Cumraigh Balla Dóiteáin ar Linux

Tá ról ríthábhachtach ag Firewall ar Linux maidir le córas ríomhaireachta a dhaingniú. Feidhmíonn sé mar bhac, ag rialú agus ag scagadh tráchta líonra chun an córas a chosaint ó rochtain neamhúdaraithe, ionsaithe agus bagairtí eile. Gan Balla Dóiteáin atá cumraithe i gceart, d’fhéadfadh an freastalaí a bheith i mbaol cineálacha éagsúla cibearionsaithe, rud a d’fhágfadh iarmhairtí tromchúiseacha do shlándáil sonraí agus rúndacht.

San Airteagal seo, féachfaimid ar dhá phríomhuirlisí chun Balla Dóiteáin Linux a chumrú: balla dóiteáin agus iptables. Déanfaimid anailís chomparáideach ar a gcuid gnéithe, feidhmiúlacht agus buntáistí. Ina theannta sin, cuirfimid treoracha mionsonraithe ar fáil maidir le bunú agus úsáid gach ceann de na huirlisí seo, chomh maith le plé a dhéanamh ar dhea-chleachtais chun do chóras a dhaingniú le Balla Dóiteáin ar an ardán Linux. Léireofar gach gníomh ar a freastalaí fíorúil le rochtain fhréamh.

Cumraigh balla dóiteáin ar Linux

Firewalld Is clár é (Deamhan Balla Dóiteáin) chun an balla dóiteáin a bhainistiú i gcórais oibriúcháin Linux. Soláthraíonn sé comhéadan úsáideora chun rialacha balla dóiteáin a chumrú, chun naisc d'fheidhmchláir líonra a cheadú nó a bhlocáil. Tá sé réamhshuiteáilte de réir réamhshocraithe i bhformhór na ndáiltí freastalaí. Mura bhfuil Firewalld réamhshuiteáilte, is féidir é a shuiteáil go neamhspleách ó stórtha oifigiúla an dáileacháin.

I gcás córais Red Hat (cosúil le RHEL, CentOS, Fedora) déantar an tsuiteáil leis an ordú:

yum install firewalld

Le haghaidh Debian/Ubuntu:

apt-get install firewalld

Tar éis a shuiteáil, is féidir é a thosú agus a ghníomhachtú láithreach leis an ordú:

systemctl start firewalld

Ansin, ní mór duit an tseirbhís a chur leis an am tosaithe:

systemctl enable firewalld

Ag an bpointe seo, molaimid ufw a dhíchumasú, toisc nach moltar an uirlis seo a úsáid go comhuaineach le balla dóiteáin nó iptables. Seiceáil an stádas:

systemctl status ufw

Chun é a stopadh, cuir isteach an t-ordú:

systemctl stop ufw

Le haghaidh díghníomhaithe iomlán:

ufw disable

Tar éis na gníomhartha seo, is féidir leat dul ar aghaidh chun balla dóiteáin a chumrú.

Ar dtús, is gá criosanna iontaobhais a shainiú. Úsáideann Firewalld coincheap na gcriosanna chun an leibhéal muiníne do chomhéadain líonra a chinneadh. Sanntar crios amháin do gach comhéadan, agus cuirtear rialacha balla dóiteáin i bhfeidhm bunaithe ar an gcrios. Osclaítear liosta na gcriosanna go léir atá ar fáil leis an ordú:

firewall-cmd --get-zones

De ghnáth, úsáidtear 4 phríomhchrios:

1. Poiblí: Tá an crios seo le haghaidh líonraí a mheasann tú a bheith neamhshábháilte;
2. Príobháideacha: Baineann sé seo le líonraí baile nó naisc líonra iontaofa eile;
3. Inmheánach: A úsáidtear le haghaidh líonraí inmheánacha, amhail iad siúd laistigh d'eagraíocht nó líonra corparáideach;
4. DMZ: Is é an crios seo ina gcuirtear freastalaithe de ghnáth ar cheart go mbeadh rochtain orthu ón Idirlíon.

Mar sin féin, níl anseo ach sampla amháin. Is féidir leat do chrios féin a chur leis ag baint úsáide as an ordú:

firewall-cmd --permanent --new-zone=nameyourzone

Tar éis cur leis, tá gá le hathlódáil:

firewall-cmd --reload

Chun crios a scriosadh, úsáidtear modh comhchosúil

firewall-cmd --permanent --delete-zone=nameyourzone

Tar éis criosanna a shainiú, is gá trácht a cheadú do na seirbhísí agus na calafoirt atá ag teastáil. Chun seirbhís áirithe a cheadú, bain úsáid as an ordú:

firewall-cmd --zone=public --add-service=name

Sa chás go ainm is ainm don tseirbhís. Mar shampla, chun trácht a cheadú do Apache:

firewall-cmd --zone=public --add-service=http

Chun calafoirt incheadaithe a shainiú, bain úsáid as an ordú:

firewall-cmd --zone=public --add-port=number/protocol

Mar shampla, bheadh ​​cuma mar seo ar an gcalafort caighdeánach 22 do SSH:

