Započnite s aplikacijama Iptables: Loše ljude (i botove) držite van vašeg poslužitelja

Objava: Vaša podrška pomaže održavanju web mjesta! Naplaćujemo naknadu za preporuku za neke usluge koje preporučamo na ovoj stranici.

Iptables je Linux program za korisnike u korisničkom prostoru koji se koristi za konfiguriranje IPv4 tablica koje koristi Linux vatrozid. Iptables je uključen u većinu Linux distribucija koje se izvode na jezgri 2.4.x ili novijoj.

Iptables je izuzetno fleksibilan uslužni program vatrozida naredbenog retka koji koristi lance politika za omogućavanje ili blokiranje prometa. Jasno je usmjeren prema administratorima sustava jer zahtijeva pokretanje povišenih privilegija, a mora ih izvršavati korisnički korijen.

Kratka povijest

Razvoj iptables projekta započeo je 1998. godine, a vodio ga je Rusty Russell, australijski programer softvera. Iptables je stvoren kao nasljednik ipchaina, starijeg Linux zaštitnog zida koji je također stvorio Russell.

Kako se projekt proširio, Rusty Russell osnovao je Netfilter Core Team 1999. godine. Izradio je Netfilter Linux okvir i iptables i izdao ih pod GNU General Public License. U ožujku 2000, Netfilter i iptables spojeni su u glavnu liniju Linux kernela.

Značajke i dizajn Iptables

Za različite protokole koriste se različiti moduli jezgre – iptables se odnosi na IPv4, ip6tables na IPv6, arptables na ARP, a ebtables na Ethernet okvire.

Iptables se koristi za postavljanje, održavanje i pregled tablica pravila filtriranja paketa IPv4 u Linux kernelu.

Može se definirati nekoliko različitih tablica, a svaka tablica sadrži broj ugrađenih lanaca ili lanaca koje definira korisnik. Svaki je lanac skup pravila koja mogu odgovarati skupu paketa, a svako pravilo određuje što treba činiti sa paketom koji odgovara. To se naziva metom.

Ako se paket podudara s pravilom, njegova sudbina određena je vrijednošću cilja: ACCEPT pušta paket kroz, DROP ispusti paket, QUEUE prosljeđuje paket u korisnički prostor, RETURN nastavlja s sljedećim pravilom u prethodnom lancu poziva.

Dostupno je do pet neovisnih tablica, ovisno o konfiguraciji jezgre i aktivnim modulima:

  • filtar je zadana tablica koja sadrži ugrađene lance INPUT, FORWARD i OUTPUT.
  • nat koristi se kada dođe do paketa koji stvara novu vezu koji sadrži ugrađene lance PREROUTING, OUTPUT i POSTROUTING.
  • Komadati – koristi se za specijalizirane izmjene paketa, koje sadrže ugrađene lance PREROUTING, INPUT, Output, FORWARD i POSTROUTING.
  • sirov koristi se za konfiguriranje izuzeća od praćenja veze u kombinaciji s ciljem NOTRACK, pružanje ugrađenih lanaca PREROUTING i OUTPUT.
  • sigurnosti koristi se za pravila mreže za obveznu kontrolu pristupa (MAC), s ugrađenim lancima INPUT, OUTPUT i FORWARD.

Opcije prepoznate od strane iptablesa podijeljene su u naredbe, parametre i druge opcije.

Upotreba programa Iptables

Iptables je uslužni program naredbenog retka unaprijed instaliran na većini Linux distribucija. U slučaju da trebate ažurirati ili instalirati iptables, možete upotrijebiti sljedeću naredbu:

sudo apt-get install iptables

Treba biti vrlo oprezan ako ste prijavljeni na udaljeni poslužitelj i konfigurirate njegova iptables pravila, jer jedna pogrešna naredba može vas zauvijek zaključati, a možda ćete morati ručno popraviti na poslužitelju.

Pokazat ćemo nekoliko uobičajenih i jednostavnih naredbi koje se koriste u konfiguriranju pravila iptables. Ako planirate koristiti napredne značajke iptablesa, trebali biste provjeriti neke od resursa na iptables koje donosimo u nastavku.

