affiljat program Knowledgebase
Bejgħ mill-ġdid Ċentri tad-dejta Politika dwar l-abbuż
header--burger
Panel tal-kontrollControlPanel
Server għal feedbackamministrazzjoniSSLISPmanagerWindows VPSVPS LinuxVPS għal VPN
Knowledgebase Istruzzjonijiet sempliċi biex taħdem mas-servizz Profitserver
Main Knowledgebase Konfigurazzjoni tal-Firewall fuq Linux

Konfigurazzjoni tal-Firewall fuq Linux

Firewall fuq Linux għandu rwol vitali fl-iżgurar ta 'sistema tal-kompjuter. Jaġixxi bħala ostaklu, jikkontrolla u jiffiltra t-traffiku tan-netwerk biex jipproteġi s-sistema minn aċċess mhux awtorizzat, attakki u theddid ieħor. Mingħajr Firewall ikkonfigurat sew, is-server jista’ jkun vulnerabbli għal diversi tipi ta’ ċiberattakki, li jwasslu għal konsegwenzi serji għas-sigurtà u l-kunfidenzjalità tad-dejta.

F'dan l-artikolu, se nħarsu lejn żewġ għodod ewlenin għall-konfigurazzjoni tal-Linux Firewall: firewalld u iptables. Se nwettqu analiżi komparattiva tal-karatteristiċi, il-funzjonalità u l-vantaġġi tagħhom. Barra minn hekk, aħna ser nipprovdu istruzzjonijiet dettaljati għat-twaqqif u l-użu ta 'kull waħda minn dawn l-għodod, kif ukoll niddiskutu l-aħjar prattiki biex niżguraw is-sistema tiegħek b'Firewall fuq il-pjattaforma Linux. L-azzjonijiet kollha se jintwerew fuq a Server virtwali b'aċċess għall-għeruq.

Tabella tal-kontenut
Imminimizza

Konfigurazzjoni tal-firewalld fuq Linux

Firewalld (Firewall Daemon) huwa programm għall-ġestjoni tal-firewall fis-sistemi operattivi Linux. Jipprovdi interface għall-utent għall-konfigurazzjoni tar-regoli tal-firewall, li jippermetti jew jimblokka l-konnessjonijiet tal-applikazzjonijiet tan-netwerk. Huwa installat minn qabel awtomatikament fil-biċċa l-kbira tad-distribuzzjonijiet tas-server. Jekk Firewalld ma jkunx installat minn qabel, jista 'jiġi installat indipendentement mir-repożitorji uffiċjali tad-distribuzzjoni.

Għal sistemi Red Hat (bħal RHEL, CentOS, Fedora) l-installazzjoni titwettaq bil-kmand:

yum install firewalld

Għal Debian/Ubuntu:

apt-get install firewalld

Wara l-installazzjoni, jista 'jinbeda u jiġi attivat immedjatament bil-kmand:

systemctl start firewalld

Sussegwentement, trid iżżid is-servizz mal-istartjar:

systemctl enable firewalld
Żieda tal-firewalld fl-awtoload tal-Linux

F'dan il-punt, nirrakkomandaw li tiddiżattiva l-ufw, peress li l-użu simultanju ta 'din l-għodda ma' firewalld jew iptables mhuwiex rakkomandat. Iċċekkja l-istatus:

systemctl status ufw
Iċċekkja ufw linux

Biex twaqqafha, daħħal il-kmand:

systemctl stop ufw

Għal diżattivazzjoni sħiħa:

ufw disable

Wara dawn l-azzjonijiet, tista 'tipproċedi biex tikkonfigura firewalld.

L-ewwel, huwa meħtieġ li jiġu definiti żoni ta 'fiduċja. Firewalld juża l-kunċett ta 'żoni biex jiddetermina l-livell ta' fiduċja għall-interfaces tan-netwerk. Kull interface hija assenjata żona waħda, u r-regoli tal-firewall huma applikati abbażi taż-żona. Il-lista taż-żoni kollha disponibbli tinfetaħ bil-kmand:

firewall-cmd --get-zones

Tipikament, jintużaw 4 żoni ewlenin:

  1. Pubblika: Din iż-żona hija għal netwerks li tqis mhux sikuri;
  2. Privat: Japplika għal netwerks tad-dar jew konnessjonijiet oħra ta' netwerk ta' fiduċja;
  3. Intern: Użat għal netwerks interni, bħal dawk fi ħdan organizzazzjoni jew netwerk korporattiv;
  4. DMZ: Din iż-żona hija fejn normalment jitqiegħdu servers li għandhom ikunu aċċessibbli mill-internet.

