დაიწყეთ Iptables– ით: შეინახეთ ცუდი ხალხი (და პუნქტები) თქვენს სერვერზე

გამჟღავნება: თქვენი მხარდაჭერა ხელს უწყობს საიტის მუშაობას! ჩვენ ვიღებთ რეფერალის გადასახადს ზოგიერთი სერვისის შესახებ, რომელსაც გირჩევთ ამ გვერდზე.


Iptables არის Linux მომხმარებლის სივრცის პროგრამის პროგრამა, რომელიც გამოიყენება Linux- ის ბირთვის ბუხრის მიერ გამოყენებული IPv4 ცხრილების კონფიგურაციისთვის. Iptables შედის ლინუქსის უმეტეს ნაწილში, რომელიც მუშაობს ბირთვის 2.4.x ან შემდეგ.

Iptables არის უკიდურესად მოქნილი ბრძანების ხაზის სახანძრო პროგრამა, რომელიც იყენებს პოლიტიკის ჯაჭვებს ტრეფიკის დასაშვებად ან დაბლოკვის მიზნით. იგი აშკარად მიმართულია სისტემის ადმინისტრატორების მიმართ, რადგან ის აწარმოებს ამაღლებულ პრივილეგიებს და უნდა შესრულდეს მომხმარებლის მიერ.

Მოკლე ისტორია

Iptables- ის პროექტზე განვითარება დაიწყო 1998 წელს, რომელსაც ხელმძღვანელობს ავსტრალიური პროგრამული უზრუნველყოფის შემქმნელი Rusty Russell. Iptables შეიქმნა ipchains– ის მემკვიდრე, Linux– ის Firewall– ის ადრეული პროგრამა, რომელიც ასევე შეიქმნა Russell– ის მიერ.

როდესაც პროექტი გაფართოვდა, Rusty Russell– მა დააარსა Netfilter Core Team 1999 წელს. მან წარმოადგინა Netfilter Linux– ის ჩარჩო და iptables და გამოუშვა ისინი GNU– ს ზოგადი საჯარო ლიცენზიით. 2000 წლის მარტში Netfilter და iptables გაერთიანდა Linux- ის ბირთვის მთავარ ხაზში.

Iptables მახასიათებლები და დიზაინი

სხვადასხვა პროტოკოლისთვის გამოიყენება სხვადასხვა ბირთვის მოდული – iptables ეხება IPv4, ip6tables to IPv6, arptables to ARP და ebtables to Ethernet frame.

Iptables გამოიყენება Linux– ის ბირთვის IPv4 პაკეტის ფილტრის წესების ცხრილების დასაყენებლად, შესანარჩუნებლად და შემოწმებისთვის..

შეიძლება განისაზღვროს რამდენიმე განსხვავებული ცხრილი, სადაც თითოეულ ცხრილში მოცემულია ჩაშენებული ქსელები ან მომხმარებლის მიერ განსაზღვრული ჯაჭვები. თითოეული ჯაჭვი არის წესების ერთობლიობა, რომელიც შეიძლება შეესაბამებოდეს პაკეტების ერთობლიობას, ხოლო თითოეული წესი განსაზღვრავს რა უნდა გააკეთოს პაკეტთან, რომელიც შეესაბამება. ამას მიზანს ეძახიან.

თუ პაკეტი ემთხვევა წესს, მისი ბედი განისაზღვრება სამიზნის მნიშვნელობით: ACCEPT საშუალებას აძლევს პაკეტს, DROP გადააგდებს პაკეტს, QUEUE პაკეტს გადასცემს მომხმარებლის სივრცეში, RETURN განაახლებს შემდეგ წესს წინა ზარის ჯაჭვში.

ხუთამდე დამოუკიდებელი ცხრილი ხელმისაწვდომია, რაც დამოკიდებულია ბირთვის კონფიგურაციისა და აქტიური მოდულის მიხედვით:

  • ფილტრი არის სტანდარტული ცხრილი, რომელიც შეიცავს ჩაშენებულ ქსელებს INPUT, FORWARD და OUTPUT.
  • ნატ გამოიყენება როდესაც პაკეტი, რომელიც ქმნის ახალ კავშირს, შეიცავს ჩაშენებულ ჯაჭვებს PREROUTING, OUTPUT და POSTROUTING.
  • მანგლი – გამოიყენება სპეციალურ პაკეტის შეცვლაზე, რომელიც შეიცავს ჩაშენებულ ჯაჭვებს PREROUTING, INPUT, OUTPUT, FORWARD და POSTROUTING.
  • Ნედლეული გამოიყენება კონფიგურაციისთვის კავშირის მიკვლევისა და NORACK- ის სამიზნესთან ერთად, ჩაშენებული ქსელების უზრუნველსაყოფად PRUTOUTING და Output.
  • დაცვა გამოიყენება სავალდებულო წვდომის კონტროლის (MAC) ქსელის ქსელის წესებისთვის, INPUT, OUTPUT და FORWARD ჩაშენებული ქსელებით.