firewall-cmd --zone=public --add-port=22/tcp

Ag an gcéim seo, tá na príomhrialacha cruthaithe cheana féin. Ansin, cinntigh conas a dhéanfar trácht a phróiseáil ag brath ar an bhfoinse, an ceann scríbe, an calafort agus critéir eile. Chun riail a chur leis (ag baint úsáide as an poiblí crios mar shampla):

firewall-cmd --zone=public rule

Mar shampla, chun trácht ag teacht isteach ó fhoinse ar bith go calafort 80 (HTTP) a cheadú:

firewall-cmd --zone=public --add-port=80/tcp --permanent

Chun riail a bhaint:

firewall-cmd --permanent --remove-rule=rule_specification

Sa chás go riail is é an cineál rialach (m.sh., port, seirbhís, saibhir-riail, etc.), agus riail_sonraíocht is é sonraíocht na rialach féin.

Tar éis athruithe a dhéanamh ar chumraíocht Firewalld, is gá iad a shábháil agus a chur i bhfeidhm. Chun athruithe a shábháil, úsáid an t-ordú:

firewall-cmd --runtime-to-permanent

Chun athruithe a chur i bhfeidhm:

firewall-cmd --reload

Nuair a bheidh an socrú críochnaithe, is féidir leat na paraiméadair roghnaithe a fhíorú trí liosta na rialacha go léir a oscailt:

firewall-cmd --list-all

Má thagann aon fhadhbanna chun cinn, seiceáil na logaí Firewalld leis an ordú:

journalctl -u firewalld

Nóta: Níl ach an t-algartam ginearálta clúdaithe againn chun an nasc a shocrú. Tá feidhmiúlacht fhairsing ag an uirlis. Chun eolas iomlán a fháil ar na roghanna go léir atá ar fáil, is féidir leat úsáid a bhaint as an doiciméadú oifigiúil nó cabhair a oscailt:

firewall-cmd --help

Cumrú iptables ar Linux

Murab ionann agus Firewalld, is uirlis níos sine é iptables ach a úsáidtear go forleathan fós i Linux chun an balla dóiteáin a bhainistiú. Soláthraíonn sé cur chuige níos dírí agus níos solúbtha maidir le rialacha scagtha paicéad ag leibhéal eithne Linux. Mar sin féin, éilíonn iptables eolas agus taithí níos airde i gcomparáid le Firewalld, rud a fhágann nach bhfuil sé chomh inrochtana do thosaitheoirí. Seiceáil an leagan réamhshuiteáilte den uirlis leis an ordú:

iptables -V

Mura bhfuil an uirlis suiteáilte, beidh gá é a shuiteáil. An t-ordú le haghaidh suiteáil ar Ubuntu, Debian:

apt install iptables

I gcás córais Red Hat (m.sh., CentOS, Fedora):

yum install iptables

An t-ordú le haghaidh gníomhachtaithe tar éis a shuiteáil:

systemctl start iptables

Chun cur leis an am tosaithe, rith:

systemctl enable iptables

Sula dtosaíonn tú ar chumraíocht iptables, tá sé tábhachtach a thuiscint conas a oibríonn sé. Cuidíonn comhréir an chláir leis seo. Breathnaíonn sé mar seo a leanas:

iptables -t table action chain additional_parameters

Déanaimis iniúchadh níos doimhne isteach i ngach mír.

Tá ceithre phríomhthábla ag Iptables: scagaire, nat, mangle, agus amh. Tá gach ceann acu deartha chun cineálacha áirithe paicéid a phróiseáil agus tá a slabhraí rialacha féin acu:

1. scagaire: Is é seo an tábla is minice a úsáidtear, ina bhfuil rialacha scagtha paicéad. Úsáidtear é chun cinntí a dhéanamh maidir le paicéid a cheadú nó a dhiúltú.
2. oíche: Úsáidtear an tábla seo chun seoltaí líonra agus calafoirt i bpacáistí a mhodhnú. Is minic a úsáidtear é chun masquerading (NAT) a bhunú.
3. mangle: Sa tábla seo, is féidir leat ceanntásca paicéad a mhodhnú. Úsáidtear é le haghaidh oibríochtaí paicéad speisialaithe, mar mharcáil.
4. amh: Úsáidtear an tábla seo chun rialacha a chumrú a bhfuil feidhm acu sula dtéann siad tríd an gcóras rianaithe nasc. Úsáidtear é go hiondúil chun rialacha a bhunú nár cheart don chóras rianaithe iad a mhodhnú, mar shampla paicéid a scaoileadh ó sheoltaí áirithe.

Tá sraith slabhraí i ngach tábla. Is seicheamh rialacha iad slabhraí a dhéantar a sheiceáil go seicheamhach. Tá trí shlabhra réamhshainithe ann:

1. INPUT (isteach). Cinneann na rialacha sa slabhra seo cad atá le déanamh le paicéid atá ag teacht isteach.
2. ASCHUR (amach). Baineann an slabhra seo le gach paicéad a sheolann do ríomhaire chuig gléasanna nó ríomhairí eile ar an líonra.
3. AR AGHAIDH (ar aghaidh). Sonraíonn na rialacha sa slabhra seo cad atá le déanamh le paicéid a chuirtear ar aghaidh.

