ஐபிடேபிள்களுக்கான தொடக்க வழிகாட்டி, லினக்ஸ் ஃபயர்வால்
ஐப்டேபிள்ஸ் என்பது லினக்ஸ் இயக்க முறைமைகளுக்காக கட்டப்பட்ட மிகவும் நெகிழ்வான ஃபயர்வால் பயன்பாடு ஆகும். நீங்கள் ஒரு புதிய லினக்ஸ் கீக் அல்லது கணினி நிர்வாகியாக இருந்தாலும், ஐப்டேபிள்ஸ் உங்களுக்கு சிறந்த பயன்பாடாக இருக்க சில வழிகள் இருக்கலாம். மிகவும் பல்துறை லினக்ஸ் ஃபயர்வாலை எவ்வாறு கட்டமைப்பது என்பதை நாங்கள் உங்களுக்குக் காண்பிப்பதைப் படியுங்கள்.
புகைப்படம் ezioman.
ஐப்டேபிள்ஸ் பற்றி
iptables என்பது ஒரு கட்டளை-வரி ஃபயர்வால் பயன்பாடாகும், இது போக்குவரத்தை அனுமதிக்க அல்லது தடுக்க கொள்கை சங்கிலிகளைப் பயன்படுத்துகிறது. ஒரு இணைப்பு உங்கள் கணினியில் தன்னை நிலைநிறுத்த முயற்சிக்கும்போது, ஐப்டேபிள்ஸ் அதன் பட்டியலில் பொருந்துமாறு ஒரு விதியைத் தேடுகிறது. இது ஒன்றைக் கண்டுபிடிக்கவில்லை எனில், அது இயல்புநிலை செயலைக் குறிக்கிறது.
iptables எப்போதும் எந்த லினக்ஸ் விநியோகத்திலும் முன்பே நிறுவப்பட்டிருக்கும். அதை புதுப்பிக்க / நிறுவ, iptables தொகுப்பை மீட்டெடுக்கவும்:
sudo apt-get install iptables
ஃபயர்ஸ்டார்ட்டர் போன்ற ஐப்டேபிள்களுக்கு ஜி.யு.ஐ மாற்று வழிகள் உள்ளன, ஆனால் நீங்கள் சில கட்டளைகளைக் குறைத்தவுடன் ஐப்டேபிள்ஸ் உண்மையில் கடினமாக இல்லை. ஐப்டேபிள் விதிகளை உள்ளமைக்கும் போது நீங்கள் மிகவும் கவனமாக இருக்க விரும்புகிறீர்கள், குறிப்பாக நீங்கள் ஒரு சேவையகத்தில் SSH ஆக இருந்தால், ஒரு தவறான கட்டளை இயற்பியல் கணினியில் கைமுறையாக சரிசெய்யப்படும் வரை உங்களை நிரந்தரமாக பூட்ட முடியும்.
சங்கிலிகளின் வகைகள்
iptables மூன்று வெவ்வேறு சங்கிலிகளைப் பயன்படுத்துகிறது: உள்ளீடு, முன்னோக்கி மற்றும் வெளியீடு.
உள்ளீடு - உள்வரும் இணைப்புகளுக்கான நடத்தை கட்டுப்படுத்த இந்த சங்கிலி பயன்படுத்தப்படுகிறது. எடுத்துக்காட்டாக, ஒரு பயனர் உங்கள் பிசி / சேவையகத்தில் எஸ்எஸ்ஹெச் செய்ய முயற்சித்தால், ஐபிடேபிள்ஸ் ஐபி முகவரி மற்றும் போர்ட்டை உள்ளீட்டு சங்கிலியில் ஒரு விதிக்கு பொருத்த முயற்சிக்கும்.
முன்னோக்கி - இந்தச் சங்கிலி உள்வரும் இணைப்புகளுக்குப் பயன்படுத்தப்படுகிறது, அவை உண்மையில் உள்நாட்டில் வழங்கப்படவில்லை. ஒரு திசைவியைப் பற்றி சிந்தியுங்கள் - தரவு எப்போதும் அதற்கு அனுப்பப்படுகிறது, ஆனால் அரிதாகவே திசைவிக்கு விதிக்கப்படுகிறது; தரவு அதன் இலக்குக்கு அனுப்பப்படுகிறது. உங்கள் கணினியில் ஒருவித ரூட்டிங், நேட்டிங் அல்லது வேறு ஏதாவது ஒன்றை நீங்கள் செய்யாவிட்டால், நீங்கள் இந்தச் சங்கிலியைப் பயன்படுத்த மாட்டீர்கள்.
