Iwu 25 IPtable Firewall bara uru Onye nchịkwa Linux ọ bụla kwesịrị ịma


hazie firewall n'ụzọ ga-egbo usoro na ndị ọrụ chọrọ maka njikọ na-abata na nke na-apụ apụ, na-ahapụghị usoro ahụ ngwa ngwa na mwakpo.

Nke a bụ ebe iptables batara aka. Iptables bụ firewall ahịrị iwu Linux nke na-enye ndị na-ahụ maka sistemu ohere ijikwa okporo ụzọ na-abata na nke na-apụ apụ site na usoro iwu tebụl nhazi.

Iptables na-eji okpokoro okpokoro nwere agbụ nke nwere usoro arụnyere n'ime ma ọ bụ iwu akọwapụtara onye ọrụ. Ekele ha onye nchịkwa sistemụ nwere ike nyochaa okporo ụzọ netwọkụ nke sistemụ ya nke ọma.

Kwa akwụkwọ ntuziaka iptables, enwere ụdị tebụl atọ ugbu a:

    1. Nzacha - nke a bụ tebụl ndabara, nke nwere ihe arụnyere n'agbụ maka:
      1. INPUT  - ngwugwu a kara aka maka sọket mpaghara
      2. Gaa n’ihu – ngwugwu agafere na sistemu
      3. Mpụpụ – ngwugwu emepụtara na mpaghara

      1. PREROUTING – eji maka ịgbanwe ngwugwu ozugbo enwetara ya
      2. Mpụpụ – eji maka ịgbanwe ngwungwu emepụtara na mpaghara
      3. POSTROUTING – eji maka ịgbanwe ngwugwu ka ha na-achọ ịpụ

      1. PREROUTING – maka ịgbanwe njikọ mbata
      2. Mpụpụ – maka ịgbanwe ngwugwu  mepụtara na mpaghara
      3. INPUT – maka ngwugwu mbata
      4. Mmeghachi – maka ịgbanwe ngwugwu ka ha na-achọ ịpụ
      5. Gaa n’ihu – maka ngwugwu ndị esi n’igbe ahụ pụta

      N'isiokwu a, ị ga-ahụ ụfọdụ iwu bara uru nke ga-enyere gị aka ijikwa ọkụ ọkụ Linux gị site na iptables. Maka ebumnuche nke akụkọ a, m ga-eji iwu ndị dị mfe malite wee gaa na mgbagwoju anya ruo ọgwụgwụ.

      1. Malite/Kwụsị/Malitegharịa Iptables Firewall

      Nke mbụ, ị kwesịrị ịma ka esi ejikwa ọrụ iptables na nkesa Linux dị iche iche. Nke a dị mfe:

      ------------ On Cent/RHEL 7 and Fedora 22+ ------------
      # systemctl start iptables
      # systemctl stop iptables
      # systemctl restart iptables
      
      ------------ On Cent/RHEL 6/5 and Fedora ------------
      # /etc/init.d/iptables start 
      # /etc/init.d/iptables stop
      # /etc/init.d/iptables restart
      

      2. Lelee niile IPtables Firewall Iwu

      Ọ bụrụ na ịchọrọ ịlele iwu gị dị, jiri iwu a:

      # iptables -L -n -v
      

      Nke a kwesịrị iweghachite mmepụta dịka nke dị n'okpuru:

      Chain INPUT (policy ACCEPT 1129K packets, 415M bytes)
       pkts bytes target prot opt in out source destination 
       0 0 ACCEPT tcp -- lxcbr0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
       0 0 ACCEPT udp -- lxcbr0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
       0 0 ACCEPT tcp -- lxcbr0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:67
       0 0 ACCEPT udp -- lxcbr0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:67
      Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
       pkts bytes target prot opt in out source destination 
       0 0 ACCEPT all -- * lxcbr0 0.0.0.0/0 0.0.0.0/0 
       0 0 ACCEPT all -- lxcbr0 * 0.0.0.0/0 0.0.0.0/0
      Chain OUTPUT (policy ACCEPT 354K packets, 185M bytes)
       pkts bytes target prot opt in out source destination

