Ku habeynta Firewall Linux

Firewall-ka Linux waxa uu door muhiim ah ka ciyaaraa sugidda nidaamka kombiyuutarka. Waxay u shaqeysaa sidii caqabad, xakamaynta iyo shaandhaynta taraafikada shabakada si ay uga ilaaliso nidaamka gelitaanka aan la ogolayn, weerarada, iyo khataraha kale. Haddii aan la helin Firewall si habboon loo habeeyey, adeeguhu wuxuu u nuglaan karaa noocyada kala duwan ee weerarrada internetka, taasoo u horseedaysa cawaaqib xumo xagga amniga xogta iyo sirta.

Maqaalkan, waxaan ku eegi doonaa laba qalab oo waaweyn oo loogu talagalay habaynta Linux Firewall: firewalld iyo iptables. Waxaanu samayn doonaa falanqayn is barbar dhig ah oo ku saabsan astaamahooda, shaqayntooda, iyo faa'iidooyinka. Intaa waxaa dheer, waxaan ku siin doonaa tilmaamo faahfaahsan oo ku saabsan dejinta iyo isticmaalka mid kasta oo ka mid ah qalabkan, iyo sidoo kale ka wadahadli doona hababka ugu wanaagsan ee lagu sugi karo nidaamkaaga Firewall ee goobta Linux. Dhammaan ficillada waxaa lagu muujin doonaa a server-ka leh marin xidid.

Ku habeynta firewalld Linux

Dab -damiska (Firewall Daemon) waa barnaamij lagu maamulo dab-damiska nidaamyada hawlgalka Linux. Waxay siisaa is-dhexgal isticmaale si loogu habeeyo xeerarka dab-damiska, oggolaanshaha ama xannibidda isku-xidhka codsiyada shabakadda. Waxaa si toos ah loogu rakibay inta badan qaybinta server-yada. Haddii Firewalld aan horay loo sii rakibin, waxaa lagu rakibi karaa si ka madax bannaan kaydadka rasmiga ah ee qaybinta.

Nidaamyada Koofiyadaha Cas (sida RHEL, CentOS, Fedora) rakibidda waxaa lagu sameeyaa amarka:

yum install firewalld

Loogu talagalay Debian/Ubuntu:

apt-get install firewalld

Ka dib markii la rakibo, waa la bilaabi karaa oo la dhaqaajin karaa isla markiiba amarka:

systemctl start firewalld

Marka xigta, waxaad u baahan tahay inaad ku darto adeegga bilowga:

systemctl enable firewalld

Halkaa marka ay marayso, waxaanu ku talinaynaa in la joojiyo ufw, maadaama aan lagu talin isticmaalka isku mar ee qalabkan ee leh firewalld ama iptables. Hubi heerka:

systemctl status ufw

Si aad u joojiso, geli amarka:

systemctl stop ufw

Si loo damiyo dhammaystiran:

ufw disable

Ficiladan kadib, waxaad sii wadan kartaa habaynta firewalld.

Marka hore, waa lagama maarmaan in la qeexo aagagga kalsoonida. Firewalld waxay isticmaashaa fikradda aagagga si ay u go'aamiso heerka aaminaadda isku-xidhka shabakadaha. Interface kasta waxaa loo qoondeeyay hal aag, iyo xeerarka dab-damiska ayaa lagu dabaqaa iyadoo lagu saleynayo aagga. Liiska dhammaan aagagga la heli karo waxaa lagu furay amarka:

firewall-cmd --get-zones

Caadi ahaan, 4 aag oo waaweyn ayaa la isticmaalaa:

1. Dadweynaha: Aaggan waxaa loogu talagalay shabakadaha aad u aragto inaysan ammaan ahayn;
2. PrivateWaxay quseysaa shabakadaha guriga ama isku xirka shabakadaha kale ee la aamini karo;
3. GudahaLoo isticmaalo shabakadaha gudaha, sida kuwa urur ama shabakad shirkadeed;
4. DMZAaggan waa meesha inta badan la dhigo server-yada laga heli karo internetka.