உங்கள் கணினி முன்னோக்கி சங்கிலியைப் பயன்படுத்துகிறதா இல்லையா என்பதைச் சரிபார்க்க ஒரு நிச்சயமான வழி உள்ளது.
iptables -L -v
மேலே உள்ள ஸ்கிரீன் ஷாட் சில வாரங்களாக இயங்கும் சேவையகத்தின் மற்றும் உள்வரும் அல்லது வெளிச்செல்லும் இணைப்புகளுக்கு எந்த தடையும் இல்லை. நீங்கள் பார்க்க முடியும் என, உள்ளீட்டு சங்கிலி 11 ஜிபி பாக்கெட்டுகளை செயலாக்கியது மற்றும் வெளியீட்டு சங்கிலி 17 ஜிபி செயலாக்கப்பட்டது. முன்னோக்கி சங்கிலி, மறுபுறம், ஒரு பாக்கெட்டை செயலாக்க தேவையில்லை. ஏனென்றால், சேவையகம் எந்தவிதமான பகிர்தலையும் செய்யவில்லை அல்லது கடந்து செல்லும் சாதனமாகப் பயன்படுத்தப்படுவதில்லை.
வெளியீடு - வெளிச்செல்லும் இணைப்புகளுக்கு இந்த சங்கிலி பயன்படுத்தப்படுகிறது. எடுத்துக்காட்டாக, நீங்கள் howtogeek.com ஐ பிங் செய்ய முயற்சித்தால், இணைப்பு முயற்சியை அனுமதிக்க அல்லது மறுப்பதற்கான முடிவை எடுப்பதற்கு முன், பிங் மற்றும் howtogeek.com தொடர்பான விதிகள் என்ன என்பதைக் காண அதன் வெளியீட்டு சங்கிலியை iptables சரிபார்க்கும்.
எச்சரிக்கை
வெளிப்புற ஹோஸ்டை பிங் செய்வது வெளியீட்டு சங்கிலியை மட்டுமே பயணிக்க வேண்டிய ஒன்று போல் தோன்றினாலும், தரவை திருப்பி அனுப்ப, உள்ளீட்டு சங்கிலியும் பயன்படுத்தப்படும் என்பதை நினைவில் கொள்ளுங்கள். உங்கள் கணினியைப் பூட்ட ஐப்டேபிள்களைப் பயன்படுத்தும்போது, நிறைய நெறிமுறைகளுக்கு இரு வழி தொடர்பு தேவைப்படும் என்பதை நினைவில் கொள்ளுங்கள், எனவே உள்ளீடு மற்றும் வெளியீட்டு சங்கிலிகள் இரண்டையும் சரியாக உள்ளமைக்க வேண்டும். SSH என்பது ஒரு பொதுவான நெறிமுறை, இது இரண்டு சங்கிலிகளையும் மக்கள் மறக்க மறந்து விடுகிறது.
கொள்கை சங்கிலி இயல்புநிலை நடத்தை
குறிப்பிட்ட விதிகளை உள்ளமைத்து உள்ளமைப்பதற்கு முன், மூன்று சங்கிலிகளின் இயல்புநிலை நடத்தை என்னவாக இருக்க வேண்டும் என்பதை நீங்கள் தீர்மானிக்க வேண்டும். வேறு வார்த்தைகளில் கூறுவதானால், இணைப்பு ஏற்கனவே இருக்கும் எந்த விதிகளுக்கும் பொருந்தவில்லை என்றால் iptables என்ன செய்ய விரும்புகிறீர்கள்?
உங்கள் கொள்கை சங்கிலிகள் தற்போது ஒப்பிடமுடியாத போக்குவரத்துடன் செய்ய கட்டமைக்கப்பட்டுள்ளதைக் காண, இயக்கவும் iptables -L கட்டளை.
