para ku rakib firewall ama firewall-ka Linux, waxaan isticmaali karnaa iptables, aalad awood badan oo umuuqata inay iloobeen isticmaaleyaal badan. In kasta oo ay jiraan habab kale, sida ebtable iyo arptable si loo kala shaandheeyo taraafikada heerka isku xirka, ama Squid heerka dalabka, iptables wuxuu noqon karaa mid aad waxtar u leh inta badan kiisaska, iyadoo laga hirgelinayo nabadgelyo wanaagsan nidaamkayaga taraafikada iyo heerka gaadiidka.
Kernel-ka Linux wuxuu hirgeliyaa iptables, qayb taas ka mid ah wuxuu daryeelaa shaandhaynta baakadaha iyo in qodobkaan aan ku barayno inaad qaab fudud u qaabeyso. Si fudud haddii loo dhigo, waxyaabaha la yaqaan 'iptables' ayaa tilmaamaya macluumaadka ay geli karaan iyo kuwa aan geli karin, iyagoo ka takooraya kooxdaada khataraha iman kara. In kasta oo ay jiraan mashaariic kale sida Firehol, Firestarter, iwm, qaar badan oo ka mid ah barnaamijyadan birmadu waxay adeegsadaan iptables ...
Hagaag, Aan u dhaadhacno shaqada, tusaalooyinka waxaad si fiican u fahmi doontaa wax walba (kiisaskan waa lagama maarmaan in la helo mudnaan, markaa u adeegso sudo amarka hortiisa ama xidid noqo):
Qaabka guud ee loo isticmaalo iptables in la abuuro siyaasad shaandhayn waa:
IPTABLES -QODOBADA I / O Ficil
Halkee-Dood-wadaag ayaa ah dooda aan adeegsan doono, sida caadiga ah -P si loo dejiyo siyaasada asalka ah, in kastoo ay jiraan kuwa kale sida -L si loo arko siyaasadaha aan u qaabeynay, -F si loo tirtiro siyaasad la abuuray, -Z in dib loo dhigo baateyaasha iyo baakadaha, iwm. Ikhtiyaar kale ayaa ah -Waxaa lagu darayaa siyaasad (ma ahan tan caadiga ah), -Waxaan dhigayaa sharci meel gaar ah, iyo -D si loo tirtiro xeer la siiyay. Waxa kale oo jiri doona doodo kale oo tilmaamaya -pc borotokollada, –sport source deked, –dport to port investment, -i interface interface, -o interface cusub, -s source IP address iyo -d address IP.
Intaas waxaa sii dheer aniga / O waan matali lahaa haddii siyaasada waxaa lagu dabaqaa soo gelinta INPUT, wax soo saarka OUTPUT ama waa HADAF dib u hagida taraafikada (waxaa jira kuwa kale sida PREROUTING, POSTROUTING, laakiin ma isticmaali doonno). Ugu dambeyntiina, waxa aan ugu yeeray ACTION waxay qaadan karaan qiimaha AQBAL haddii aan aqbalno, DIIDO haddii aan diidno ama QASHIN haddii aan baabi'inno. Farqiga u dhexeeya DROP iyo REJECT ayaa ah marka baakid la diido REJECT, mashiinka asalkiisu ka soo jeedo wuu ogaan doonaa in la diiday, laakiin DROP wuxuu ku shaqeeyaa si aamusnaan ah qofka soo weeraray ama asalkiisuna ma ogaan doono waxa dhacay, mana sameyn doono ogow haddii aan leenahay gidaar-gacmeed ama xiriirku hadda uun fashilmay. Waxa kale oo jira kuwo kale oo lamid ah LOG, oo soo dira dabagal ku saabsan syslog-ka ...
Si wax looga beddelo xeerarka, waan ku saxi karnaa feyl-ka iptables-ka tafatiraha qoraalka aan doorbideyno, nano, gedit, ... ama waxaan ku abuuri karnaa qoraallo qawaaniin leh (haddii aad rabto inaad ka takhalusto, waad sameyn kartaa adoo gelinaya # hore safka si ay waa la iska indhatiray faallo ahaan) iyada oo loo marayo qunsulka amarrada sida aan halkan ku sharxi doonno. Debian iyo derivatives waxaad sidoo kale u isticmaali kartaa qalabka iptables-keydsiga iyo qalabka iptables-celinta ...