Možete popisati trenutno konfigurirana pravila za iptables koristeći:

iptables –L

U većini slučajeva želite da vaš sustav prema zadanim postavkama prihvati veze pomoću ovih naredbi:

iptables –policy INPUT ACCEPT
iptables –policy IZLAZNI PRIJEM
iptables –politika PRIHVATAK PRIHVAT

Nakon toga, možete koristiti iptables za odbijanje veza s određene IP adrese ili priključaka, na primjer:

iptables -A INPUT -s 192.168.10.10 -j DROP

Ili možete blokirati veze iz niza IP adresa poput ove:

iptables -A INPUT -s 192.168.10.0/24 -j DROP

U nekim specifičnim slučajevima možete koristiti suprotan pristup gore opisanom. Možete odbiti sve veze i ručno odrediti one koje želite omogućiti vezu. Ova bi se postavka mogla koristiti za poslužitelje s osjetljivim podacima, koji su povezani na jedinstvenu IP adresu.

iptables –politika INPUT DROP
iptables –policy IZLAZNI DROP
iptables –politika NAPREDNI DROP
iptables -A INPUT -s 192.168.10.10 -j PRIHVAT

Važno je napomenuti da se sve promjene izvršene u iptables pravilima neće spremiti automatski. Promjene morate spremiti ručno pomoću naredbe koja se može razlikovati ovisno o vašoj distribuciji. Ovo je naredba Ubuntu:

sudo / sbin / iptables-save

U slučaju da ste zaboravili spremiti promjene koje ste napravili na iptableima, one će se izgubiti sljedeći put kada se iptables usluga ponovo pokrene..

Možete koristiti i naredbu ispiranja da biste očistili sva konfigurirana pravila:

iptables -F

Resursi za iptables

Postoji mnogo resursa za iptables na mreži, što je i razumljivo jer su iptables uključeni u većinu Linux distribucija. Učenje i korištenje iptablesa ne bi trebali predstavljati problem, pogotovo ako se oslanjate na kvalitetne resurse poput ovih:

  • Iptables Službeni priručnik je detaljan i nudi korisnu referencu za naredbe i parametre iptables.
  • Linux 2.4 Filtriranje paketa Dokumentacija HOWTO vrlo je detaljan opis filtriranja paketa koji je napisao Rusty Russell. Posebno je zanimljiv odjeljak Korištenje iptablesa.
  • Iptables How To je lijepo putovanje iptablesa.

Iptables knjige

Ne postoji obilje knjiga koje se bave iptablesima, iako se iptables spominje u mnogim knjigama napisanim na Linux umrežavanju i vatrozidima.

S puno kvalitetnih internetskih resursa, nije čudo što nema više knjiga koje se bave iptablesima. Stoga smo izdvojili samo jednu knjigu o iptablesima:

  • Linux Iptables Pocket reference Gregora Purdyja: Ova džepna referenca pomoći će vam u onim kritičnim trenucima kada vas netko zatraži da otvorite ili zatvorite luku u žurbi, bilo da omogućite neki važan promet ili da blokirate napad. Knjiga će održati suptilnu sintaksu ravno i pomoći vam da zapamtite sve vrijednosti koje morate unijeti kako biste bili što sigurniji.

Zaključak

Iptables je široko korišten uslužni program, pa ga svakako vrijedi savladati ako se puno vašeg rada vrti oko poslužitelja temeljenih na Linuxu. Srećom, njegova popularnost znači da se iptables još uvijek aktivno razvija, a nove se verzije uvode povremeno.

To također znači da ne postoji nedostatak kvalitetnih resursa iptables na mreži, ali ako uživate u drobljenju papira, teško ćete naći knjige iptables. Ipak, sama količina digitalnih iptables resursa više nego nadoknađuje nedostatak resursa u mekom udaru.

Iptables je moćan, ali jednostavan za korištenje program. Svaki bi gurman Linux gurua trebao svladati.

Daljnje čitanje i izvori

Imamo više vodiča, vodiča i infografika vezanih uz upotrebu računala:

  • Linux Programiranje Uvod i resursi: ovaj duboki zaron u Linux programiranje spušta se u jezgru gdje je sva radnja.
  • Mrežno programiranje s internetskim utičnicama: naučite sve o umrežavanju na internetu.

Resursi za programiranje Unix-a

Ako stvarno uđete u Linux i želite započeti stvaranje programa za to, za vas imamo sjajno mjesto za početak učenja: Unix programski resursi.

Ultimate popis alata za webmastere A-Z
Resursi za programiranje Unix-a

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me