      Ọ bụrụ na ịchọrọ ịlele iwu maka otu tebụl, ị nwere ike iji -t nhọrọ na-esote tebụl nke ịchọrọ ịlele. Dịka ọmụmaatụ, iji lelee iwu dị na tebụl NAT, ị nwere ike iji:

      # iptables -t nat -L -v -n
      

      3. Gbochie Specific Adreesị IP na IPtables Firewall

      Ọ bụrụ na ịchọta ọrụ pụrụ iche ma ọ bụ mkparị site na adreesị IP ị nwere ike igbochi adreesị IP ahụ site na iwu ndị a:

      # iptables -A INPUT -s xxx.xxx.xxx.xxx -j DROP
      

      Ebe ị ga-achọ ịgbanwe \xxx.xxx.xxx.xxx\ na adreesị IP n'ezie. Kpachara anya mgbe ị na-eme iwu a n'ihi na ị nwere ike igbochi adreesị IP nke gị na mberede. Nhọrọ -A na-agbakwunye iwu na njedebe nke yinye ahọpụtara.

      Ọ bụrụ na ịchọrọ igbochi okporo ụzọ TCP na adreesị IP ahụ, ị nwere ike iji nhọrọ -p nke na-akọwapụta ụkpụrụ. Otu a iwu ga-adị ka nke a:

      # iptables -A INPUT -p tcp -s xxx.xxx.xxx.xxx -j DROP
      

      4. Kpọghee adreesị IP na IPtables Firewall

      Ọ bụrụ na ị kpebiela na ịchọghị igbochi arịrịọ sitere na adreesị IP akọwapụtara, ị nwere ike ihichapụ iwu mgbochi site na iji iwu a:

      # iptables -D INPUT -s xxx.xxx.xxx.xxx -j DROP
      

      Nhọrọ -D na-ehichapụ otu iwu ma ọ bụ karịa na yinye ahọpụtara. Ọ bụrụ na ịchọrọ iji nhọrọ dị ogologo, ị nwere ike iji --ehichapụ.

      5. Gbochie Port Specific na IPtables Firewall

      Mgbe ụfọdụ ị nwere ike ịchọ igbochi njikọ mbata ma ọ bụ ọpụpụ na ọdụ ụgbọ mmiri akọwapụtara. Ọ bụ ihe nchekwa dị mma na ị kwesịrị iche echiche banyere nke ahụ mgbe ị na-edozi firewall gị.

      Iji gbochie njikọ ndị na-apụ apụ na ọdụ ụgbọ mmiri akọwapụtara:

      # iptables -A OUTPUT -p tcp --dport xxx -j DROP
      

      Iji kwe ka njikọ mbata jiri:

      # iptables -A INPUT -p tcp --dport xxx -j ACCEPT
      

      N'ihe atụ abụọ a, gbanwee \xxx\ na ọdụ ụgbọ mmiri ịchọrọ inye. Ọ bụrụ na ịchọrọ igbochi okporo ụzọ UDP kama iji TCP, gbanwee \tcp\ na \udp\ na iwu iptables dị n'elu.

      6. Kwe ka ọtụtụ ọdụ ụgbọ mmiri na IPtables jiri Multiport

      Ị nwere ike ịhapụ ọtụtụ ọdụ ụgbọ mmiri n'otu oge, site na iji multiport, n'okpuru ị nwere ike ịchọta iwu dị otú ahụ maka njikọ mbata na ọpụpụ:

      # iptables -A INPUT  -p tcp -m multiport --dports 22,80,443 -j ACCEPT
      # iptables -A OUTPUT -p tcp -m multiport --sports 22,80,443 -j ACCEPT
      

      7. Kwe ka Specific Network Range na akpanwa Port na IPtables

      Ị nwere ike ịmachi ụfọdụ njikọ na ọdụ ụgbọ mmiri akọwapụtara na netwọk enyere. Ka anyị kwuo na ịchọrọ ịhapụ njikọ ọpụpụ na ọdụ ụgbọ mmiri 22 ka ọ bụrụ netwọk 192.168.100.0/24.

