program affiliate Knowledgebase
Ngajualkeun deui Puseur data Kawijakan nyiksa
lulugu--burger
Panél kontrolpanél kontrol
Server pikeun eupan balikadministrasiSSLManajer ISPVPS WindowsVPS LinuxVPS pikeun VPN
Knowledgebase Parentah basajan pikeun digawe sareng jasa Profitserver
utama Knowledgebase Ngonpigurasikeun firewall dina Linux

Ngonpigurasikeun firewall dina Linux

Firewall dina Linux maénkeun peran penting dina ngamankeun sistem komputer. Éta tindakan minangka panghalang, ngadalikeun sareng nyaring lalu lintas jaringan pikeun ngajagi sistem tina aksés anu teu sah, serangan, sareng ancaman sanés. Tanpa Firewall anu dikonpigurasi leres, server tiasa rentan ka sababaraha jinis serangan siber, nyababkeun akibat anu serius pikeun kaamanan data sareng karusiahan.

Dina tulisan ieu, urang bakal ningali dua alat utama pikeun ngonpigurasikeun Firewall Linux: firewalld sareng iptables. Kami bakal ngalaksanakeun analisa komparatif ngeunaan fitur, fungsionalitas, sareng kauntunganana. Salaku tambahan, kami bakal nyayogikeun pitunjuk lengkep pikeun nyetél sareng ngagunakeun unggal alat ieu, ogé ngabahas prakték pangsaéna pikeun ngamankeun sistem anjeun nganggo Firewall dina platform Linux. Sadaya tindakan bakal ditingalikeun dina a server virtual kalayan wasa akar.

Daptar eusi
Leutikan

Ngonpigurasikeun firewalld dina Linux

Firewalld (Firewall Daemon) nyaéta program pikeun ngatur firewall dina sistem operasi Linux. Eta nyadiakeun antarbeungeut pamaké pikeun ngonpigurasikeun aturan firewall, ngamungkinkeun atawa blocking sambungan aplikasi jaringan. Éta tos dipasang sacara standar dina kalolobaan distribusi server. Upami Firewalld henteu dipasang sateuacana, éta tiasa dipasang sacara mandiri tina gudang resmi distribusi.

Pikeun sistem Red Hat (sapertos RHEL, CentOS, Fedora) pamasangan dilaksanakeun nganggo paréntah:

yum install firewalld

Pikeun Debian/Ubuntu:

apt-get install firewalld

Saatos instalasi, éta tiasa ngamimitian sareng diaktipkeun langsung kalayan paréntah:

systemctl start firewalld

Salajengna, anjeun kedah nambihan jasa pikeun ngamimitian:

systemctl enable firewalld
Nambahkeun firewalld dina autoload Linux

Dina titik ieu, kami nyarankeun nganonaktipkeun ufw, sabab panggunaan sakaligus tina alat ieu sareng firewalld atanapi iptables henteu disarankeun. Pariksa status:

systemctl status ufw
Mariksa ufw linux

Pikeun ngeureunkeunana, lebetkeun paréntah:

systemctl stop ufw

Pikeun nganonaktipkeun lengkep:

ufw disable

Saatos lampah ieu, anjeun tiasa neruskeun pikeun ngonpigurasikeun firewalld.

Kahiji, perlu pikeun nangtukeun zona kapercayaan. Firewalld ngagunakeun konsép zona pikeun nangtukeun tingkat kapercayaan pikeun panganteur jaringan. Unggal panganteur ditugaskeun hiji zona, sarta aturan firewall diterapkeun dumasar kana zona. Daptar sadaya zona anu sayogi dibuka kalayan paréntah:

firewall-cmd --get-zones

Biasana, 4 zona utama dianggo:

  1. masarakat: Zona ieu kanggo jaringan anu anjeun anggap teu aman;
  2. wasta: Manglaku ka jaringan asal atawa sambungan jaringan dipercaya séjén;
  3. di pamatuhana sorangan: Dipaké pikeun jaringan internal, sapertos dina jaringan organisasi atanapi perusahaan;
  4. DMZ: Zona ieu dimana server biasana disimpen anu kedah diaksés tina internét.

Sanajan kitu, ieu ngan hiji conto. Anjeun tiasa nambihan zona anjeun nyalira nganggo paréntah:

firewall-cmd --permanent --new-zone=nameyourzone

Saatos nambahkeun, reload diperlukeun:

firewall-cmd --reload

Pikeun mupus zona, metode anu sami dianggo

firewall-cmd --permanent --delete-zone=nameyourzone

Saatos netepkeun zona, anjeun kedah ngijinkeun lalu lintas pikeun jasa sareng palabuhan anu diperyogikeun. Pikeun ngawenangkeun jasa anu tangtu, paké paréntah:

firewall-cmd --zone=public --add-service=name

di mana nami nyaeta nami jasa. Contona, pikeun ngidinan lalulintas keur Apache:

firewall-cmd --zone=public --add-service=http

Pikeun ngartikeun palabuhan anu diidinan, paké paréntah:

firewall-cmd --zone=public --add-port=number/protocol

Contona, standar 22 port pikeun SSH bakal kasampak kawas kieu:

firewall-cmd --zone=public --add-port=22/tcp

Dina tahap ieu, aturan utama geus dijieun. Salajengna, tangtukeun kumaha patalimarga bakal diolah gumantung kana sumber, tujuan, palabuhan, sareng kriteria sanésna. Pikeun nambahkeun aturan (ngagunakeun masarakat zona salaku conto):

firewall-cmd --zone=public rule

Contona, pikeun ngidinan lalulintas asup ti sumber mana wae ka port 80 (HTTP):

firewall-cmd --zone=public --add-port=80/tcp --permanent

Pikeun mupus aturan:

firewall-cmd --permanent --remove-rule=rule_specification

di mana aturan nyaeta tipe aturan (contona, port, jasa, rich-aturan, jsb), jeung aturan_spésifikasi nyaeta spésifikasi aturan sorangan.

Saatos ngadamel parobihan kana konfigurasi Firewalld, anjeun kedah nyimpen sareng nerapkeunana. Pikeun nyimpen parobahanana, paké paréntah:

firewall-cmd --runtime-to-permanent

Pikeun nerapkeun parobahan:

firewall-cmd --reload

Saatos réngsé setelan, anjeun tiasa pariksa parameter anu dipilih ku muka daptar sadaya aturan:

firewall-cmd --list-all
aturan Linux Ubuntu firewalld

Upami aya masalah, pariksa log Firewalld kalayan paréntah:

journalctl -u firewalld

Catetan: Kami ngan ukur nutupan algoritma umum pikeun nyetél sambungan. Alatna ngagaduhan fungsionalitas anu luas. Kanggo inpo nu lengkep dina sagala pilihan sadia, anjeun tiasa nganggo dokuméntasi resmi atanapi buka pitulung:

firewall-cmd --help

Ngonpigurasikeun iptables dina Linux

Beda sareng Firewalld, iptables mangrupikeun alat anu langkung lami tapi masih seueur dianggo dina Linux pikeun ngatur firewall. Éta nyayogikeun pendekatan anu langkung langsung sareng fleksibel pikeun aturan panyaring pakét dina tingkat kernel Linux. Sanajan kitu, iptables merlukeun pangaweruh jeung pangalaman leuwih maju dibandingkeun Firewalld, sahingga kirang diaksés pikeun beginners. Pariksa versi alat anu tos dipasang ku paréntah:

iptables -V

Upami alatna henteu dipasang, éta kedah dipasang. Paréntah pikeun instalasi dina Ubuntu, Debian:

apt install iptables

Pikeun sistem Red Hat (contona, CentOS, Fedora):

yum install iptables

Paréntah pikeun aktivasina saatos instalasi:

systemctl start iptables

Pikeun nambahkeun kana ngamimitian, laksanakeun:

systemctl enable iptables

Sateuacan ngamimitian konfigurasi iptables, penting pikeun ngartos kumaha jalanna. Ieu dibantuan ku sintaksis program. Sigana mah kieu:

iptables -t table action chain additional_parameters

Hayu urang delve deeper kana unggal item.

Iptables ngagaduhan opat tabel utama: saringan, nat, mangle, jeung atah. Masing-masing dirancang pikeun ngolah sababaraha jinis pakét sareng gaduh ranté aturan sorangan:

  1. saringan: Ieu tabel pangseringna dipaké, ngandung aturan nyaring pakét. Hal ieu dipaké pikeun nyieun kaputusan ngeunaan naha bakal ngidinan atawa mungkir pakét.
  2. Nat: tabél ieu dipaké pikeun ngaropéa alamat jaringan jeung palabuhan dina pakét. Ieu sering dianggo pikeun nyetél masquerading (NAT).
  3. mangle: Dina tabel ieu, anjeun bisa ngarobah headers pakét. Éta dianggo pikeun operasi pakét khusus, sapertos nyirian.
  4. atah: tabél ieu dipaké pikeun ngonpigurasikeun aturan nu lumaku saméméh maranéhna ngaliwatan sistem tracking sambungan. Biasana dianggo pikeun nyetél aturan anu henteu kedah dirobih ku sistem pelacak, sapertos leupaskeun pakét tina alamat anu tangtu.

Unggal méja ngandung sakumpulan ranté. Ranté nyaéta runtuyan aturan anu dipariksa sacara berurutan. Aya tilu ranté anu tos ditetepkeun:

  1. INPUT (asup). Aturan dina ranté ieu nangtukeun naon nu kudu jeung pakét asup.
  2. OUTPUT (kaluar). Ranté ieu manglaku ka sadaya pakét anu dikirimkeun komputer anjeun ka alat atanapi komputer sanés dina jaringan.
  3. MAJU (majukeun). Aturan dina ranté ieu nangtukeun naon anu kudu dipigawé kalayan pakét diteruskeun.

