNGANG -i eth0 -p tcp -m tilstand -stat ESTABLISHED, RELATED --sport 80 -j ACCEPT -A INPUT -i eth0 -p tcp -m state -state ESTABLISHED, RELATED --sport 443 -j ACCEPT -EN UTGANG -o eth0 -p tcp -m tcp --port 80 -j Aksept -A UTGANG -o eth0 -p tcp -m tcp --port 443 -j GODTAK
I tilfelle vi legger til DNS bruker vi følgende linjer:
-EN INNGANG -i ens3 -s 192.168.0.1 -p udp -sport 53 -m tilstand -stat ESTABLISHED, RELATED -j ACCEPT -A OUTPUT -o ens3 -d 192.168.0.1 -p udp --port 53 -m udp -j GODTAK
Merk:Her må vi endre IP etter behov
Tid = Disse reglene tillater tilkobling til NTP for korrekt tidssynkronisering
-EN INNGANG -i eth0 -p udp -m tilstand -stat ESTABLISHED, RELATED --dport 123 -j Aksepter -A UTGANG -o eth0 -p udp -m udp -sport 123 -j GODTAK
Utskrift = Lar USB -porter for tilkobling av skrivere aktiveres
-A INPUT -p udp -m udp --dport 631 -j ACCEPT -A INPUT -p tcp -m tcp --port 631 -j ACCEPT -A OUTPUT -p udp -m udp -sport 631 -j ACCEPT -A OUTPUT -p tcp -m tcp -sport 631 -j GODTAK
Email = Vi kan aktivere de forskjellige e -postprotokollene
# IMAP -A INPUT -i eth0 -p tcp -m state -state ESTABLISHED, RELATED --sport 993 -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --port 993 -j ACCEPT
# POP3 -A INPUT -i eth0 -p tcp -m state -state ESTABLISHED, RELATED --sport 995 -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --port 995 -j ACCEPT
# SMTP -A INNGANG -i eth0 -p tcp -m tilstand -stat ESTABLISHED, RELATED --sport 465 -j Aksept -A UTGANG -o eth0 -p tcp -m tcp --port 465 -j Aksept
SSH = Aktiver sikre tilkoblinger til datamaskinen ved hjelp av SSH -protokollen
# Input -A INPUT -i ens3 -p tcp -m state -state NEW, ESTABLISHED --dport 22 -j ACCEPT -A OUTPUT -o ens3 -p tcp -m state -state ESTABLISHED --port 22 -j ACCEPT
# Output -A OUTPUT -o ens3 -p tcp -m state -state NEW, ESTABLISHED --dport 22 -j ACCEPT -A INPUT -i ens3 -p tcp -m state -state ESTABLISHED --sport 22 -j ACCEPT
DHCP: Vi kan lage regler for godkjenning av IP -adressering gjennom DHCP
-EN INNGANG -i eth0 -p udp -m tilstand -stat ESTABLISHED, RELATED --sport 67:68 -j Aksept -A UTGANG -o eth0 -p udp -m udp --dport 67:68 -j Aksepter
Avvis alle tilkoblinger: Vi kan legge til følgende linjer for å deaktivere alt ovenfor:
-EN INNGANG -j AVVIS -E FREMTID -j AVVIS -E EN UTGANG -j AVVIS
Alle disse linjene vil bli lagt til i den nevnte filen:
FORSTØRRE
Vi lagrer endringene
Ctrl + O.
Vi lar redaktøren bruke
Ctrl + X
4. Importere reglene ved hjelp av Iptables Linux
Når filen er redigert, kan vi importere disse reglene til Iptable ved å utføre følgende kommando:
sudo iptables -F && sudo iptables -XVi kan se statusen til reglene ved hjelp av kommandoen sudo iptables -S:
FORSTØRRE
I tilfelle vi ønsker å gjenopprette alle reglene, vil vi utføre følgende linje:
sudo iptables-restore < / tmp / itpables-ip4Hvis vi vil at disse reglene skal være permanente, utfører vi følgende:
sudo apt install iptables-persistentPå denne måten er Iptables vår beste allierte når vi konfigurerer brannmuren i Linux -miljøer.