Iptables– ით აღიარებული პარამეტრები იყოფა ბრძანებებს, პარამეტრებს და სხვა ვარიანტებს.

Iptables გამოყენებით

Iptables არის ბრძანების სტრიქონი, რომელიც წინასწარ ინსტალდება ლინუქსის უმეტეს ნაწილზე. Iptables– ს განახლების ან დამონტაჟების შემთხვევაში, შეგიძლიათ გამოიყენოთ შემდეგი ბრძანება:

sudo apt-get ინსტალაციის iptables

ძალიან ფრთხილად უნდა იყოთ, თუ დისტანციურ სერვერზე ხართ შესული და მის iptables წესების კონფიგურაციას ასრულებთ, რადგან ერთი არასწორი ბრძანება შეიძლება კარგადაა ჩაკეტილი, და შესაძლოა ხელით დაფიქსირდეს სერვერზე.

ჩვენ წარმოგიდგენთ რამდენიმე ჩვეულებრივ და მარტივ ბრძანებას, რომლებიც გამოიყენება iptables წესების კონფიგურაციაში. თუ თქვენ iptables– ის მოწინავე მახასიათებლების გამოყენებას აპირებთ, უნდა შეამოწმოთ ზოგიერთი რესურსი iptables– ზე, რომლებიც ქვემოთ მოცემულია.

თქვენ შეგიძლიათ ჩამოთვალოთ iptables– ის ამჟამად რეგულირებული წესები, გამოყენებით:

iptables –L

უმეტეს შემთხვევაში, თქვენ გსურთ, რომ თქვენს სისტემას სტანდარტულად დაეთანხმოთ კავშირები, ამ ბრძანებების გამოყენებით:

iptables – პოლისი შეყვანის მიღება
iptables – პოლიტიკა OUTPUT ACCEPT
iptables – პოლიტიკა FORCE ACCEPT

ამის შემდეგ, თქვენ შეგიძლიათ გამოიყენოთ iptables, რომ უარი თქვათ კავშირებზე კონკრეტული IP მისამართებიდან ან პორტებიდან, ასე მაგალითად:

iptables –A INPUT –s 192.168.10.10 –j DROP

ან შეგიძლიათ დაბლოკოს კავშირები მთელი რიგი IP მისამართებიდან, როგორიცაა:

iptables –A INPUT –s 192.168.10.0/24 –j DROP

ზოგიერთ კონკრეტულ შემთხვევაში, თქვენ შეგიძლიათ გამოიყენოთ საპირისპირო მიდგომა ზემოთ მოცემულთან მიმართებაში. თქვენ შეგიძლიათ უარყოთ ყველა კავშირი და ხელით მიუთითოთ ის, რაც გსურთ დაუკავშირდეთ. ეს პარამეტრი შეიძლება გამოყენებულ იქნას მგრძნობიარე მონაცემების სერვერებისთვის, რომლებიც უკავშირდებიან უნიკალურ IP მისამართს.

iptables – პოლიტიკა INPUT DROP
iptables – პოლიტიკა OUTPUT DROP
iptables – პოლიტიკა FORE DROP
iptables –A INPUT –s 192.168.10.10 –j ACCEPT

მნიშვნელოვანია აღინიშნოს, რომ iptables- ის წესებში განხორციელებული ყველა ცვლილება ავტომატურად არ შეინახება. თქვენ უნდა შეინახოთ ცვლილებები ხელით ბრძანების გამოყენებით, რომელიც შეიძლება განსხვავდებოდეს თქვენი განაწილებიდან. ეს არის უბუნტუ ბრძანება:

sudo / sbin / iptables- შენახვა

იმ შემთხვევაში, თუ დაივიწყებთ iptables– ში განხორციელებულ ცვლილებებს, ისინი დაიკარგება iptables– ის სერვისის გადატვირთვის შემდეგ.

