Искусство владения Софтом    

Настройка iptables в CentOS 7


Во всех операционных системах, основанных на базе ядра Linux, имеется встроенный межсетевой экран, осуществляющий контроль и фильтрацию входящего и исходящего трафика, исходя из заданных пользователем или платформой правил. В дистрибутиве CentOS 7 по умолчанию такую функцию выполняет утилита iptables, взаимодействуя со встроенным брандмауэром netfilter. Иногда системному администратору или менеджеру сети приходится настраивать работу этого компонента, прописывая соответствующие правила. В рамках сегодняшней статьи мы бы хотели поговорить об основах конфигурации iptables в упомянутой выше ОС.

Содержание

Настраиваем iptables в CentOS 7

Сам инструмент доступен к работе сразу же после завершения инсталляции CentOS 7, но дополнительно потребуется установить некоторые сервисы, о чем мы и поговорим далее. В рассматриваемой платформе имеется еще один встроенный инструмент, выполняющий функцию фаервола под названием FirewallD. Для избежания конфликтов при дальнейшей работе рекомендуем отключить этот компонент. Развернутые инструкции по этой теме читайте в другом нашем материале по следующей ссылке.

Подробнее: Отключение firewallD в CentOS 7

Как известно, в системе могут применяться протоколы IPv4 и IPv6. Сегодня мы остановимся на примере IPv4, но если вы хотите осуществлять конфигурацию для другого протокола, потребуется вместо команды iptables в консоли использовать ip6tables.

Установка сервисов iptables

Первоочередно следует добавить в систему дополнительные компоненты рассматриваемой сегодня утилиты. Они помогут в настройке правил и других параметров. Загрузка осуществляется из официального хранилища, поэтому не отнимет много времени.

  1. Все дальнейшие действия будут производиться в классической консоли, поэтому запустите ее любым удобным методом.
  2. За установку сервисов отвечает команда sudo yum install iptables-services. Введите ее и нажмите на клавишу Enter.
  3. Подтвердите учетную запись суперпользователя, указав пароль от нее. Обратите внимание, что при запросах sudo вводимые символы в строке никогда не отображаются.
  4. Будет предложено добавить в систему один пакет, подтвердите это действие, выбрав вариант y.
  5. По завершении инсталляции проверьте текущую версию инструмента: sudo iptables --version.
  6. Результат появится в новой строке.

Теперь ОС полностью готова для дальнейшей настройки межсетевого экрана через утилиту iptables. Мы предлагаем ознакомиться с конфигурацией по пунктам, начав с управления сервисами.

Остановка и запуск сервисов iptables

Управление режимом работы iptables требуется в тех случаях, когда нужно проверить действие определенных правил или просто выполнить перезапуск компонента. Делается это при помощи встроенных команд.

  1. Введите sudo service iptables stop и нажмите на клавишу Enter, чтобы остановить сервисы.
  2. Для подтверждения этой процедуры укажите пароль суперпользователя.
  3. При успешном выполнении процесса отобразится новая строка, свидетельствующая о внесении изменений в конфигурационный файл.
  4. Запуск сервисов производится практически так же, только строка обретает вид sudo service iptables start.

Подобная перезагрузка, запуск или остановка утилиты доступна в любой момент, не забудьте только вернуть обратное значение, когда это будет востребовано.

Просмотр и удаление правил

Как уже было сказано ранее, управление межсетевым экраном производится путем ручного или автоматического добавления правил. Например, некоторые дополнительные приложения могут обращаться к инструменту, изменяя определенные политики. Однако большинство подобных действий все же делается вручную. Просмотр списка всех текущих правил доступен через команду sudo iptables -L.

В отобразившемся результате будет информация по трем цепочкам: «INPUT», «OUTPUT» и «FORWARD» — входящий, исходящий и пересылаемый трафик соответственно.

Определить статус всех цепочек можно, введя sudo iptables -S.

Если увиденные правила вас не устраивают, они достаточно просто удаляются. Весь список очищается так: sudo iptables -F. После активации правила будут стерты абсолютно для всех трех цепей.

Когда необходимо затронуть только политики из какой-то одной цепи, к строке добавляется дополнительный аргумент:

sudo iptables -F INPUT
sudo iptables -F OUTPUT
sudo iptables -F FORWARD

Отсутствие всех правил означает, что сейчас не применяется никаких настроек фильтрации трафика ни в одну из сторон. Далее системный администратор уже самостоятельно задает новые параметры, используя всю ту же консоль, команду и различные аргументы.

Прием и сбрасывание трафика в цепях

Каждая цепь настраивается отдельно для приема или блокирования трафика. Выставив определенное значение, можно добиться того, что, например, весь входящий трафик будет блокироваться. Для этого команда должна быть sudo iptables --policy INPUT DROP, где INPUT — название цепи, а DROP — значение сброса.

Точно такие же параметры задаются и для других цепей, например, sudo iptables --policy OUTPUT DROP. Если же необходимо выставить значение на прием трафика, тогда DROP изменяется на ACCEPT и получается sudo iptables --policy INPUT ACCEPT.