      Ị nwere ike iji iwu a mee ya:

      # iptables -A OUTPUT -p tcp -d 192.168.100.0/24 --dport 22 -j ACCEPT
      

      8. Gbochie Facebook na IPtables Firewall

      Ụfọdụ ndị na-ewe mmadụ n'ọrụ na-amasị igbochi ndị ọrụ ha ohere ịnweta Facebook. N'okpuru ebe a bụ ọmụmaatụ otu esi egbochi okporo ụzọ na Facebook.

      Mara: Ọ bụrụ na ị bụ onye njikwa sistemụ ma chọọ itinye iwu ndị a n'ọrụ, buru n'uche na ndị ọrụ ibe gị nwere ike ịkwụsị ịgwa gị okwu :)

      Buru ụzọ chọta adreesị IP ndị Facebook ji:

      # host facebook.com 
      facebook.com has address 66.220.156.68
      
      # whois 66.220.156.68 | grep CIDR
      CIDR: 66.220.144.0/20
      

      Ị nwere ike igbochi netwọk Facebook ahụ site na:

      # iptables -A OUTPUT -p tcp -d 66.220.144.0/20 -j DROP
      

      Buru n'uche na adreesị IP nke Facebook na-eji nwere ike ịdị iche na obodo gị.

      9. Nhazi Port ebugharị na IPtables

      Mgbe ụfọdụ ị nwere ike ibugharị okporo ụzọ otu ọrụ na ọdụ ụgbọ mmiri ọzọ. Ị nwere ike ime nke a site na iwu a:

      # iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 25 -j REDIRECT --to-port 2525
      

      Iwu a dị n'elu na-ebuga okporo ụzọ niile na-abata na interface netwọk eth0, site na ọdụ ụgbọ mmiri 25 gaa n'ọdụ ụgbọ mmiri 2525. Ị nwere ike iji ndị ịchọrọ ịgbanwe ọdụ ụgbọ mmiri.

      10. Gbochie Iju Mmiri Network na Port Apache na IPtables

      Mgbe ụfọdụ, adreesị IP nwere ike ịrịọ ọtụtụ njikọ maka ọdụ ụgbọ mmiri na webụsaịtị gị. Nke a nwere ike ịkpata ọtụtụ nsogbu yana iji gbochie nsogbu ndị dị otú ahụ, ị nwere ike iji iwu ndị a:

      # iptables -A INPUT -p tcp --dport 80 -m limit --limit 100/minute --limit-burst 200 -j ACCEPT
      

      Iwu a dị n'elu na-amachi njikọ ndị na-abata site na nkeji ruo 100 wee debe oke ịgbawa na 200. Ị nwere ike dezie oke na njedebe-gbawa ka ị chọrọ.

      11. Gbochie arịrịọ Ping na-abata na IPtables

      Ụfọdụ ndị nchịkwa sistemụ na-amasị igbochi arịrịọ ping na-abata n'ihi nchegbu nchekwa. Ọ bụ ezie na iyi egwu ahụ abụghị nnukwu, ọ dị mma ịmara otu esi egbochi arịrịọ dị otú ahụ:

      # iptables -A INPUT -p icmp -i eth0 -j DROP
      

      12. Kwe ka loopback nweta

      Nnweta loopback (nnweta sitere na 127.0.0.1) dị mkpa na ị ga-ahapụ ya mgbe niile:

      # iptables -A INPUT -i lo -j ACCEPT
      # iptables -A OUTPUT -o lo -j ACCEPT
      

      13. Debe ndekọ nke ngwugwu netwọk tụfuru na IPtables

      Ọ bụrụ na ịchọrọ ịbanye ngwungwu ndị a tụdara na interface netwọk eth0, ị nwere ike iji iwu a:

      # iptables -A INPUT -i eth0 -j LOG --log-prefix "IPtables dropped packets:"
      

      Ị nwere ike ịgbanwe uru ahụ mgbe \--log-prefix\ jiri ihe site na nhọrọ gị gbanwee. Abanye na ozi ndị a na /var/log/messages ma ị nwere ike iji:

      # grep "IPtables dropped packets:" /var/log/messages
      

      14. Gbochie Nweta adreesị MAC akọwapụtara na IPtables

      Ị nwere ike igbochi ohere ịbanye na sistemụ gị site na adreesị MAC akọwapụtara site na iji:

      # iptables -A INPUT -m mac --mac-source 00:00:00:00:00:00 -j DROP
      

      N'ezie, ị ga-mkpa ịgbanwe \00:00:00:00:00:00 na adreesị MAC nke ị chọrọ igbochi.

