Filloni me Iptables: Mbani Njerëz të Keq (dhe Bots) jashtë serverit tuaj

Disclosure: Mbështetja juaj ju ndihmon të mbani sitin në punë! Ne fitojmë një tarifë referimi për disa nga shërbimet që rekomandojmë në këtë faqe.


Iptables është një program i aplikimit në hapësirë ​​të përdoruesit Linux i përdorur për konfigurimin e tabelave IPv4 të përdorura nga zjarri i kernelit Linux. Iptables përfshihet në shumicën e shpërndarjeve Linux që funksionojnë në kernel 2.4.x ose më vonë.

Iptables është një mjet jashtëzakonisht fleksibël i linjës së komandës firewall, duke përdorur zinxhirë politikë për të lejuar ose bllokuar trafikun. Ai është në shënjestër të qartë drejtuesve të sistemit, pasi kërkon privilegje të ngritura për tu ekzekutuar dhe duhet të ekzekutohet nga rrënja e përdoruesit.

Histori e shkurtër

Zhvillimi në projektin iptables filloi në 1998, kryesuar nga Rusty Russell, një zhvillues australian i softuerit. Iptables u krijua si një pasardhës i ipchains, një mjet i hershëm i firewall-it Linux krijuar gjithashtu nga Russell.

Ndërsa projekti u zgjerua, Rusty Russell themeloi Ekipin Qendror Netfilter në 1999. Ai prodhoi kornizën Netfilter Linux dhe iptables, dhe i lëshoi ​​ato nën licencën e përgjithshme publike GNU. Në Mars 2000, Netfilter dhe iptables u shkrinë në linjën kryesore të Linux.

Karakteristikat dhe Dizajni i Iptables

Modulet e ndryshme të kernelit përdoren për protokolle të ndryshme – iptables vlen për IPv4, ip6tables në IPv6, arptables për ARP, dhe ebtables për korniza Ethernet.

Iptables përdoret për të vendosur, mirëmbajtur dhe inspektuar tabelat e rregullave të filtrit të paketave IPv4 në kernel Linux.

Mund të përcaktohen disa tabela të ndryshme, ku secila tabelë përmban një numër zinxhirësh të integruar ose zinxhirë të përcaktuar nga përdoruesi. Do zinxhir është një grup rregullash që mund të përputhen me një grup paketash, ndërsa secila rregull specifikon se çfarë të bëjë me një paketë që përputhet. Ky quhet objektiv.

Nëse një paketë përputhet me rregullin, fati i saj përcaktohet nga vlera e synimit: ACCEPT lejon që paketën të kalojë, DROP hedh paketën, QUEUE ia kalon paketën hapësirës së përdoruesit, RETURN rifillon rregullin tjetër në zinxhirin e mëparshëm të thirrjes.

Janë në dispozicion deri në pesë tabela të pavarura, në varësi të konfigurimit të kernelit dhe moduleve aktive:

  • filtër është tabela e paracaktuar, që përmban zinxhirët e integruar INPUT, FORWARD dhe OUTPUT.
  • Nat përdoret kur një pako që krijon një lidhje të re është hasur, që përmban zinxhirët e integruar PREROUTING, OUTPUT dhe POSTROUTING.
  • sakatoj – përdoret për ndryshimin e paketave të specializuara, që përmbajnë zinxhirët e integruar PREROUTING, INPUT, OUTPUT, FORWARD, dhe POSTROUTING.
  • i gjallë përdoret për konfigurimin e përjashtimeve nga gjurmimi i lidhjes i kombinuar me objektivin NOTRACK, duke siguruar zinxhirë të integruar PREROUTING dhe OUTPUT.
  • siguri përdoret për rregullat e rrjetit të Kontrollit të Detyrueshëm të Kontrollit të Detyrueshëm (MAC), me zinxhirë të integruar INPUT, OUTPUT dhe FORWARD.

Opsionet e njohura nga iptables janë të ndara në komanda, parametra dhe opsione të tjera.

Përdorimi i Iptables

Iptables është një mjet i linjës komanduese të parainstaluar në shumicën e shpërndarjeve Linux. Në rast se ju duhet të azhurnoni ose instaloni iptables, mund të përdorni komandën e mëposhtme:

sudo apt-get instaloni iptables

Duhet të jeni jashtëzakonisht të kujdesshëm nëse jeni regjistruar në një server të largët dhe jeni duke konfiguruar rregullat e tij iptables, sepse një komandë e gabuar mund t’ju bllokojë për mirë dhe mund të duhet të fiksohet manualisht në server..

Ne do të demonstrojmë disa komanda të zakonshme dhe të thjeshta të përdorura në konfigurimin e rregullave të iptables. Nëse planifikoni të përdorni tipare të përparuara të iptables, duhet të kontrolloni disa nga burimet në iptables që ne ofrojmë më poshtë.