Siyaasadda ugu xad-dhaafka ahi waa in wax walba la xannibo, gabi ahaanba taraafikada, laakiin tani waxay naga tagi doontaa go'doon, iyadoo:
iptables -P INPUT DROP
In la wada aqbalo:
iptables -P INPUT ACCEPT
Hadaan taa rabno dhammaan taraafikada ka baxeysa kooxdayada waa la aqbalay:
iptables -P OUTPUT ACEPT
La tallaabo kale oo xagjir ah waxay noqon doontaa in la tirtiro dhammaan siyaasadaha laga bilaabo iptables leh:
iptables -F
Aynu aadno xeerar badan oo la taaban karoKa soo qaad in aad haysato shebekad shebekadeed sidaas darteedna taraafikada ilaa dekedda 80 waa in loo oggolaado:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
Hadana marka lagu daro sharcigii hore, waxaan rabnaa koox leh iptable kaliya waxaa lagu arki karaa kombiyuutarada on our subnet taasna ma ogaato shabakad dibadeed:
iptables -A INPUT -p tcp -s 192.168.30.0/24 --dport 80 -j ACCEPT
Khadkii hore, waxa aan ku dhaheyno iptables waa inaan ku darno xeer -A, sidaa darteed soo gelinta INPUT, iyo borotokoolka TCP, illaa dekada 80, waa la aqbalaa. Hada qiyaas inaad rabto aniga daalacashada webka waa la diiday loogu talagalay mashiinnada maxalliga ah ee maraya mashiinka socda qalabka wax lagu xiro:
iptables -t filter -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 DROP
Waxaan u maleynayaa in adeegsiga uu yahay mid fudud, iyadoo la tixgelinayo waxa cabbir kasta oo iptables ah, waxaan ku dari karnaa sharciyo fudud. Waad sameyn kartaa dhammaan isku-darka iyo qawaaniinta aan qiyaaseyno ... Si aanan u sii dheerayn naftayda, kaliya ku dar hal shay, oo taasi waa haddii mashiinka dib loo soo celiyo, siyaasadaha la abuuray waa la tirtirayaa. Miisaska dib ayaa loo ambaqaadayaa oo wuu sii jirayaa sidii hore, sidaa darteed, markaad si wanaagsan u qeexdo xeerarka, haddii aad rabto inaad ka dhigto kuwo joogto ah, waa inaad ka dhigtaa inay ka soo bilaabaan /etc/rc.local ama haddii aad leedahay Debian ama derivies ay isticmaalaan aaladaha naloo siiyay (iptables-save, iptables-restore and iptables-apply).
Kani waa maqaalkii ugu horreeyay ee aan ku arko IPTABLES in, inkasta oo cufan - loo baahan yahay heer aqooneed oo dhexdhexaad ah-, SI toos ah ayuu ugu socdaa MUDDADA.
Waxaan kugula talinayaa qof walba inuu u isticmaalo "buug tixraac deg deg ah" maadaama ay si fiican isugu duuban tahay loona sharaxay. 8-)
Waxaan jeclaan lahaa inaad kaga hadasho maqaal mustaqbalka ah oo ku saabsan in isbeddelka nidaamka lagu sameeyo qaybinta qaybtooda badankood ee Linux, in uu si uun u saameynayo amniga Linux guud ahaan, iyo haddii isbeddelkani uu yahay mid wanaagsan ama ka xun mustaqbalka iyo qaybinta Linux. Waxaan sidoo kale jeclaan lahaa inaan ogaado waxa laga ogyahay mustaqbalka devuan (debian without systemd).
Aad baad ugu mahadsantahay inaad sameysid maqaallo aad u wanaagsan.
Ma sameyn kartaa maqaal sharxaya miiska mangle?
Kaliya xannibi Facebook?