Разрешение и блокировка портов

Как известно, все сетевые приложения и процессы работают через определенный порт. Путем блокировки или разрешения определенных адресов можно контролировать доступ всех сетевых целей. Давайте разберем проброс порта на примере 80. В «Терминале» будет достаточно ввести команду sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT, где — добавление нового правила, INPUT — указание цепи, -P — определение протокола, в этом случае TCP, а --dport — порт назначения.

Точно такая же команда относится и к порту 22, который используется сервисом SSH: sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT.

Для блокирования указанного порта применяется строка точно такого же вида, только в конце ACCEPT изменяется на DROP. В итоге получается, например, sudo iptables -A INPUT -p tcp --dport 2450 -j DROP.

Все эти правила заносятся в конфигурационный файл и вы можете просмотреть их в любой момент. Напоминаем, осуществляется это через sudo iptables -L. Если вместе с портом необходимо разрешить еще и сетевой IP-адрес, строка немного видоизменяется — после TPC добавляется -s и сам адрес. sudo iptables -A INPUT -p tcp -s 12.12.12.12/32 --dport 22 -j ACCEPT, где 12.12.12.12/32 — необходимый IP-адрес.

Блокирование происходит по тому же принципу, меняя в конце значение ACCEPT на DROP. Тогда получается, например, sudo iptables -A INPUT -p tcp -s 12.12.12.0/24 --dport 22 -j DROP.

Блокирование ICMP

ICMP (Internet Control Message Protocol) — протокол, который входит в состав TCP/IP и задействован для передачи сообщений об ошибках и экстренных ситуациях при работе с трафиком. Например, когда запрашиваемый сервер недоступен, именно этот инструмент выполняет сервисные функции. Утилита iptables позволяет заблокировать его через брандмауэр, а сделать это можно командой sudo iptables -A OUTPUT -p icmp --icmp-type 8 -j DROP. Она произведет блокировку запросов от вашего и к вашему серверу.

Входящие запросы блокируются немного иначе. Тогда нужно ввести sudo iptables -I INPUT -p icmp --icmp-type 8 -j DROP. После активации данных правил сервер не будет отвечать на ping-запросы.

Предотвращение несанкционированных действий на сервере

Иногда серверы подвергаются DDoS атакам или другим несанкционированным действиям со стороны злоумышленников. Правильная настройка межсетевого экрана позволит обезопасить себя от подобного рода взломов. Для начала мы рекомендуем задать такие правила:

  1. Пропишите в консоли iptables -A INPUT -p tcp --dport 80 -m limit --limit 20/minute --limit-burst 100 -j ACCEPT, где --limit 20/minute — ограничение на частоту положительных результатов. Единицу измерения вы можете указывать самостоятельно, например, /second, /minute, /hour, /day. --limit-burst number — ограничение на число пропускаемых пакетов. Все значения выставляются индивидуально по предпочтениям администратора.
  2. Далее можно запретить сканирование открытых портов, чтобы убрать одну из возможных причин взлома. Введите первую команду sudo iptables -N block-scan.
  3. Затем укажите sudo iptables -A block-scan -p tcp —tcp-flags SYN,ACK,FIN,RST -m limit —limit 1/s -j RETURN.
  4. Последняя третья команда имеет вид: sudo iptables -A block-scan -j DROP. Выражение block-scan в данных случаях — название используемой цепи.

Показанные сегодня настройки являются лишь основой работы в инструменте управления межсетевым экраном. В официальной документации утилиты вы найдете описание всех доступных аргументов и опций и сможете настроить брандмауэр конкретно под свои запросы. Выше были рассмотрены стандартные правила безопасности, которые применяются чаще всего и в большинстве случаев обязательны. <



Отзывы (через Facebook):

Оставить отзыв с помощью аккаунта FaceBook:

Автоматическое включение компьютера по расписанию

Автоматическое включение компьютера по расписанию Многие пользователи хотели бы, чтобы их П К включался самостоятельно в заданное время. Для этого существует несколько способов....

31 05 2020 1:11:24

Как скачивать музыку с ВК в Опере

Как скачивать музыку с ВК в Опере Найдя интересные треки в В К, вам наверняка захочется ими пополнить музыкальную коллекцию, и, будучи пользователем Opera, вы сможете скачать их на компьютер....

30 05 2020 1:47:38

Как убрать водяной знак в Ворде

Как убрать водяной знак в Ворде Водяной знак или подложка в MS Word - это хорошая возможность сделать документ уникальным. Кроме того, если это необходимо, водяной знак всегда можно удалить....

29 05 2020 18:45:33

Как отформатировать компьютер полностью

Как отформатировать компьютер полностью Полное форматирование компьютера выполнить нельзя из-за запущенной О С, поэтому нужно воспользоваться некоторыми хитростями. Всего можно выделить три способа....

28 05 2020 0:28:35

Восстановление жесткого диска

Восстановление жесткого диска Восстановление жесткого диска — популярная процедура среди тех, кто нашел на HDD битые сектора. Важно восстановить диск правильно, чтобы не потерять свои данные...

