Affiliate phrògram Ceanglaichean
Ath-reic Luchd-dàta Poileasaidh droch-dhìol
ceann - burger
Pannal smachdPannal smachd
Am frithealaiche airson fios air aisrianachdSSLManaidsear ISPVPS airson WindowsVPS LinuxVPS airson VPN
Ceanglaichean Stiùireadh sìmplidh airson obrachadh leis an t-seirbheis Profitserver
prìomh Ceanglaichean A' rèiteachadh Firewall air Linux

A' rèiteachadh Firewall air Linux

Tha pàirt deatamach aig Firewall air Linux ann a bhith a’ daingneachadh siostam coimpiutair. Bidh e ag obair mar bhacadh, a’ cumail smachd air agus a’ sìoladh trafaic lìonraidh gus an siostam a dhìon bho ruigsinneachd gun chead, ionnsaighean is bagairtean eile. Às aonais Balla-teine ​​​​a chaidh a dhealbhadh gu ceart, dh’ fhaodadh am frithealaiche a bhith so-leònte ri diofar sheòrsaichean cyberattacks, a’ leantainn gu droch bhuaidhean airson tèarainteachd dàta agus dìomhaireachd.

San artaigil seo, seallaidh sinn ri dà phrìomh inneal airson a bhith a’ rèiteachadh an Firewall Linux: firewalld agus iptables. Nì sinn mion-sgrùdadh coimeasach air na feartan, comas-gnìomh agus buannachdan aca. A bharrachd air an sin, bheir sinn seachad stiùireadh mionaideach airson a bhith a’ stèidheachadh agus a’ cleachdadh gach aon de na h-innealan sin, a bharrachd air bruidhinn mu na cleachdaidhean as fheàrr airson an siostam agad a dhèanamh tèarainte le Firewall air an àrd-ùrlar Linux. Thèid a h-uile gnìomh a thaisbeanadh air a frithealaiche air-loidhne le ruigsinneachd freumh.

Clàr-innse
Leig às

A 'rèiteachadh balla-teine ​​​​air Linux

Firewalld (Daemon Firewall) na phrògram airson a bhith a’ riaghladh a’ bhalla-teine ​​ann an siostaman-obrachaidh Linux. Tha e a’ toirt seachad eadar-aghaidh cleachdaiche airson riaghailtean balla-teine ​​a rèiteachadh, a’ ceadachadh no a’ bacadh cheanglaichean de thagraidhean lìonraidh. Tha e air a chuir a-steach ro-làimh sa mhòr-chuid de sgaoilidhean frithealaiche. Mura h-eil Firewalld air a chuir a-steach ro-làimh, faodar a chuir a-steach gu neo-eisimeileach bho stòran oifigeil an t-sgaoilidh.

Airson siostaman Red Hat (leithid RHEL, CentOS, Fedora) thèid an stàladh a dhèanamh leis an àithne:

yum install firewalld

Airson Debian/Ubuntu:

apt-get install firewalld

Às deidh an stàladh, faodar a thòiseachadh agus a chuir an gnìomh sa bhad leis an àithne:

systemctl start firewalld

An ath rud, feumaidh tu an t-seirbheis a chuir ris aig toiseach tòiseachaidh:

systemctl enable firewalld
A’ cur balla-teine ​​ris ann an fèin-luchdachadh Linux

Aig an ìre seo, tha sinn a 'moladh ufw a dhì-chomasachadh, oir chan eilear a' moladh an inneal seo a chleachdadh aig an aon àm le balla-teine ​​​​no iptables. Thoir sùil air an t-suidheachadh:

systemctl status ufw
Thoir sùil air ufw linux

Gus stad a chuir air, cuir a-steach an àithne:

systemctl stop ufw

Airson làn-ghnìomhachadh:

ufw disable

Às deidh na gnìomhan sin, faodaidh tu a dhol air adhart gu bhith a’ rèiteachadh firewalld.