Ar deireadh, tá gníomh éigin (sprioc) ag gach slabhra. Go praiticiúil, úsáidtear 5 phríomhghníomh:

1. LEAGAN: Lig don phaicéad dul tríd an mballa dóiteáin.
2. DROP: Diúltaigh an paicéad agus caith amach é gan aon fhreagra.
3. DÉANAMH: Diúltaigh an paicéad agus seol teachtaireacht earráide ICMP don seoltóir.
4. LOG: Logáil an paicéad i logáil an chórais agus déan gníomh eile (eg, GLACADH nó TÚ).
5. RETURN: Stop ag seiceáil na rialacha sa slabhra reatha agus filleadh ar an slabhra glaonna (más infheidhme).

Chun an socrú a thosú, oscail liosta na rialacha atá ann cheana leis an ordú:

iptables -L

Mar threoir chun Iptables a chumrú, féachaimis ar shamplaí praiticiúla de na horduithe is coitianta a úsáidtear. Ar mhaithe le caoithiúlacht, roinnfimid na samplaí i 3 ghrúpa, ag brath ar an slabhra sonrach.

slabhra IONCHUR:

1. Ceadaigh trácht ag teacht isteach trí phrótacal TCP ar phort 80:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

2. Ceadaigh trácht ag teacht isteach trí phrótacal UDP ar phort 22:

iptables -A INPUT -p udp --dport 22 -j ACCEPT

3. Cuir bac ar thrácht ag teacht isteach ó sheoladh IP ar leith:

iptables -A INPUT -s 192.168.1.100 -j DROP

slabhra ASCHUR:

1. Ceadaigh trácht amach trí phrótacal TCP ar phort 443:

iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT

2. Ceadaigh trácht amach trí phrótacal UDP ar phort 80:

iptables -A OUTPUT -p udp --dport 80 -j ACCEPT

3. Cuir bac ar thrácht amach chuig calafort ar leith (mar shampla, 21):

iptables -A OUTPUT -p tcp --dport 21 -j DROP

slabhra FORWARD:

1. Cuir bac ar thrácht seolta ar aghaidh ó raon sonrach seoltaí IP:

iptables -A FORWARD -s 172.16.0.0/24 -j DROP

2. Cuir bac ar aghaidh paicéid ó chomhéadan líonra ar leith:

iptables -A FORWARD -i eth1 -j DROP

3. Teorainn a chur le líon na nasc comhuaineach do chalafort ar leith (sa sampla seo, 10 nasc in aghaidh an nóiméid ar phort 80):

iptables -A INPUT -p tcp --dport 80 -m limit --limit 10/minute -j ACCEPT

Mar a fheiceann tú, i ngach cás ar leith, úsáidtear argóint bhreise (ordú). Chun liosta iomlán de na hargóintí a d’fhéadfadh a bheith ann agus tacaíocht iomlán d’fheidhmiúlacht na huirlise a fháil, cuir isteach:

iptables -h

Chun a chinntiú go bhfuil na socruithe i gceart, cuir isteach an t-ordú arís chun liosta na rialacha a fheiceáil:

iptables -L

Chun riail ar leith a scriosadh, bain úsáid as an ordú:

iptables -D chain rule_number

Mar shampla, más mian leat riail uimhir 1 a scriosadh ón slabhra INPUT, beidh an t-ordú cuma mar seo:

iptables -D INPUT 1

Chun gach riail a scriosadh le hordú amháin:

iptables -F

Nóta tábhachtach: ní shábháiltear rialacha iptables go huathoibríoch tar éis an córas nó an tseirbhís a atosú. Chun na rialacha a shábháil, ní mór iad a chur le comhad cumraíochta agus iad a athchóiriú tar éis atosaigh. Tá an iptables-shábháil agus iptables-athshlánú is féidir le fóntais cabhrú leis seo. Chun na rialacha a shábháil, cuir isteach an t-ordú:

iptables-save > /etc/iptables/rules.v4

Sábhálann sé seo na rialacha iptables reatha sa chomhad rules.v4. Chun athchóiriú a dhéanamh tar éis atosaigh, cuir isteach:

iptables-restore < /etc/iptables/rules.v4

Athchóiríonn an t-ordú seo na rialacha ón gcomhad rules.v4.

Conclúid

Is gné thábhachtach é balla dóiteáin a chumrú ar Linux ag baint úsáide as balla dóiteáin nó iptables chun slándáil an fhreastalaí a chinntiú. Cuireann an dá uirlis modhanna iontaofa ar fáil chun trácht líonra a bhainistiú agus chun an córas a chosaint ó rochtain neamhúdaraithe agus cibear-ionsaithe. Braitheann an rogha idir balla dóiteáin agus iptables ar riachtanais agus roghanna sonracha an úsáideora, ag smaoineamh ar a bhfeidhmiúlacht agus a láidreachtaí éagsúla.