Madankollu, dan huwa biss eżempju wieħed. Tista 'żżid iż-żona tiegħek billi tuża l-kmand:

firewall-cmd --permanent --new-zone=nameyourzone

Wara li żżid, hija meħtieġa tagħbija mill-ġdid:

firewall-cmd --reload

Biex tħassar żona, jintuża metodu simili

firewall-cmd --permanent --delete-zone=nameyourzone

Wara d-definizzjoni taż-żoni, huwa meħtieġ li jitħallew it-traffiku għas-servizzi u l-portijiet meħtieġa. Biex tippermetti ċertu servizz, uża l-kmand:

firewall-cmd --zone=public --add-service=name

fejn isem huwa l-isem tas-servizz. Pereżempju, biex tippermetti t-traffiku għal Apache:

firewall-cmd --zone=public --add-service=http

Biex tiddefinixxi portijiet permissibbli, uża l-kmand:

firewall-cmd --zone=public --add-port=number/protocol

Pereżempju, il-port standard 22 għal SSH ikun jidher bħal dan:

firewall-cmd --zone=public --add-port=22/tcp

F'dan l-istadju, ir-regoli ewlenin huma diġà maħluqa. Sussegwentement, iddetermina kif it-traffiku se jiġi pproċessat skont is-sors, id-destinazzjoni, il-port u kriterji oħra. Biex iżżid regola (bl-użu tal- pubblika żona bħala eżempju):

firewall-cmd --zone=public rule

Pereżempju, biex tippermetti traffiku deħlin minn kwalunkwe sors għall-port 80 (HTTP):

firewall-cmd --zone=public --add-port=80/tcp --permanent

Biex tneħħi regola:

firewall-cmd --permanent --remove-rule=rule_specification

fejn regola hija t-tip ta' regola (eż., port, servizz, sinjuri-regola, eċċ.), u speċifikazzjoni_regola hija l-ispeċifikazzjoni tar-regola nnifisha.

Wara li tagħmel bidliet fil-konfigurazzjoni tal-Firewalld, huwa meħtieġ li tissejvjahom u tapplikahom. Biex issalva l-bidliet, uża l-kmand:

firewall-cmd --runtime-to-permanent

Biex tapplika l-bidliet:

firewall-cmd --reload

Meta tlesti s-setup, tista 'tivverifika l-parametri magħżula billi tiftaħ il-lista tar-regoli kollha:

firewall-cmd --list-all
firewalld Linux regoli

Jekk jinqalgħu xi problemi, iċċekkja r-reġistri tal-Firewalld bil-kmand:

journalctl -u firewalld

Nota: Aħna koprejna biss l-algoritmu ġenerali għat-twaqqif tal-konnessjoni. L-għodda għandha funzjonalità estensiva. Għal informazzjoni sħiħa dwar l-għażliet kollha disponibbli, tista’ tuża l- dokumentazzjoni uffiċjali jew tiftaħ għajnuna:

firewall-cmd --help

Konfigurazzjoni ta' iptables fuq Linux

B'differenza Firewalld, iptables hija għodda anzjani iżda li għadha tintuża ħafna fil-Linux għall-ġestjoni tal-firewall. Jipprovdi approċċ aktar dirett u flessibbli għar-regoli tal-iffiltrar tal-pakketti fil-livell tal-kernel Linux. Madankollu, iptables jeħtieġ għarfien u esperjenza aktar avvanzati meta mqabbla ma 'Firewalld, li jagħmilha inqas aċċessibbli għal dawk li jibdew. Iċċekkja l-verżjoni installata minn qabel tal-għodda bil-kmand:

iptables -V

Jekk l-għodda ma tkunx installata, jeħtieġ li tiġi installata. Il-kmand għall-installazzjoni fuq Ubuntu, Debian:

apt install iptables

Għal sistemi Red Hat (eż. CentOS, Fedora):

yum install iptables

Il-kmand għall-attivazzjoni wara l-installazzjoni:

systemctl start iptables

Biex iżżid mal-istartjar, eżegwixxi:

systemctl enable iptables

Qabel ma tibda l-konfigurazzjoni iptables, huwa importanti li tifhem kif taħdem. Dan huwa megħjun mis-sintassi tal-programm. Jidher kif ġej:

iptables -t table action chain additional_parameters

Ejja nidħlu aktar fil-fond f'kull oġġett.

Iptables għandu erba' tabelli ewlenin: filtru, nat, mangle, u mhux maħdum. Kull wieħed huwa ddisinjat għall-ipproċessar ta 'ċerti tipi ta' pakketti u għandu l-ktajjen ta 'regoli tiegħu stess:

  1. filtru: Din hija t-tabella li tintuża l-aktar frekwentement, li fiha regoli tal-iffiltrar tal-pakketti. Jintuża biex jittieħdu deċiżjonijiet dwar jekk jitħallewx jew jiċħdux pakketti.
  2. Nat: Din it-tabella tintuża biex timmodifika l-indirizzi tan-netwerk u l-portijiet f'pakketti. Ħafna drabi jintuża għat-twaqqif tal-masquerading (NAT).
  3. mangle: F'din it-tabella, tista' timmodifika l-intestaturi tal-pakketti. Huwa użat għal operazzjonijiet ta 'pakketti speċjalizzati, bħall-immarkar.
  4. prima: Din it-tabella tintuża għall-konfigurazzjoni tar-regoli li japplikaw qabel ma jgħaddu mis-sistema ta’ traċċar tal-konnessjoni. Huwa tipikament użat biex jiġu stabbiliti regoli li m'għandhomx jiġu modifikati mis-sistema ta 'traċċar, bħal twaqqa' pakketti minn ċerti indirizzi.

Kull tabella fiha sett ta’ ktajjen. Il-ktajjen huma sekwenza ta' regoli li jiġu kkontrollati b'mod sekwenzjali. Hemm tliet ktajjen predefiniti:

  1. INPUT (dieħla). Ir-regoli f'din il-katina jiddeterminaw x'għandek tagħmel mal-pakketti deħlin.
  2. ĦRUĠ (ħerġin). Din il-katina tapplika għall-pakketti kollha li l-kompjuter tiegħek jibgħat lil apparati jew kompjuters oħra fin-netwerk.
  3. QUDDIEM (trażmissjoni). Ir-regoli f'din il-katina jispeċifikaw x'għandek tagħmel b'pakketti mibgħuta.

Fl-aħħarnett, kull katina tippossjedi xi azzjoni (mira). Fil-prattika, jintużaw 5 azzjonijiet ewlenin:

  1. Aċċetta: Ħalli l-pakkett jgħaddi mill-firewall.
  2. QATT: Irrifjuta l-pakkett u armih mingħajr ebda risposta.
  3. IRRAĠJETA: Tiċħad il-pakkett u tibgħat lill-mittent messaġġ ta' żball ICMP.
  4. ZOKK MAQTUGĦ: Iilloggja l-pakkett fil-log tas-sistema u wettaq azzjoni oħra (eż., AĊĊETTA jew Waqqa').
  5. RITORN: Tieqaf tiċċekkja r-regoli fil-katina attwali u rritorna għall-katina tas-sejħa (jekk applikabbli).