An toiseach, feumar sònaichean earbsa a mhìneachadh. Bidh Firewalld a’ cleachdadh bun-bheachd sònaichean gus an ìre earbsa airson eadar-aghaidh lìonraidh a dhearbhadh. Tha aon sòn air a shònrachadh do gach eadar-aghaidh, agus tha riaghailtean balla-teine ​​​​air an cur an sàs stèidhichte air an raon. Tha an liosta de na sònaichean uile a tha rim faighinn air fhosgladh leis an àithne:

firewall-cmd --get-zones

Mar as trice, bidh 4 prìomh raointean air an cleachdadh:

  1. Phoblach: Tha an sòn seo airson lìonraidhean a tha thu a 'meas mì-shàbhailte;
  2. prìobhaideach: A 'buntainn ri lìonraidhean dachaigh no ceanglaichean lìonra earbsach eile;
  3. Staigh: Air a chleachdadh airson lìonraidhean a-staigh, leithid an fheadhainn taobh a-staigh buidheann no lìonra corporra;
  4. DMZ: Is e an sòn seo far a bheil frithealaichean mar as trice air an cur a bu chòir a bhith ruigsinneach bhon eadar-lìn.

Ach, chan eil seo ach aon eisimpleir. Faodaidh tu do raon fhèin a chur ris a’ cleachdadh an àithne:

firewall-cmd --permanent --new-zone=nameyourzone

Às deidh cur ris, tha feum air ath-luchdachadh:

firewall-cmd --reload

Gus sòn a sguabadh às, thathar a 'cleachdadh dòigh coltach ris

firewall-cmd --permanent --delete-zone=nameyourzone

Às deidh sònaichean a mhìneachadh, feumar trafaic a cheadachadh airson na seirbheisean agus na puirt a tha a dhìth. Gus seirbheis shònraichte a cheadachadh, cleachd an àithne:

firewall-cmd --zone=public --add-service=name

Far a bheil ainm is e ainm na seirbheis. Mar eisimpleir, gus trafaic a cheadachadh airson Apache:

firewall-cmd --zone=public --add-service=http

Gus puirt ceadaichte a mhìneachadh, cleachd an àithne:

firewall-cmd --zone=public --add-port=number/protocol

Mar eisimpleir, bhiodh am port àbhaisteach 22 airson SSH a’ coimhead mar seo:

firewall-cmd --zone=public --add-port=22/tcp

Aig an ìre seo, tha na prìomh riaghailtean air an cruthachadh mar-thà. An ath rud, dèan cinnteach mar a thèid trafaic a phròiseasadh a rèir an stòr, ceann-uidhe, port agus slatan-tomhais eile. Gus riaghailt a chur ris (a 'cleachdadh an poblach sòn mar eisimpleir):

firewall-cmd --zone=public rule

Mar eisimpleir, gus leigeil le trafaic a tha a’ tighinn a-steach bho stòr sam bith gu port 80 (HTTP):

firewall-cmd --zone=public --add-port=80/tcp --permanent

Gus riaghailt a thoirt air falbh:

firewall-cmd --permanent --remove-rule=rule_specification

Far a bheil riaghailt Is e an seòrsa riaghailt (me, port, seirbheis, riaghailt beairteach, msaa), agus riaghailt_ sònrachadh tha sònrachadh na riaghailt fèin.

Às deidh dhut atharrachaidhean a dhèanamh air rèiteachadh Firewalld, feumar an sàbhaladh agus an cur an sàs. Gus atharrachaidhean a shàbhaladh, cleachd an àithne:

firewall-cmd --runtime-to-permanent

Gus atharraichean a chur an sàs:

firewall-cmd --reload

Nuair a chuireas tu crìoch air an stèidheachadh, faodaidh tu na paramadairean taghte a dhearbhadh le bhith a’ fosgladh liosta nan riaghailtean gu lèir:

firewall-cmd --list-all
riaghailtean firewalld Linux

Ma dh’ èiricheas duilgheadas sam bith, thoir sùil air na logaichean Firewalld leis an àithne:

journalctl -u firewalld

Nota: Cha do chòmhdaich sinn ach an algairim coitcheann airson an ceangal a stèidheachadh. Tha comas-gnìomh farsaing aig an inneal. Airson làn fhiosrachadh mu na roghainnean uile a tha rim faighinn, faodaidh tu am faidhle sgrìobhainnean oifigeil no cuideachadh fosgailte:

firewall-cmd --help

A’ rèiteachadh iptables air Linux

Eu-coltach ri Firewalld, tha iptables na inneal nas sine ach a tha fhathast air a chleachdadh gu farsaing ann an Linux airson am balla-teine ​​​​a riaghladh. Tha e a’ toirt seachad dòigh-obrach nas dìriche agus nas sùbailte a thaobh riaghailtean sìoltachaidh pacaidean aig ìre kernel Linux. Ach, feumaidh iptables eòlas agus eòlas nas adhartaiche an taca ri Firewalld, ga dhèanamh cho ruigsinneach dha luchd-tòiseachaidh. Thoir sùil air an tionndadh ro-stàlaichte den inneal leis an àithne:

iptables -V

Mura h-eil an inneal air a chuir a-steach, feumar a chuir a-steach. An àithne airson stàladh air Ubuntu, Debian:

apt install iptables

Airson siostaman Red Hat (me, CentOS, Fedora):

yum install iptables

An àithne airson gnìomhachadh às deidh an stàladh:

systemctl start iptables

Gus cur ris an toiseach, cuir an gnìomh:

systemctl enable iptables

Mus tòisich thu air rèiteachadh iptables, tha e cudromach tuigsinn mar a tha e ag obair. Tha seo air a chuideachadh le co-chòrdadh a’ phrògraim. Tha e a’ coimhead mar a leanas:

iptables -t table action chain additional_parameters

Leig dhuinn sgrùdadh nas doimhne a-steach do gach nì.

Tha ceithir prìomh chlàran aig Iptables: criathradh, nat, mangle, and raw. Tha gach fear air a dhealbhadh airson a bhith a’ giullachd seòrsaichean sònraichte de phasganan agus tha slabhraidhean riaghailtean aca fhèin:

  1. criathrag: Is e seo an clàr as trice a chleachdar, anns a bheil riaghailtean sìoltachaidh pacaid. Tha e air a chleachdadh airson co-dhùnadh am bu chòir pacaidean a cheadachadh no a dhiùltadh.
  2. nat: Tha an clàr seo air a chleachdadh airson seòlaidhean lìonra agus puirt atharrachadh ann am pacaidean. Tha e air a chleachdadh gu tric airson masquerading (NAT) a stèidheachadh.
  3. mangle: Anns a’ chlàr seo, faodaidh tu cinn-cinn pacaid atharrachadh. Tha e air a chleachdadh airson obraichean pacaid sònraichte, leithid comharrachadh.
  4. amh: Tha an clàr seo air a chleachdadh airson riaghailtean a rèiteachadh a tha a 'buntainn mus tèid iad tron ​​​​t-siostam tracadh ceangail. Mar as trice bidh e air a chleachdadh airson riaghailtean a stèidheachadh nach bu chòir an siostam tracadh atharrachadh, leithid pacaidean a leigeil sìos bho sheòlaidhean sònraichte.

Tha sreath de shlabhraidhean anns gach clàr. Is e sreath de riaghailtean a th’ ann an slabhraidhean a tha air an sgrùdadh ann an sreath. Tha trì slabhraidhean ro-mhìnichte ann:

  1. INPUT (a-steach). Bidh na riaghailtean san t-sreath seo a’ dearbhadh dè a nì thu le pacaidean a thig a-steach.
  2. TORADH (a-mach). Tha an t-sreath seo a’ buntainn ris a h-uile pacaid a chuireas do choimpiutair gu innealan no coimpiutairean eile air an lìonra.
  3. Air adhart (air adhart). Tha na riaghailtean san t-sreath seo a’ sònrachadh dè a nì thu le pacaidean air an cur air adhart.

Mu dheireadh, tha gnìomh (targaid) aig gach slabhraidh. Ann an cleachdadh, tha 5 prìomh ghnìomhan air an cleachdadh:

  1. FÀILTE: Leig leis a 'phacaid a dhol tron ​​​​bhalla-teine.
  2. DROPACH: Diùlt am pasgan agus cuir air falbh e gun fhreagairt sam bith.
  3. MOLADH: Diùlt am pacaid agus cuir teachdaireachd mearachd ICMP chun an neach a chuir e.
  4. LOG: Log a’ phacaid ann an log an t-siostaim agus dèan gnìomh eile (me, ACCEPT or DROP).
  5. TUILLEADH: Stad a bhith a’ sgrùdadh nan riaghailtean san t-sreath gnàthach agus till air ais chun t-sèine gairm (ma tha sin iomchaidh).

Gus an stèidheachadh a thòiseachadh, fosgail liosta nan riaghailtean a th’ ann mar-thà leis an àithne:

iptables -L
A' rèiteachadh Firewall air Linux

Mar stiùireadh airson Iptables a rèiteachadh, leig dhuinn sùil a thoirt air eisimpleirean practaigeach de na h-òrdughan as cumanta. Airson goireasachd, roinnidh sinn na h-eisimpleirean ann an 3 buidhnean, a rèir an t-sreath shònraichte.