Tungtungna, unggal ranté mibanda sababaraha aksi (target). Dina prakték, 5 tindakan utama dianggo:

  1. Cacapalan: Ngidinan pakét ngaliwatan firewall nu.
  2. TUTU: Nampik pakét jeung piceun eta tanpa respon nanaon.
  3. GAMPANG: Nampik pakét jeung ngirim pangirim pesen kasalahan ICMP.
  4. lebet: Asupkeun pakét dina log sistem sareng laksanakeun tindakan anu sanés (contona, ACCEPT atanapi DROP).
  5. Balik deui: Ngeureunkeun mariksa aturan dina ranté ayeuna jeung mulang ka ranté nelepon (lamun lumaku).

Pikeun ngamimitian setelan, buka daptar aturan anu tos aya kalayan paréntah:

iptables -L
Ngonpigurasikeun firewall dina Linux

Salaku pituduh pikeun ngonpigurasikeun Iptables, hayu urang tingali conto praktis tina paréntah anu paling sering dianggo. Pikeun genah, urang ngabagi conto kana 3 kelompok, gumantung kana ranté khusus.

rante ngasupkeun:

  1. Ngidinan patalimarga asup ngaliwatan protokol TCP dina port 80:
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

2. Ngidinan lalulintas asup ngaliwatan protokol UDP dina port 22:

iptables -A INPUT -p udp --dport 22 -j ACCEPT

3. Blokkeun patalimarga asup ti alamat IP husus:

iptables -A INPUT -s 192.168.1.100 -j DROP

rante hasil:

  1. Ngidinan patalimarga kaluar liwat protokol TCP dina port 443:
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT

2. Ngidinan lalulintas kaluar liwat protokol UDP dina port 80:

iptables -A OUTPUT -p udp --dport 80 -j ACCEPT

3. Blokkeun lalulintas kaluar ka port husus (contona, 21):

iptables -A OUTPUT -p tcp --dport 21 -j DROP

rante di payun:

  1. Blokkeun lalu lintas anu diteruskeun tina sababaraha alamat IP khusus:
iptables -A FORWARD -s 172.16.0.0/24 -j DROP

2. Blokkeun neraskeun pakét tina antarmuka jaringan khusus:

iptables -A FORWARD -i eth1 -j DROP

3. Ngawatesan jumlah sambungan simultaneous pikeun port husus (dina conto ieu, 10 sambungan per menit dina port 80):

iptables -A INPUT -p tcp --dport 80 -m limit --limit 10/minute -j ACCEPT

Sakumaha anjeun tiasa tingali, dina unggal kasus misah, hiji argumen tambahan (komando) dipaké. Pikeun kéngingkeun daptar lengkep ngeunaan argumen anu mungkin sareng dukungan umum pikeun fungsionalitas alat, lebetkeun:

iptables -h
Daptar paréntah pangaturan iptables linux

Pikeun mastikeun setélan leres, lebetkeun deui paréntah pikeun ningali daptar aturan:

iptables -L
Mariksa aturan iptables linux

Pikeun mupus aturan khusus, paké paréntah:

iptables -D chain rule_number

Salaku conto, upami anjeun hoyong mupus aturan nomer 1 tina ranté INPUT, paréntahna bakal siga kieu:

iptables -D INPUT 1

Pikeun mupus sadaya aturan sareng hiji paréntah:

iptables -F

catetan penting: aturan iptables teu disimpen otomatis sanggeus rebooting sistem atawa jasa. Pikeun ngahemat aturan, aranjeunna kedah diasupkeun kana file konfigurasi sareng disimpen deui saatos reboot. The iptables-simpen jeung iptables-balikkeun Utiliti tiasa ngabantosan ieu. Pikeun nyimpen aturan, lebetkeun paréntah:

iptables-save > /etc/iptables/rules.v4

Ieu nyimpen aturan iptables ayeuna dina file rules.v4. Pikeun mulangkeun saatos reboot, lebetkeun:

iptables-restore < /etc/iptables/rules.v4

Paréntah ieu malikkeun aturan tina file rules.v4.

kacindekan

Ngonpigurasikeun Firewall dina Linux nganggo firewalld atanapi iptables mangrupikeun aspék penting pikeun mastikeun kaamanan server. Kadua alat nawiskeun cara anu dipercaya pikeun ngatur lalu lintas jaringan sareng ngajagi sistem tina aksés anu teu sah sareng serangan cyber. Pilihan antara firewalld na iptables gumantung kana kabutuhan husus sarta preferensi pamaké, tempo fungsionalitas béda jeung kaunggulan maranéhanana.

❮ Artikel saméméhna Pamaké Linux: Manajemén sareng Idin
Artikel salajengna ❯ Diagnostics beban server

Tanya kami ngeunaan VPS

Kami salawasna siap ngajawab patarosan anjeun iraha wae beurang atawa peuting.
ProfitServer
@profitserver
Gabung dina saluran