Mund të rendisni rregullat e iptables të konfiguruara aktualisht duke përdorur:

iptables –L

Në shumicën e rasteve, do të dëshironi që sistemi juaj të pranojë lidhjet si parazgjedhje, duke përdorur këto komanda:

iptables – polica HYRJE INPUT
iptables – polica HYRJE E JASHTME
iptables – polica HYRJE PARAQITJE

Pas kësaj, ju mund të përdorni iptables për të mohuar lidhjet nga adresa ose porte specifike IP, si kështu:

iptables -A INPUT -s 192.168.10.10 -j DROP

Ose mund të bllokoni lidhjet nga një gamë e adresave IP si kjo:

iptables -A INPUT -s 192.168.10.0/24 -j DROP

Në disa raste specifike, mund të përdorni metodën e kundërt me atë të përshkruar më lart. Ju mund të mohoni të gjitha lidhjet dhe të përcaktoni me dorë ato që dëshironi të lejoni të lidheni. Ky konfigurim mund të përdoret për serverët me të dhëna të ndjeshme, që janë të lidhur me një adresë IP unike.

iptables – polica INPUT DROP
iptables – polica OUTPUT DROP
iptables – polica P FORRPARA DROP
iptables -A INPUT -s 192.168.10.10 -j ACCEPT

Shtë e rëndësishme të theksohet se të gjitha ndryshimet e bëra në rregullat e iptables nuk do të ruhen automatikisht. Ju duhet të ruani ndryshimet manualisht duke përdorur një komandë që mund të ndryshojë në varësi të shpërndarjes tuaj. Ky është komanda Ubuntu:

sudo / sbin / iptables-ruaj

Në rast se keni harruar të ruani ndryshimet që keni bërë në iptables, ato do të humbasin herën tjetër kur shërbimi i iptables është rivendosur.

Ju gjithashtu mund të përdorni komandën flush për të pastruar të gjitha rregullat e konfiguruara:

iptables -F

Burimet e Iptables

Ka shumë burime për iptables në internet, që është e kuptueshme pasi që iptables përfshihen në shumicën e shpërndarjeve Linux. Mësimi dhe përdorimi i iptables nuk duhet të jetë problem, veçanërisht nëse mbështeteni në burime cilësore si këto:

  • Manuali zyrtar i Iptables është i detajuar dhe ofron një referencë të dobishme për komandat dhe parametrat e iptables.
  • Filterimi i Linux 2.4 Paketimi Dokumentacioni HOWTO është një përshkrim shumë i hollësishëm i filtrimit të paketave i shkruar nga Rusty Russell. Me interes të veçantë është seksioni Përdorimi i Iptables.
  • Iptables How To është një përparim i bukur i iptables.

Librat e gishtave

Nuk ka një bollëk librash që merren me iptables, megjithëse iptables janë përmendur në shumë libra të shkruara në rrjetet Linux dhe firewalls.

Me shumë burime cilësore në internet, nuk është çudi që nuk ka më shumë libra që merren me iptables. Prandaj, veçuam vetëm një libër mbi iptables:

  • Linux Iptables Pocket Reference nga Gregor Purdy: Kjo referencë xhepi do t’ju ndihmojë në ato momente kritike kur dikush ju kërkon të hapni ose mbyllni një port me nxitim, ose të mundësoni një trafik të rëndësishëm ose të bllokoni një sulm. Libri do të mbajë sintaksën delikate drejt dhe do t’ju ndihmojë të mbani mend të gjitha vlerat që duhet të futni në mënyrë që të jeni sa më të sigurt.

përfundim

Iptables është një mjet i përdorur gjerësisht, kështu që padyshim që ia vlen të zotëroni nëse një pjesë e madhe e punës suaj rrotullohet rreth serverave me bazë Linux. Për fat të mirë, popullariteti i tij do të thotë që iptables ende po zhvillohen në mënyrë aktive, dhe versionet e reja futen periodikisht.

Do të thotë gjithashtu se nuk ka mungesë të burimeve cilësore të iptables në internet, por nëse shijoni rrënjët e letrës, do të keni një kohë të vështirë të gjeni libra iptables. Sidoqoftë, vëllimi i madh i burimeve dixhitale të iptables më shumë sesa përbën mungesën e burimeve të papastërtive.

Iptables është një mjet i fuqishëm, por i lehtë për t’u përdorur. Gurdo mësues që dëshiron Linux duhet ta zotërojë atë.

Leximi i mëtutjeshëm dhe burimet

Ne kemi më shumë udhëzues, mësime dhe infografikë në lidhje me përdorimin e kompjuterit:

  • Hyrje dhe Burimet e Programimit të Linux: kjo zhytje e thellë në programimin Linux zbret në kernel, ku është i gjithë veprimi.
  • Programimi i rrjetit me bazat e Internetit: mësoni gjithçka rreth rrjetit në internet.

Burimet e programimit unix

Nëse vërtet hyni në Linux dhe dëshironi të filloni të krijoni programe për të, ne kemi një vend të shkëlqyeshëm që ju të filloni të mësoni: Burimet e Programimit të Unix.

Lista e fundit e veglave të administratorit A-Z
Burimet e programimit unix

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map