Chain -steach:

  1. Leig le trafaic a-steach tro phròtacal TCP air port 80:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

2. Leig le trafaic a tha a’ tighinn a-steach tro phròtacal UDP air port 22:

iptables -A INPUT -p udp --dport 22 -j ACCEPT

3. Cuir casg air trafaic a tha a’ tighinn a-steach bho sheòladh IP sònraichte:

iptables -A INPUT -s 192.168.1.100 -j DROP

Chain GnOMh:

  1. Leig le trafaic a-mach tro phròtacal TCP air port 443:
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT

2. Ceadaich trafaic a-mach tro phròtacal UDP air port 80:

iptables -A OUTPUT -p udp --dport 80 -j ACCEPT

3. Cuir casg air trafaic a-mach gu port sònraichte (mar eisimpleir, 21):

iptables -A OUTPUT -p tcp --dport 21 -j DROP

Chain AN T-EILEANACH:

  1. Cuir casg air trafaic air adhart bho raon sònraichte de sheòlaidhean IP:
iptables -A FORWARD -s 172.16.0.0/24 -j DROP

2. Cuir casg air pacaidean a chuir air adhart bho eadar-aghaidh lìonra sònraichte:

iptables -A FORWARD -i eth1 -j DROP

3. Cuir crìoch air an àireamh de cheanglaichean aig an aon àm airson port sònraichte (san eisimpleir seo, 10 ceanglaichean gach mionaid air port 80):

iptables -A INPUT -p tcp --dport 80 -m limit --limit 10/minute -j ACCEPT

Mar a chì thu, anns gach cùis fa leth, thathas a’ cleachdadh argamaid a bharrachd (òrdugh). Gus liosta slàn fhaighinn de na h-argamaidean a dh’ fhaodadh a bhith ann agus taic iomlan airson gnìomhachd an inneil, cuir a-steach:

iptables -h
Liosta òrdughan rèiteachaidh iptables linux

Gus dèanamh cinnteach gu bheil na roghainnean ceart, cuir a-steach an àithne a-rithist gus liosta nan riaghailtean fhaicinn:

iptables -L
A’ cumail sùil air riaghailtean iptables linux

Gus riaghailt sònraichte a sguabadh às, cleachd an àithne:

iptables -D chain rule_number

Mar eisimpleir, ma tha thu airson riaghailt àireamh 1 a sguabadh às an t-sreath INPUT, seallaidh an àithne mar seo:

iptables -D INPUT 1

Gus na riaghailtean uile a dhubhadh às le aon òrdugh:

iptables -F

Nota cudromach: chan eil riaghailtean iptables air an sàbhaladh gu fèin-ghluasadach às deidh an siostam no an t-seirbheis ath-thòiseachadh. Gus na riaghailtean a shàbhaladh, feumaidh iad a bhith air an cur ri faidhle rèiteachaidh agus ath-nuadhachadh às deidh ath-thòiseachadh. Tha an iptables-sàbhalaidh agus iptables-ath-nuadhachadh faodaidh goireasan cuideachadh le seo. Gus na riaghailtean a shàbhaladh, cuir a-steach an àithne:

iptables-save > /etc/iptables/rules.v4

Sàbhalaidh seo na riaghailtean iptables gnàthach anns an fhaidhle riaghailtean.v4. Gus ath-nuadhachadh às deidh ath-thòiseachadh, cuir a-steach:

iptables-restore < /etc/iptables/rules.v4

Bidh an àithne seo ag ath-nuadhachadh nan riaghailtean bhon fhaidhle rules.v4.

Co-dhùnadh

Tha a bhith a’ rèiteachadh Firewall air Linux a’ cleachdadh firewalld no iptables na phàirt chudromach de bhith a’ dèanamh cinnteach à tèarainteachd frithealaiche. Tha an dà inneal a’ tabhann dòighean earbsach air trafaic lìonra a riaghladh agus an siostam a dhìon bho ruigsinneachd gun chead agus cyberattacks. Tha an roghainn eadar balla-teine ​​​​agus iptables an urra ri feumalachdan agus roghainnean sònraichte an neach-cleachdaidh, a’ beachdachadh air na diofar fheartan agus neartan aca.

❮ Artaigil roimhe Luchd-cleachdaidh Linux: Stiùireadh agus Ceadan
An ath artaigil ❯ Diagnosachd luchdadh a-nuas an fhrithealaiche

Faighnich dhuinn mu VPS

Tha sinn an-còmhnaidh deiseil airson do cheistean a fhreagairt aig àm sam bith den latha no den oidhche.
Frithealaiche prothaid
@profitserver
Thig còmhla ris an t-sianal