Ṣiṣeto ogiriina lori Lainos

Ogiriina lori Lainos ṣe ipa pataki ni aabo eto kọnputa kan. O ṣe bi idena, iṣakoso ati sisẹ ijabọ nẹtiwọọki lati daabobo eto naa lati iraye si laigba aṣẹ, awọn ikọlu, ati awọn irokeke miiran. Laisi ogiriina ti a tunto daradara, olupin le jẹ ipalara si ọpọlọpọ awọn iru cyberattacks, ti o yori si awọn abajade to ṣe pataki fun aabo data ati aṣiri.

Ninu nkan yii, a yoo wo awọn irinṣẹ akọkọ meji fun atunto ogiriina Linux: firewalld ati iptables. A yoo ṣe itupalẹ afiwera ti awọn ẹya wọn, iṣẹ ṣiṣe, ati awọn anfani. Ni afikun, a yoo pese awọn itọnisọna alaye fun iṣeto ati lilo ọkọọkan awọn irinṣẹ wọnyi, bakannaa jiroro awọn iṣe ti o dara julọ fun aabo eto rẹ pẹlu ogiriina lori pẹpẹ Linux. Gbogbo awọn iṣe yoo ṣe afihan lori a olupin foju pẹlu wiwọle gbongbo.

Tito leto ogiriina lori Lainos

Firewalld (Firewall Daemon) jẹ eto fun ṣiṣakoso ogiriina ni awọn ọna ṣiṣe Linux. O pese wiwo olumulo fun atunto awọn ofin ogiriina, gbigba tabi dina awọn asopọ ti awọn ohun elo nẹtiwọọki. O ti fi sii tẹlẹ nipasẹ aiyipada ni ọpọlọpọ awọn pinpin olupin. Ti a ko ba fi Firewalld sori ẹrọ tẹlẹ, o le fi sii ni ominira lati awọn ibi ipamọ osise ti pinpin.

Fun awọn ọna ṣiṣe Hat Red (bii RHEL, CentOS, Fedora) fifi sori ẹrọ ni a ṣe pẹlu aṣẹ:

yum install firewalld

Fun Debian/Ubuntu:

apt-get install firewalld

Lẹhin fifi sori ẹrọ, o le bẹrẹ ati muu ṣiṣẹ lẹsẹkẹsẹ pẹlu aṣẹ:

systemctl start firewalld

Nigbamii, o nilo lati ṣafikun iṣẹ naa si ibẹrẹ:

systemctl enable firewalld

Ni aaye yii, a ṣeduro piparẹ ufw, nitori lilo nigbakanna ti ọpa yii pẹlu ogiriina tabi iptables ko ṣe iṣeduro. Ṣayẹwo ipo naa:

systemctl status ufw

Lati da duro, tẹ aṣẹ naa sii:

systemctl stop ufw

Fun piparẹ patapata:

ufw disable

Lẹhin awọn iṣe wọnyi, o le tẹsiwaju lati tunto ogiriina.

Ni akọkọ, o jẹ dandan lati ṣalaye awọn agbegbe igbẹkẹle. Firewalld nlo ero ti awọn agbegbe lati pinnu ipele igbẹkẹle fun awọn atọkun nẹtiwọọki. Ni wiwo kọọkan ni a yan agbegbe kan, ati awọn ofin ogiriina ti lo da lori agbegbe naa. Atokọ gbogbo awọn agbegbe ti o wa ni ṣiṣi pẹlu aṣẹ:

firewall-cmd --get-zones

Ni deede, awọn agbegbe akọkọ mẹrin ni a lo:

1. àkọsílẹ: Agbegbe yii wa fun awọn nẹtiwọki ti o ro pe ko lewu;
2. ikọkọ: Kan si awọn nẹtiwọki ile tabi awọn asopọ nẹtiwọki ti o gbẹkẹle;
3. ti abẹnu: Ti a lo fun awọn nẹtiwọki inu, gẹgẹbi awọn ti o wa laarin agbari tabi nẹtiwọki ajọṣepọ;
4. DMZ: Agbegbe yii ni ibiti a ti gbe awọn olupin nigbagbogbo ti o yẹ ki o wa lati intanẹẹti.