நீங்கள் பார்க்க முடியும் என, எங்களுக்கு தூய்மையான வெளியீட்டை வழங்க grep கட்டளையையும் பயன்படுத்தினோம். அந்த ஸ்கிரீன்ஷாட்டில், போக்குவரத்தை ஏற்றுக்கொள்வதற்காக எங்கள் சங்கிலிகள் தற்போது கண்டுபிடிக்கப்பட்டுள்ளன.
பல முறை, உங்கள் கணினி இணைப்புகளை இயல்பாக ஏற்க வேண்டும். கொள்கை சங்கிலி விதிகளை நீங்கள் முன்பு மாற்றவில்லை எனில், இந்த அமைப்பு ஏற்கனவே உள்ளமைக்கப்பட வேண்டும். எந்த வகையிலும், இயல்புநிலையாக இணைப்புகளை ஏற்றுக்கொள்வதற்கான கட்டளை இங்கே:
iptables --policy INPUT ACCEPT
iptables --policy OUTPUT ACCEPT
iptables - பாலிசி ஃபார்வர்ட் ஏற்றுக்கொள்
ஏற்றுக்கொள்ளும் விதிக்கு இயல்புநிலையாக இருப்பதன் மூலம், குறிப்பிட்ட ஐபி முகவரிகள் அல்லது போர்ட் எண்களை மறுக்க iptables ஐப் பயன்படுத்தலாம், அதே நேரத்தில் மற்ற எல்லா இணைப்புகளையும் தொடர்ந்து ஏற்றுக்கொள்வீர்கள். ஒரு நிமிடத்தில் அந்த கட்டளைகளைப் பெறுவோம்.
எல்லா இணைப்புகளையும் நீங்கள் மறுத்து, நீங்கள் இணைக்க விரும்புவதை கைமுறையாகக் குறிப்பிட விரும்பினால், உங்கள் சங்கிலிகளின் இயல்புநிலை கொள்கையை கைவிட வேண்டும். இதைச் செய்வது, முக்கியமான தகவல்களைக் கொண்ட சேவையகங்களுக்கு மட்டுமே பயனுள்ளதாக இருக்கும், அதே ஐபி முகவரிகள் மட்டுமே அவற்றுடன் இணைக்கப்படுகின்றன.
iptables --policy INPUT DROP
iptables --policy OUTPUT DROP
iptables --policy FORWARD DROP
இணைப்பு சார்ந்த பதில்கள்
உங்கள் இயல்புநிலை சங்கிலி கொள்கைகள் உள்ளமைக்கப்பட்டுள்ளதால், நீங்கள் iptables இல் விதிகளைச் சேர்க்கத் தொடங்கலாம், எனவே ஒரு குறிப்பிட்ட ஐபி முகவரி அல்லது துறைமுகத்திலிருந்து ஒரு இணைப்பை எதிர்கொள்ளும்போது என்ன செய்வது என்று அது தெரியும். இந்த வழிகாட்டியில், நாங்கள் மிகவும் அடிப்படை மற்றும் பொதுவாகப் பயன்படுத்தப்படும் மூன்று “பதில்களை” பார்க்கப் போகிறோம்.
ஏற்றுக்கொள் - இணைப்பை அனுமதிக்கவும்.
கைவிட - இணைப்பைக் கைவிடுங்கள், அது ஒருபோதும் நடக்காதது போல் செயல்படுங்கள். உங்கள் கணினி இருப்பதை ஆதாரம் உணர விரும்பவில்லை என்றால் இது சிறந்தது.
நிராகரி - இணைப்பை அனுமதிக்காதீர்கள், ஆனால் பிழையை திருப்பி அனுப்புங்கள். ஒரு குறிப்பிட்ட மூலத்தை உங்கள் கணினியுடன் இணைக்க விரும்பவில்லை என்றால் இது சிறந்தது, ஆனால் உங்கள் ஃபயர்வால் அவர்களைத் தடுத்தது என்பதை அவர்கள் தெரிந்து கொள்ள வேண்டும்.