Si kastaba ha ahaatee, tani waa hal tusaale. Waxaad ku dari kartaa aaggaaga adiga oo isticmaalaya amarka:

firewall-cmd --permanent --new-zone=nameyourzone

Ka dib marka lagu daro, dib u dejinta ayaa loo baahan yahay:

firewall-cmd --reload

Si loo tirtiro aag, hab la mid ah ayaa la isticmaalaa

firewall-cmd --permanent --delete-zone=nameyourzone

Ka dib marka la qeexo aagagga, waa lagama maarmaan in loo oggolaado taraafikada adeegyada iyo dekedaha loo baahan yahay. Si aad u oggolaato adeeg gaar ah, adeegso amarka:

firewall-cmd --zone=public --add-service=name

Halkee magaca waa magaca adeega. Tusaale ahaan, si loogu oggolaado taraafikada Apache:

firewall-cmd --zone=public --add-service=http

Si aad u qeexdo dekedaha la oggol yahay, adeegso amarka:

firewall-cmd --zone=public --add-port=number/protocol

Tusaale ahaan, heerka 22 ee dekedda SSH waxay u ekaan doontaa sidan:

firewall-cmd --zone=public --add-port=22/tcp

Marxaladdan, xeerarka ugu muhiimsan ayaa horay loo abuuray. Marka xigta, go'aami sida gaadiidka loo habayn doono iyadoo ku xidhan isha, meesha loo socdo, dekedda, iyo shuruudaha kale. Si loogu daro xeer (adoo isticmaalaya dadweynaha aagga tusaale ahaan):

firewall-cmd --zone=public rule

Tusaale ahaan, si loogu oggolaado taraafikada ka imanaysa il kasta ilaa dekedda 80 (HTTP):

firewall-cmd --zone=public --add-port=80/tcp --permanent

Si meesha looga saaro xeer:

firewall-cmd --permanent --remove-rule=rule_specification

Halkee xukun waa nooca qaanuunka (tusaale, deked, adeeg, xukun qani ah, iwm.), iyo qaanuunka_sheeg waa qeexida xeerka laftiisa.

Kadib samaynta isbeddelada qaabeynta Firewalld, waa lagama maarmaan in la keydiyo oo la dabaqo. Si loo badbaadiyo isbeddelada, adeegso amarka:

firewall-cmd --runtime-to-permanent

Si aad u codsato isbeddelada:

firewall-cmd --reload

Markaad dhammaystirto dejinta, waxaad xaqiijin kartaa cabbirrada la doortay adiga oo furaya liiska dhammaan xeerarka:

firewall-cmd --list-all

Haddii ay wax dhibaato ahi soo baxdo, ka hubi diiwaanka Firewalld ee amarka:

journalctl -u firewalld

Fiiro gaar ah: Waxaan kaliya daboolnay algorithm-ka guud ee dejinta xiriirka. Qalabku wuxuu leeyahay hawlqabad ballaaran. Si aad u hesho macluumaad buuxa oo ku saabsan dhammaan fursadaha jira, waxaad isticmaali kartaa dokumentiyada rasmiga ah ama caawimo furan:

firewall-cmd --help

Ku habeynta iptables Linux

Si ka duwan Firewalld, iptables waa qalab ka da' weyn laakiin weli si weyn looga isticmaalo Linux si loogu maareeyo dab-damiska. Waxay bixisaa hab toos ah oo dabacsanaan leh oo ku saabsan xeerarka shaandhaynta xirmada ee heerka kernel Linux. Si kastaba ha ahaatee, iptables waxay u baahan tahay aqoon iyo khibrad aad u horumarsan marka la barbar dhigo Firewalld, taasoo ka dhigaysa mid aan la heli karin kuwa bilowga ah. Hubi nooca horay loo rakibay ee aaladda amarka:

iptables -V

Haddii qalabka aan la rakibin, waxay u baahan doontaa in la rakibo. Amarka lagu rakibo Ubuntu, Debian:

apt install iptables

Nidaamyada Koofiyadaha Cas (tusaale, CentOS, Fedora):

yum install iptables

Amarka hawl-gelinta ka dib rakibidda:

systemctl start iptables

Si aad ugu darto bilawga, fuli:

systemctl enable iptables

Kahor inta aadan bilaabin qaabeynta iptables, waxaa muhiim ah in la fahmo sida ay u shaqeyso. Tan waxaa caawiyay hab-raacyada barnaamijka. Waxay u egtahay sida soo socota:

iptables -t table action chain additional_parameters

Aan si qoto dheer u dhex galno shay kasta.

Iptables waxay leedahay afar miis oo waaweyn: filter, nat, mangle, iyo ceeriin. Mid walba waxaa loogu talagalay in lagu farsameeyo noocyada xirmooyinka qaarkood wuxuuna leeyahay silsilado xeerar u gaar ah:

1. filter: Kani waa miiska inta badan la isticmaalo, oo ka kooban xeerarka shaandhaynta baakidhka. Waxa loo isticmaalaa go'aannada ku saabsan in la oggolaado ama la diido xidhmooyinka.
2. NATJadwalkan waxa loo isticmaalaa in wax laga beddelo ciwaannada shabakadda iyo dekedaha ku jira baakadaha. Inta badan waxaa loo isticmaalaa dejinta is-magarayska (NAT).
3. mangle: Jadwalkan, waxaad wax ka beddeli kartaa madaxyada baakadaha. Waxa loo adeegsadaa hawlgallada baakadaha gaarka ah, sida calaamadaynta.
4. cayriinJadwalkan waxa loo isticmaalaa habaynta xeerarka khuseeya ka hor inta aanay soo marin nidaamka raadraaca xidhiidhka. Caadi ahaan waxa loo isticmaalaa dejinta xeerar ay tahay in aan lagu beddelin nidaamka raadraaca, sida baakadaha ciwaannada qaarkood laga soo tuuro.

Miis kasta wuxuu ka kooban yahay silsilado silsilad ah. Silsiladdu waa xeerar taxane ah oo si isdaba joog ah loo hubiyay. Waxaa jira saddex silsiladood oo hore loo sii qeexay:

1. INPUT (soo galaya). Xeerarka silsiladan ayaa go'aaminaya waxa lagu sameeyo xirmooyinka soo socda.
2. SOO BAXA ( baxaysa). Silsiladdan waxay khusaysaa dhammaan baakooyinka uu kombuyuutarku u soo diro aaladaha kale ama kombayutarada shabakadda.
3. HORE (soo gudbin). Xeerarka silsiladan ayaa qeexaya waxa lagu sameeyo baakadaha la soo gudbiyay.

Ugu dambeyntii, silsilad kastaa waxay leedahay ficil (bartilmaameed). Ficil ahaan, 5 ficil oo waaweyn ayaa la isticmaalaa:

1. ACCEPTOggolow baakidhku inuu dhex maro firewall-ka.
2. DAADIDiid xirmada oo iska tuur adiga oo aan wax jawaab ah bixin.
3. DIIDODiid xirmada oo u dir soo diraha fariin qalad ah ICMP.
4. LOGGeli baakidhka nidaamka log oo samee fal kale (tusaale, Aqbal ama DROP).
5. NOQOSHADDAJooji hubinta shuruucda silsiladda hadda jirta oo ku noqo silsiladda wacitaanka (haddii ay khusayso).

Si aad u bilowdo habaynta, fur liiska xeerarka jira ee leh amarka:

iptables -L

Sida hagaha habaynta Iptables, aynu eegno tusaalooyin wax ku ool ah oo ah amarada inta badan la isticmaalo. Si ku habboon, waxaan u qaybin doonaa tusaalooyinka 3 kooxood, iyadoo ku xiran silsiladda gaarka ah.