Sibẹsibẹ, eyi jẹ apẹẹrẹ kan. O le ṣafikun agbegbe tirẹ nipa lilo aṣẹ:

firewall-cmd --permanent --new-zone=nameyourzone

Lẹhin fifi kun, a tun beere fun:

firewall-cmd --reload

Lati pa agbegbe kan rẹ, ọna ti o jọra ni a lo

firewall-cmd --permanent --delete-zone=nameyourzone

Lẹhin asọye awọn agbegbe, o jẹ dandan lati gba ijabọ laaye fun awọn iṣẹ ti o nilo ati awọn ebute oko oju omi. Lati gba iṣẹ kan laaye, lo aṣẹ naa:

firewall-cmd --zone=public --add-service=name

ibi ti orukọ ni orukọ iṣẹ naa. Fun apẹẹrẹ, lati gba ijabọ laaye fun Apache:

firewall-cmd --zone=public --add-service=http

Lati setumo awọn ebute oko oju omi ti o gba laaye, lo aṣẹ naa:

firewall-cmd --zone=public --add-port=number/protocol

Fun apẹẹrẹ, ibudo 22 boṣewa fun SSH yoo dabi eyi:

firewall-cmd --zone=public --add-port=22/tcp

Ni ipele yii, awọn ofin akọkọ ti ṣẹda tẹlẹ. Nigbamii, pinnu bi a ṣe le ṣe ilana ijabọ da lori orisun, opin irin ajo, ibudo, ati awọn ilana miiran. Lati ṣafikun ofin kan (lilo awọn àkọsílẹ agbegbe bi apẹẹrẹ):

firewall-cmd --zone=public rule

Fun apẹẹrẹ, lati gba awọn ijabọ ti nwọle lati orisun eyikeyi si ibudo 80 (HTTP):

firewall-cmd --zone=public --add-port=80/tcp --permanent

Lati yọ ofin kuro:

firewall-cmd --permanent --remove-rule=rule_specification

ibi ti ofin jẹ iru ofin (fun apẹẹrẹ, ibudo, iṣẹ, ofin ọlọrọ, ati bẹbẹ lọ), ati ofin_specification ni awọn sipesifikesonu ti awọn ofin ara.

Lẹhin ṣiṣe awọn ayipada si iṣeto Firewalld, o jẹ dandan lati fipamọ ati lo wọn. Lati fi awọn ayipada pamọ, lo aṣẹ naa:

firewall-cmd --runtime-to-permanent

Lati lo awọn ayipada:

firewall-cmd --reload

Lẹhin ipari iṣeto, o le rii daju awọn aye ti o yan nipa ṣiṣi atokọ ti gbogbo awọn ofin:

firewall-cmd --list-all

Ti awọn iṣoro eyikeyi ba dide, ṣayẹwo awọn akọọlẹ Firewalld pẹlu aṣẹ naa:

journalctl -u firewalld

Akiyesi: A ti bo algorithm gbogbogbo nikan fun iṣeto asopọ. Ọpa naa ni iṣẹ ṣiṣe lọpọlọpọ. Fun alaye ni kikun lori gbogbo awọn aṣayan ti o wa, o le lo awọn awọn iwe aṣẹ osise tabi ìmọ iranlọwọ:

firewall-cmd --help

Ṣiṣeto awọn iptables lori Lainos

Ko dabi Firewalld, iptables jẹ agbalagba ṣugbọn o tun lo ohun elo ni Linux fun ṣiṣakoso ogiriina naa. O pese ọna taara diẹ sii ati irọrun si awọn ofin sisẹ apo ni ipele ekuro Linux. Sibẹsibẹ, awọn iptables nilo imọ to ti ni ilọsiwaju diẹ sii ati iriri ni akawe si Firewalld, ti o jẹ ki o kere si fun awọn olubere. Ṣayẹwo ẹya ti a ti fi sii tẹlẹ ti ọpa pẹlu aṣẹ:

iptables -V

Ti ọpa naa ko ba fi sii, yoo nilo lati fi sori ẹrọ. Aṣẹ fun fifi sori Ubuntu, Debian:

apt install iptables

Fun awọn ọna ṣiṣe Hat Red (fun apẹẹrẹ, CentOS, Fedora):

yum install iptables

Aṣẹ fun imuṣiṣẹ lẹhin fifi sori:

systemctl start iptables

Lati ṣafikun si ibẹrẹ, ṣiṣẹ:

systemctl enable iptables

Ṣaaju ki o to bẹrẹ iṣeto iptables, o ṣe pataki lati ni oye bi o ṣe n ṣiṣẹ. Eyi ni iranlọwọ nipasẹ sintasi ti eto naa. O wulẹ bi wọnyi:

iptables -t table action chain additional_parameters

Jẹ ki a jinle sinu nkan kọọkan.

Iptables ni awọn tabili akọkọ mẹrin: àlẹmọ, nat, mangle, ati aise. Ọkọọkan jẹ apẹrẹ fun sisẹ awọn iru awọn apo-iwe kan ati pe o ni awọn ẹwọn ti awọn ofin tirẹ:

1. àlẹmọ: Eyi ni tabili ti a lo nigbagbogbo, ti o ni awọn ofin sisẹ apo. O ti lo fun ṣiṣe awọn ipinnu lori boya lati gba tabi sẹ awọn apo-iwe.
2. nat: A lo tabili yii fun iyipada awọn adirẹsi nẹtiwọki ati awọn ibudo ni awọn apo-iwe. Nigbagbogbo a lo fun eto masquerading (NAT).
3. mangle: Ninu tabili yii, o le yipada awọn akọle apo-iwe. O jẹ lilo fun awọn iṣẹ apo-iṣẹ pataki, gẹgẹbi isamisi.
4. aise: A lo tabili yii fun atunto awọn ofin ti o waye ṣaaju ki wọn lọ nipasẹ eto ipasẹ asopọ. O jẹ igbagbogbo lo fun eto awọn ofin ti ko yẹ ki o yipada nipasẹ eto ipasẹ, gẹgẹbi jisilẹ awọn apo-iwe lati awọn adirẹsi kan.

Tabili kọọkan ni awọn ẹwọn kan ninu. Awọn ẹwọn jẹ ọkọọkan awọn ofin ti o ṣayẹwo ni ọkọọkan. Awọn ẹwọn ti a ti sọ tẹlẹ ni o wa:

1. INPUT (ti nwọle). Awọn ofin ti o wa ninu pq yii pinnu kini lati ṣe pẹlu awọn apo-iwe ti nwọle.
2. JADE (ti njade). Ẹwọn yii kan si gbogbo awọn apo-iwe ti kọnputa rẹ fi ranṣẹ si awọn ẹrọ miiran tabi awọn kọnputa lori nẹtiwọọki.
3. Siwaju (fifiranṣẹ). Awọn ofin ti o wa ninu pq yii pato kini lati ṣe pẹlu awọn apo-iwe ti a firanṣẹ siwaju.

Nikẹhin, ẹwọn kọọkan ni diẹ ninu iṣe (afojusun). Ni iṣe, awọn iṣe akọkọ 5 ni a lo:

1. Gbagba: Gba apo-iwe laaye lati kọja nipasẹ ogiriina.
2. JU: Kọ apo-iwe naa ki o sọ ọ silẹ laisi esi kankan.
3. RỌRUN: Kọ apo-iwe naa ki o fi olufiranṣẹ ranṣẹ ifiranṣẹ aṣiṣe ICMP kan.
4. LOG: Wọle apo sinu iwe eto ki o ṣe iṣe miiran (fun apẹẹrẹ, GBA tabi DROP).
5. PADA: Duro ṣayẹwo awọn ofin ni pq lọwọlọwọ ki o pada si pq ipe (ti o ba wulo).