இந்த மூன்று விதிகளுக்கிடையேயான வேறுபாட்டைக் காண்பிப்பதற்கான சிறந்த வழி, இந்த அமைப்புகளில் ஒவ்வொன்றிற்கும் கட்டமைக்கப்பட்ட ஐபிடேபிள்களுடன் ஒரு பிசி ஒரு லினக்ஸ் இயந்திரத்தை பிங் செய்ய முயற்சிக்கும்போது அது எப்படி இருக்கும் என்பதைக் காண்பிப்பதாகும்.
இணைப்பை அனுமதிக்கிறது:
இணைப்பை கைவிடுவது:
இணைப்பை நிராகரித்தல்:
குறிப்பிட்ட இணைப்புகளை அனுமதித்தல் அல்லது தடுப்பது
உங்கள் கொள்கை சங்கிலிகள் உள்ளமைக்கப்பட்டுள்ளதால், குறிப்பிட்ட முகவரிகள், முகவரி வரம்புகள் மற்றும் துறைமுகங்களை அனுமதிக்க அல்லது தடுக்க iptables ஐ இப்போது கட்டமைக்கலாம். இந்த எடுத்துக்காட்டுகளில், இணைப்புகளை அமைப்போம் கைவிட, ஆனால் நீங்கள் அவற்றை மாற்றலாம் ஏற்றுக்கொள் அல்லது நிராகரிக்கவும், உங்கள் தேவைகள் மற்றும் உங்கள் கொள்கை சங்கிலிகளை எவ்வாறு கட்டமைத்தீர்கள் என்பதைப் பொறுத்து.
குறிப்பு: இந்த எடுத்துக்காட்டுகளில், நாங்கள் பயன்படுத்தப் போகிறோம் iptables -A இருக்கும் சங்கிலியில் விதிகளைச் சேர்க்க. iptables அதன் பட்டியலின் மேலே தொடங்கி ஒவ்வொரு விதிக்கும் பொருந்தக்கூடிய ஒன்றைக் கண்டுபிடிக்கும் வரை செல்கிறது. நீங்கள் ஒரு விதியை மற்றொன்றுக்கு மேல் செருக வேண்டும் என்றால், நீங்கள் பயன்படுத்தலாம் iptables -I [சங்கிலி] [எண்] பட்டியலில் இருக்க வேண்டிய எண்ணைக் குறிப்பிட.
ஒற்றை ஐபி முகவரியிலிருந்து இணைப்புகள்
ஐபி முகவரியிலிருந்து அனைத்து இணைப்புகளையும் எவ்வாறு தடுப்பது என்பதை இந்த எடுத்துக்காட்டு காட்டுகிறது 10.10.10.10.
iptables -A INPUT -s 10.10.10.10 -j DROP
ஐபி முகவரிகளின் வரம்பிலிருந்து இணைப்புகள்
இந்த எடுத்துக்காட்டு 10.10.10.0/24 நெட்வொர்க் வரம்பில் உள்ள அனைத்து ஐபி முகவரிகளையும் எவ்வாறு தடுப்பது என்பதைக் காட்டுகிறது. ஐபி முகவரிகளின் வரம்பைக் குறிப்பிட நீங்கள் நெட்மாஸ்க் அல்லது நிலையான ஸ்லாஷ் குறியீட்டைப் பயன்படுத்தலாம்.
iptables -A INPUT -s 10.10.10.0/24 -j DROP
அல்லது
iptables -A INPUT -s 10.10.10.0/255.255.255.0 -j DROP
ஒரு குறிப்பிட்ட துறைமுகத்திற்கான இணைப்புகள்
இந்த உதாரணம் 10.10.10.10 இலிருந்து SSH இணைப்புகளை எவ்வாறு தடுப்பது என்பதைக் காட்டுகிறது.
iptables -A INPUT -p tcp --dport ssh -s 10.10.10.10 -j DROP
நீங்கள் "ssh" ஐ எந்த நெறிமுறை அல்லது போர்ட் எண்ணுடன் மாற்றலாம். தி -p tcp குறியீட்டின் ஒரு பகுதி நெறிமுறை எந்த வகையான இணைப்பைப் பயன்படுத்துகிறது என்பதை iptables க்குச் சொல்கிறது. TCP ஐ விட UDP ஐப் பயன்படுத்தும் ஒரு நெறிமுறையை நீங்கள் தடுக்கிறீர்கள் என்றால், பின்னர் -p udp அதற்கு பதிலாக அவசியம்.