      15. Machie ọnụ ọgụgụ nke Njikọ Njikọ kwa Adreesị IP

      Ọ bụrụ na ịchọghị inwe ọtụtụ njikọ na-ejikọta ọnụ eguzobere site na otu adreesị IP na ọdụ ụgbọ mmiri enyere, ị nwere ike iji iwu dị n'okpuru:

      # iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 3 -j REJECT
      

      Iwu dị n'elu anaghị enye ohere karịa njikọ 3 maka onye ahịa ọ bụla. N'ezie, ị nwere ike ịgbanwe nọmba ọdụ ụgbọ mmiri ka ọ dabara na ọrụ dị iche iche. Ọzọkwa --connlimit-n'elu kwesịrị ịgbanwe ka ọ dabara na ihe ị chọrọ.

      16. Chọọ n'ime Iwu IPtables

      Ozugbo ị kọwapụtara iwu iptables gị, ị ga-achọ ịchọ site n'oge ruo n'oge ma nwere ike ịchọ ịgbanwe ha. Ụzọ dị mfe iji chọọ n'ime iwu gị bụ iji:

      # iptables -L $table -v -n | grep $string
      

      N'ihe atụ dị n'elu, ị ga-achọ ịgbanwe $table na tebụl n'ezie nke ịchọrọ ịchọ na $string na ezigbo eriri nke ị na-achọ.

      Nke a bụ ọmụmaatụ:

      # iptables -L INPUT -v -n | grep 192.168.0.100
      

      17. Kọwaa Chain IPTables ọhụrụ

      Site na iptables, ị nwere ike ịkọwa agbụ nke gị ma chekwaa iwu omenala n'ime ya. Iji kọwaa ụdọ, jiri:

      # iptables -N custom-filter
      

      Ugbu a ị nwere ike ịlele ma ọ bụrụ nzacha ọhụrụ gị nọ ebe ahụ:

      # iptables -L
      
      Chain INPUT (policy ACCEPT)
      target prot opt source destination
      
      Chain FORWARD (policy ACCEPT)
      target prot opt source destination
      Chain OUTPUT (policy ACCEPT)
      target prot opt source destination
      Chain custom-filter (0 references)
      target prot opt source destination

      18. Ghichaa Chains ma ọ bụ Iwu IPtables Firewall

      Ọ bụrụ n’ịchọrọ ikpochapụ agbụ firewall gị, ịnwere ike iji:

      # iptables -F
      

      Ị nwere ike iji:

      # iptables -t nat -F
      

      Ị nwere ike ịgbanwe \nat\ na tebụl nke ị ga-achọ ịwụnye.

      19. Chekwaa Iwu IPtables na faịlụ

      Ọ bụrụ na ịchọrọ ịchekwa iwu firewall gị, ị nwere ike iji iwu iptables-save. Ị nwere ike iji ihe ndị a iji chekwaa ma chekwaa iwu gị na faịlụ:

      # iptables-save > ~/iptables.rules
      

      Ọ dịịrị gị ebe ị ga-echekwa faịlụ na otu ị ga-esi kpọọ ya.

      20. Weghachite IPtables Iwu site na faịlụ

      Ọ bụrụ na ịchọrọ iweghachi ndepụta nke iwu iptables, ị nwere ike iji iptables-restore. Iwu ahụ dị ka nke a:

      # iptables-restore < ~/iptables.rules
      

      N'ezie ụzọ faịlụ iwu gị nwere ike ịdị iche.

      21. Mbido IPtables Iwu maka PCI nnabata

      Enwere ike ịchọ ụfọdụ ndị na-ahụ maka sistemu ka ha hazie sava ha ka ọ bụrụ ihe jikọrọ PCI. Enwere ọtụtụ ihe achọrọ site n'aka ndị na-ere nnabata PCI dị iche iche, mana enwere ndị nkịtị.