Lati bẹrẹ iṣeto, ṣii atokọ ti awọn ofin to wa pẹlu aṣẹ:

iptables -L

Gẹgẹbi itọsọna fun atunto Iptables, jẹ ki a wo awọn apẹẹrẹ ilowo ti awọn aṣẹ ti a lo nigbagbogbo. Fun irọrun, a yoo pin awọn apẹẹrẹ si awọn ẹgbẹ 3, da lori pq kan pato.

pq Input:

1. Gba ijabọ ti nwọle nipasẹ ilana TCP lori ibudo 80:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

2. Gba awọn ijabọ ti nwọle nipasẹ ilana UDP lori ibudo 22:

iptables -A INPUT -p udp --dport 22 -j ACCEPT

3. Dina ijabọ ti nwọle lati adiresi IP kan pato:

iptables -A INPUT -s 192.168.1.100 -j DROP

pq o wu:

1. Gba laaye ijabọ ti njade nipasẹ ilana TCP lori ibudo 443:

iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT

2. Gba ijabọ ti njade nipasẹ ilana UDP lori ibudo 80:

iptables -A OUTPUT -p udp --dport 80 -j ACCEPT

3. Dina ijabọ ti njade lọ si ibudo kan pato (fun apẹẹrẹ, 21):

iptables -A OUTPUT -p tcp --dport 21 -j DROP

pq AGBARA:

1. Dina ijabọ ti a firanṣẹ siwaju lati ibiti awọn adirẹsi IP kan pato:

iptables -A FORWARD -s 172.16.0.0/24 -j DROP

2. Dina ifiranšẹ siwaju awọn apo-iwe lati inu wiwo nẹtiwọọki kan pato:

iptables -A FORWARD -i eth1 -j DROP

3. Idinwo awọn nọmba ti igbakana awọn isopọ fun kan pato ibudo (ninu apere yi, 10 awọn isopọ fun iseju lori ibudo 80):

iptables -A INPUT -p tcp --dport 80 -m limit --limit 10/minute -j ACCEPT

Gẹgẹbi o ti le rii, ni ọran lọtọ kọọkan, ariyanjiyan afikun (aṣẹ) lo. Lati gba atokọ ni kikun ti awọn ariyanjiyan ti o ṣeeṣe ati atilẹyin gbogbogbo fun iṣẹ ṣiṣe, tẹ:

iptables -h

Lati rii daju pe awọn eto jẹ deede, tun tẹ aṣẹ sii lati wo atokọ awọn ofin:

iptables -L

Lati pa ofin kan pato, lo aṣẹ naa:

iptables -D chain rule_number

Fun apẹẹrẹ, ti o ba fẹ paarẹ nọmba ofin 1 lati ẹwọn INPUT, aṣẹ naa yoo dabi eyi:

iptables -D INPUT 1

Lati pa gbogbo awọn ofin rẹ pẹlu aṣẹ kan:

iptables -F

Akọsilẹ pataki: Awọn ofin iptables ko ni fipamọ laifọwọyi lẹhin atunbere eto tabi iṣẹ naa. Lati fi awọn ofin pamọ, wọn nilo lati fi kun si faili iṣeto ni ati mu pada lẹhin atunbere. Awọn iptables-fipamọ ati iptables-pada sipo awọn ohun elo le ṣe iranlọwọ pẹlu eyi. Lati fipamọ awọn ofin, tẹ aṣẹ sii:

iptables-save > /etc/iptables/rules.v4

Eyi fi awọn ofin iptables lọwọlọwọ pamọ ninu faili awọn ofin.v4. Lati mu pada lẹhin atunbere, tẹ:

iptables-restore < /etc/iptables/rules.v4

Yi aṣẹ pada sipo awọn ofin lati awọn rules.v4 faili.

ipari

Ṣiṣeto ogiriina lori Lainos nipa lilo firewalld tabi iptables jẹ abala pataki ti idaniloju aabo olupin. Awọn irinṣẹ mejeeji nfunni awọn ọna igbẹkẹle ti iṣakoso ijabọ nẹtiwọọki ati aabo eto lati iwọle laigba aṣẹ ati awọn ikọlu cyber. Yiyan laarin ogiriina ati awọn iptables da lori awọn iwulo pato ati awọn ayanfẹ ti olumulo, ni imọran iṣẹ ṣiṣe ati awọn agbara oriṣiriṣi wọn.