எந்த ஐபி முகவரியிலிருந்தும் SSH இணைப்புகளை எவ்வாறு தடுப்பது என்பதை இந்த எடுத்துக்காட்டு காட்டுகிறது.
iptables -A INPUT -p tcp --dport ssh -j DROP
இணைப்பு மாநிலங்கள்
நாம் முன்னர் குறிப்பிட்டது போல, நிறைய நெறிமுறைகளுக்கு இருவழி தொடர்பு தேவைப்படும். எடுத்துக்காட்டாக, உங்கள் கணினியில் SSH இணைப்புகளை அனுமதிக்க விரும்பினால், உள்ளீடு மற்றும் வெளியீட்டு சங்கிலிகள் அவற்றில் சேர்க்கப்பட்ட ஒரு விதி தேவைப்படும். ஆனால், உங்கள் கணினியில் SSH வருவதை மட்டுமே அனுமதிக்க விரும்பினால் என்ன செய்வது? வெளியீட்டு சங்கிலியில் ஒரு விதியைச் சேர்க்கவில்லையா, வெளிச்செல்லும் SSH முயற்சிகளையும் அனுமதிக்கவில்லையா?
இணைப்பு நிலைகள் வரும் இடத்தில்தான், இது இரு வழி தகவல்தொடர்புகளை நீங்கள் அனுமதிக்க வேண்டிய திறனைக் கொடுக்கும், ஆனால் ஒரு வழி இணைப்புகளை மட்டுமே நிறுவ அனுமதிக்கிறது. இந்த உதாரணத்தைப் பாருங்கள், அங்கு 10.10.10.10 இலிருந்து SSH இணைப்புகள் அனுமதிக்கப்படுகின்றன, ஆனால் 10.10.10.10 க்கு SSH இணைப்புகள் இல்லை. இருப்பினும், அமர்வு ஏற்கனவே நிறுவப்பட்டிருக்கும் வரை SSH வழியாக தகவல்களை திருப்பி அனுப்ப கணினி அனுமதிக்கப்படுகிறது, இது இந்த இரண்டு ஹோஸ்ட்களுக்கு இடையில் SSH தகவல்தொடர்புகளை சாத்தியமாக்குகிறது.
iptables -A INPUT -p tcp --dport ssh -s 10.10.10.10 -m state --state NEW, ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -d 10.10.10.10 -m state --state ESTABLISHED -j ACCEPT
மாற்றங்களைச் சேமிக்கிறது
மாற்றங்களைச் சேமிக்க ஒரு கட்டளையை நீங்கள் செயல்படுத்தாவிட்டால், உங்கள் iptables விதிகளில் நீங்கள் செய்யும் மாற்றங்கள் அடுத்த முறை iptables சேவை மறுதொடக்கம் செய்யப்படும். உங்கள் விநியோகத்தைப் பொறுத்து இந்த கட்டளை வேறுபடலாம்:
உபுண்டு:
sudo / sbin / iptables-save
Red Hat / CentOS:
/ sbin / service iptables சேமிக்க
அல்லது
/etc/init.d/iptables சேமிக்கிறது
பிற கட்டளைகள்
தற்போது உள்ளமைக்கப்பட்ட iptables விதிகளை பட்டியலிடுங்கள்:
iptables -L
சேர்த்தல் -வி விருப்பம் உங்களுக்கு பாக்கெட் மற்றும் பைட் தகவல்களை வழங்கும், மேலும் சேர்க்கும் -n எல்லாவற்றையும் எண்ணாக பட்டியலிடும். வேறு வார்த்தைகளில் கூறுவதானால் - ஹோஸ்ட் பெயர்கள், நெறிமுறைகள் மற்றும் நெட்வொர்க்குகள் எண்களாக பட்டியலிடப்பட்டுள்ளன.
தற்போது உள்ளமைக்கப்பட்ட அனைத்து விதிகளையும் அழிக்க, நீங்கள் பறிப்பு கட்டளையை வழங்கலாம்.
iptables -F