      N'ọtụtụ ọnọdụ, ị ga-achọ ịnwe ihe karịrị otu adreesị IP. Ị ga-achọ itinye iwu ndị dị n'okpuru maka adreesị IP saịtị ahụ. Kpachara anya nke ọma mgbe ị na-eji iwu ndị dị n'okpuru ma jiri ha naanị ma ọ bụrụ na ị maara ihe ị na-eme:

      # iptables -I INPUT -d SITE -p tcp -m multiport --dports 21,25,110,143,465,587,993,995 -j DROP
      

      Ọ bụrụ na ị na-eji cPanel ma ọ bụ ogwe njikwa yiri ya, ị nwekwara ike igbochi ọdụ ụgbọ mmiri ya. Nke a bụ ọmụmaatụ:

      # iptables -I in_sg -d DEDI_IP -p tcp -m multiport --dports  2082,2083,2095,2096,2525,2086,2087 -j DROP
      

      Mara: Iji hụ na ị mezuru ihe ndị na-ere PCI gị, lelee akụkọ ha nke ọma wee tinye iwu achọrọ. N'ọnọdụ ụfọdụ ị nwere ike igbochi okporo ụzọ UDP na ọdụ ụgbọ mmiri ụfọdụ.

      22. Kwe ka guzosie ike na njikọ njikọ

      Dị ka okporo ụzọ netwọk dị iche iche na mbata na ọpụpụ, ị ga-achọ ikwe ka okporo ụzọ mbata guzosiri ike yana metụtara ya. Maka njikọ mbata mee ya na:

      # iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
      

      Maka ojiji ọpụpụ:

      # iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
      

      23. Wepụ ngwugwu ezighi ezi na IPtables

      Ọ ga-ekwe omume ịnwe ụfọdụ ngwungwu netwọkụ ka ezighi ezi. Ụfọdụ ndị nwere ike ịhọrọ ịbanye ngwungwu ndị ahụ, mana ndị ọzọ na-ahọrọ ịhapụ ha. Iji dobe ngwugwu ndị na-ezighi ezi, ị nwere ike iji:

      # iptables -A INPUT -m conntrack --ctstate INVALID -j DROP 
      

      24. Block Njikọ na Network Interface

      Ụfọdụ sistemụ nwere ike ịnwe ihe karịrị otu interface netwọk. Ị nwere ike igbochi ohere ịnweta interface netwọk ahụ ma ọ bụ gbochie njikọ site na ụfọdụ adreesị IP.

      Ọmụmaatụ:

      # iptables -A INPUT -i eth0 -s xxx.xxx.xxx.xxx -j DROP
      

      Gbanwee \xxx.xxx.xxx.xxx na adreesị IP (ma ọ bụ netwọk) n'ezie nke ịchọrọ igbochi.

      25. Gbanyụọ ozi na-apụ apụ site na IPTables

      Ọ bụrụ na sistemụ gị ekwesịghị izipu ozi-e ọ bụla, ị nwere ike igbochi ọdụ ụgbọ mmiri na-apụ apụ na ọdụ ụgbọ mmiri SMTP. Dịka ọmụmaatụ ị nwere ike iji nke a:

      # iptables -A OUTPUT -p tcp --dports 25,465,587 -j REJECT
      

      Mmechi

      Iptables bụ firewall dị ike nke ị nwere ike irite uru na ya ngwa ngwa. Ọ dị mkpa ka onye nchịkwa sistemu ọ bụla mụta opekata mpe isi nke iptables. Ọ bụrụ na ịchọrọ ịchọta ozi zuru ezu gbasara iptables na nhọrọ ya, a na-akwado ya nke ukwuu ịgụ akwụkwọ ntuziaka ya:

      # man iptables
      

      Ọ bụrụ na ị chere na anyị kwesịrị itinyekwu iwu na ndepụta a, biko kesaa ha na anyị, site n'itinye ha na ngalaba nkọwa n'okpuru.