ასევე შეგიძლიათ გამოიყენოთ flush ბრძანება ყველა კონფიგურირებული წესის გასასუფთავებლად:

iptables –F

Iptables რესურსები

Iptables ონლაინ რეჟიმში უამრავი რესურსი არსებობს, რაც გასაგებია, რადგან iptables შედის Linux- ის განაწილების უმეტესობაში. Iptables- ის სწავლა და გამოყენება არ უნდა წარმოადგენდეს პრობლემას, განსაკუთრებით იმ შემთხვევაში, თუ თქვენ ენდობით ხარისხის რესურსებს, როგორიცაა:

  • Iptables- ის ოფიციალური სახელმძღვანელო დეტალურადაა მოცემული და სასარგებლო ცნობას შეიცავს iptables ბრძანებების და პარამეტრების შესახებ.
  • Linux 2.4 პაკეტის ფილტრაცია HOWTO დოკუმენტაცია არის Rusty Russell- ის მიერ დაწერილი პაკეტის ფილტრაციის დეტალური აღწერა. განსაკუთრებით საინტერესოა Use Iptables განყოფილება.
  • Iptables How To არის ლამაზი მიმდევრობა iptables.

Iptables წიგნები

წიგნების სიმრავლე არ არის დაკავშირებული iptables- ით, თუმცა iptables არის ნახსენები Linux- ის ქსელისა და firewall- ებზე დაწერილი მრავალი წიგნი..

უამრავი ონლაინ რესურსით, გასაკვირი არ არის, რომ აღარ არსებობს წიგნები, რომლებიც ეხება iptables. აქედან გამომდინარე, ჩვენ გამოვყავით მხოლოდ ერთი წიგნი iptables– ზე:

  • Linux Iptables ჯიბეში მითითება Gregor Purdy– სგან: ეს ჯიბის მითითება დაგეხმარებათ იმ კრიტიკულ მომენტებში, როდესაც ვინმე გეკითხებათ პორტის გახსნა ან დახურვა ჩქარობს, ან შეგიძლიათ ჩართოთ მნიშვნელოვანი მოძრაობა ან შეაჩეროთ შეტევა. წიგნი დაალაგებს დახვეწილ სინტაქსს და დაგეხმარებათ გახსოვდეთ ყველა ის ღირებულება, რომელიც უნდა შეიტანოთ იმისათვის, რომ რაც შეიძლება უსაფრთხო იყოს.

დასკვნა

Iptables არის ფართოდ გამოყენებული პროგრამა, ამიტომ ნამდვილად ღირს დაეუფლონ მას, თუ თქვენი ნამუშევრების დიდი ნაწილი ბრუნდება Linux– ზე დაფუძნებული სერვერების გარშემო. საბედნიეროდ, მისი პოპულარობა ნიშნავს, რომ iptables კვლავ აქტიურად ვითარდება და პერიოდულად ახლავს ახალ ვერსიებს.

ეს ასევე ნიშნავს, რომ არ არის ნაკლებობა ხარისხის iptables რესურსების ინტერნეტით, მაგრამ თუ თქვენ გსიამოვნებთ ქაღალდის ყმუილი, ძნელია იპოვოთ iptables წიგნები. და მაინც, ციფრული iptables– ის დიდი მოცულობა უფრო მეტ რესურსს ქმნის, ვიდრე ბიძგს რესურსების ნაკლებობა.

Iptables არის ძლიერი, მაგრამ მარტივი კომუნალური. Linux– ის ყველა მისწრაფება უნდა დაეუფლოს მას.

შემდგომი კითხვა და რესურსები

ჩვენ გვაქვს მეტი სახელმძღვანელო, გაკვეთილები და კომპიუტერების გამოყენებასთან დაკავშირებული ინფოგრაფიკა:

  • Linux პროგრამირების შესავალი და რესურსები: Linux- ის პროგრამირების ღრმა ჩაძირვა ხდება ბირთვის, სადაც ყველა მოქმედებაა.
  • ქსელის პროგრამირება ინტერნეტის სოკეტებით: შეიტყვეთ ყველაფერი ინტერნეტში ქსელის შესახებ.

Unix პროგრამირების რესურსები

თუ ნამდვილად შეხვალთ Linux- ში და გსურთ დაიწყოთ პროგრამების შექმნა მას, ჩვენ შესანიშნავი ადგილი გვაქვს თქვენთვის, რომ დაიწყოთ სწავლა: Unix Programming Resources.

ვებ – მასტერის ინსტრუმენტების საბოლოო სია A-Z
Unix პროგრამირების რესურსები

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map