Biex tibda s-setup, iftaħ il-lista tar-regoli eżistenti bil-kmand:

iptables -L
Konfigurazzjoni tal-Firewall fuq Linux

Bħala gwida għall-konfigurazzjoni ta 'Iptables, ejja nħarsu lejn eżempji prattiċi tal-kmandi l-aktar użati komunement. Għall-konvenjenza, aħna ser naqsmu l-eżempji fi 3 gruppi, skond il-katina speċifika.

katina INPUT:

  1. Ħalli t-traffiku deħlin permezz tal-protokoll TCP fuq il-port 80:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

2. Ħalli t-traffiku deħlin permezz tal-protokoll UDP fuq il-port 22:

iptables -A INPUT -p udp --dport 22 -j ACCEPT

3. Imblokka t-traffiku li jkun dieħel minn indirizz IP speċifiku:

iptables -A INPUT -s 192.168.1.100 -j DROP

katina OUTPUT:

  1. Ħalli t-traffiku ħerġin permezz tal-protokoll TCP fuq il-port 443:
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT

2. Ħalli t-traffiku ħerġin permezz tal-protokoll UDP fuq il-port 80:

iptables -A OUTPUT -p udp --dport 80 -j ACCEPT

3. Imblokka t-traffiku ħerġin lejn port speċifiku (per eżempju, 21):

iptables -A OUTPUT -p tcp --dport 21 -j DROP

katina QUDDIEM:

  1. Imblokka t-traffiku mgħoddi minn firxa speċifika ta' indirizzi IP:
iptables -A FORWARD -s 172.16.0.0/24 -j DROP

2. Imblokka t-trażmissjoni ta' pakketti minn interface tan-netwerk speċifiku:

iptables -A FORWARD -i eth1 -j DROP

3. Illimita n-numru ta' konnessjonijiet simultanji għal port speċifiku (f'dan l-eżempju, 10 konnessjonijiet kull minuta fuq il-port 80):

iptables -A INPUT -p tcp --dport 80 -m limit --limit 10/minute -j ACCEPT

Kif tistgħu taraw, f'kull każ separat, jintuża argument addizzjonali (kmand). Biex tikseb lista sħiħa ta 'argumenti possibbli u appoġġ ġenerali għall-funzjonalità tal-għodda, daħħal:

iptables -h
iptables linux setup kmand lista

Biex tiżgura li s-settings huma korretti, erġa daħħal il-kmand biex tara l-lista tar-regoli:

iptables -L
Iċċekkjar tar-regoli tal-iptables linux

Biex tħassar regola speċifika, uża l-kmand:

iptables -D chain rule_number

Pereżempju, jekk trid tħassar ir-regola numru 1 mill-katina INPUT, il-kmand se jidher bħal dan:

iptables -D INPUT 1

Biex tħassar ir-regoli kollha bi kmand wieħed:

iptables -F

Nota importanti: ir-regoli ta' iptables ma jiġux salvati awtomatikament wara li terġa' tibda s-sistema jew is-servizz. Biex issalva r-regoli, jeħtieġ li jiġu miżjuda ma 'fajl ta' konfigurazzjoni u restawrati wara l-istartjar mill-ġdid. Il- iptables-salva u, iptables-restore l-utilitajiet jistgħu jgħinu f'dan. Biex issalva r-regoli, daħħal il-kmand:

iptables-save > /etc/iptables/rules.v4

Dan jiffranka r-regoli iptables attwali fil-fajl rules.v4. Biex tirrestawra wara reboot, daħħal:

iptables-restore < /etc/iptables/rules.v4

Dan il-kmand jirrestawra r-regoli mill-fajl rules.v4.

konklużjoni

Il-konfigurazzjoni tal-Firewall fuq Linux billi tuża firewalld jew iptables hija aspett importanti biex tiġi żgurata s-sigurtà tas-server. Iż-żewġ għodod joffru mezzi affidabbli biex jimmaniġġjaw it-traffiku tan-netwerk u jipproteġu s-sistema minn aċċess mhux awtorizzat u attakki ċibernetiċi. L-għażla bejn firewalld u iptables tiddependi fuq il-ħtiġijiet u l-preferenzi speċifiċi tal-utent, meta wieħed iqis il-funzjonalità u l-qawwiet differenti tagħhom.

❮ Artiklu preċedenti Dijanjostiċi tat-Tagħbija tas-Server
Artiklu li jmiss ❯ Utenti tal-Linux: Ġestjoni u Permessi

Staqsi magħna dwar VPS

Aħna dejjem lesti li nwieġbu l-mistoqsijiet tiegħek fi kwalunkwe ħin tal-ġurnata jew tal-lejl.
ProfitServer
@profitserver
Ingħaqad fuq il-kanal