Chain aqbasho:

1. Oggolow taraafikada ku imanaya borotokoolka TCP ee dekedda 80:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

2. Oggolow taraafikada ku imanaya hab-maamuuska UDP ee dekedda 22:

iptables -A INPUT -p udp --dport 22 -j ACCEPT

3. Jooji gaadiidka ka imanaya ciwaanka IP-ga ee gaarka ah:

iptables -A INPUT -s 192.168.1.100 -j DROP

Chain wax soo saarka:

1. Oggolow taraafikada ka baxaya borotokoolka TCP ee dekedda 443:

iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT

2. Oggolow taraafikada ka baxaya hab-maamuuska UDP ee dekedda 80:

iptables -A OUTPUT -p udp --dport 80 -j ACCEPT

3. Jooji gaadiidka ka baxaya deked gaar ah (tusaale, 21):

iptables -A OUTPUT -p tcp --dport 21 -j DROP

Chain DADKA:

1. Ka xidho taraafikada laga soo gudbiyo cinwaanno IP gaar ah:

iptables -A FORWARD -s 172.16.0.0/24 -j DROP

2. Ka jooji gudbinta baakooyinka shabakad gaar ah:

iptables -A FORWARD -i eth1 -j DROP

3. Xaddid tirada isku xidhka isku mar ah ee deked gaar ah (tusaale ahaan, 10 xidhiidhada daqiiqadii ee dekedda 80):

iptables -A INPUT -p tcp --dport 80 -m limit --limit 10/minute -j ACCEPT

Sida aad arki karto, kiis kasta oo gaar ah, dood dheeraad ah (amar) ayaa la adeegsadaa. Si aad u hesho liis buuxa oo ah doodaha suurtagalka ah iyo taageerada guud ee shaqaynta qalabka, geli:

iptables -h

Si loo hubiyo in habayntu sax yihiin, dib u geli amarka si aad u aragto liiska xeerarka:

iptables -L

Si aad u tirtirto sharci gaar ah, adeegso amarka:

iptables -D chain rule_number

Tusaale ahaan, haddii aad rabto inaad ka tirtirto qaanuunka lambarka 1 ee silsiladda INPUT, amarku wuxuu u ekaan doonaa sidan:

iptables -D INPUT 1

Si loo tirtiro dhammaan sharciyada hal amar:

iptables -F

Qoraal muhiim ahXeerarka iptables si toos ah looma kaydiyo ka dib markii nidaamka ama adeegga dib loo bilaabo. Si loo badbaadiyo sharciyada, waxay u baahan yihiin in lagu daro faylka qaabeynta oo dib loo soo celiyo ka dib dib-u-kicinta. The iptables-badbaadin iyo iptables-soo-celinta Tasiilaadka ayaa kaa caawin kara arrintan. Si aad u kaydiso xeerarka, geli amarka:

iptables-save > /etc/iptables/rules.v4

Tani waxay badbaadinaysaa xeerarka iptables ee hadda jira ee xeerarka.v4. Si loo soo celiyo ka dib reboot, geli:

iptables-restore < /etc/iptables/rules.v4

Amarkani waxa uu soo celinayaa xeerarkii xeerarka.v4 file.

Ugu Dambeyn

Ku-habaynta Firewall-ka Linux iyadoo la adeegsanayo firewalld ama iptables waa arrin muhiim ah oo lagu hubinayo amniga server-ka. Labada qalabba waxay bixiyaan habab la isku halayn karo oo lagu maareeyo taraafikada shabakada iyo ka ilaalinta nidaamka gelitaanka aan la ogolayn iyo weerarrada internetka. Doorashada u dhaxaysa firewalld iyo iptables waxay kuxirantahay baahida gaarka ah iyo doorbidida isticmaalaha, iyadoo la tixgelinayo shaqadooda iyo awoodahooda kala duwan.