27 05 2020 6:56:45

Как открыть файл DBF в Excel

Как открыть файл DBF в Excel DBF - популярный формат хранения данных. Существует возможность открытия файлов с этим расширением в программе Excel....

26 05 2020 19:59:44

Эмуляторы Сеги на Андроид на русском

За счет высокой производительности многие Android-устройства позволяют запускать эмуляторы игровых приставок. В случае с Sega существует несколько вариантов....

25 05 2020 13:30:42

Как удалить сразу все фотографии ВКонтакте

Как удалить сразу все фотографии ВКонтакте Каждый пользователь может воспользоваться различными способами для одновременного удаления всех фотоизображений со своего личного аккаунта в соцсети В Контакте....

24 05 2020 21:42:42

Как прошить Lenovo S820

Как прошить Lenovo S820 С помощью определенных программных инструментов каждый пользователь смартфона Lenovo S820 может переустановить, обновить и восстановить Android на своем девайсе....

23 05 2020 12:33:44

Как узнать версию CentOS

Как узнать версию CentOS Определить версию CentOS можно с помощью встроенных и дополнительных терминальных команд. Каждая из них будет наиболее подходящей в определенной ситуации....

22 05 2020 3:13:24

Как отключить неиспользуемые службы в Windows

Как отключить неиспользуемые службы в Windows По умолчанию в операционных системах Windows работают много разных служб. При этом большинство из них не нужны рядовому пользователю. Так как же их отключить?...

21 05 2020 22:20:52

Как изменить RAW формат HDD дисков

Как изменить RAW формат HDD дисков Нередко пользователи сталкиваются с ошибкой, когда файловая система диска меняется на RAW. Есть несколько способов, как изменить RAW формат HDD дисков на NTFS....

20 05 2020 17:13:55

Как посчитать сумму в Ворде

Как посчитать сумму в Ворде В таблице, созданной в программе Microsoft Word, можно посчитать сумму данных, расположенных в одном столбце таблицы или записанных в математическом выражении....

19 05 2020 10:59:57

Как конвертировать WMV в AVI

Как конвертировать WMV в AVI Формат видеофайлов WMV сможет воспроизвести не каждый проигрыватель. Чтобы избежать проблем, файл с таким расширением можно перевести в формат AVI....

18 05 2020 5:40:50

Как пользоваться Rufus

Как пользоваться Rufus Rufus - популярная программа для создания загрузочных флешек с множеством дополнительных параметров. В зависимости от версии О С настройка Rufus будет разной....

17 05 2020 6:54:10

Как подключить гитару к компьютеру

Как подключить гитару к компьютеру Звуки с гитары со звукоснимателем или электрогитары можно вывести на компьютер. Для подключения потребуются переходники и специальные звуковые драйвера....

16 05 2020 18:17:44

Перевод по картинке в Гугл Переводчике

Перевод по картинке в Гугл Переводчике С помощью Google Переводчика можно переводить не только текст, но и содержимое изображений. Для этого потребуется мобильное приложение или специальные сервисы....

15 05 2020 13:57:54

Драйвер для контроллера универсальной последовательной шины USB

Драйвер для контроллера универсальной последовательной шины USB Проблема с контроллером последовательной шины выражается в нерабочих USB-портах. Для устранения этой неисправности есть несколько действенных способов....

14 05 2020 10:15:27

Как выйти из учетной записи Windows 10

Как выйти из учетной записи Windows 10 Хотите зайти под другим логином, но не знаете как выйти из учетной записи Windows 10? Все делается достаточно просто и не занимает много времени....

13 05 2020 1:37:35

Как создать папку на МакБуке

Даже элементарная операция вроде создания новой папки может вызвать оторопь у пользователя, который перешел на macOS с других систем, особенно Windows....

12 05 2020 13:43:37

Еще:
Все о софте -1 :: Все о софте -2 :: Все о софте -3 :: Все о софте -4 :: Все о софте -5 :: Все о софте -6 :: Все о софте -7 :: Все о софте -8 :: Все о софте -9 :: Все о софте -10 :: Все о софте -11 :: Все о софте -12 :: Все о софте -13 :: Все о софте -14 :: Все о софте -15 :: Все о софте -16 :: Все о софте -17 :: Все о софте -18 :: Все о софте -19 :: Все о софте -20 :: Все о софте -21 :: Все о софте -22 :: Все о софте -23 :: Все о софте -24 :: Все о софте -25 :: Все о софте -26 :: Все о софте -27 :: Все о софте -28 :: Все о софте -29 :: Все о софте -30 :: Все о софте -31 :: Все о софте -32 :: Все о софте -33 :: Все о софте -34 :: Все о софте -35 :: Все о софте -36 :: Все о софте -37 :: Все о софте -38 :: Все о софте -39 :: Все о софте -40 :: Все о софте -41 :: Все о софте -42 :: Все о софте -43 :: Все о софте -44 :: Все о софте -45 :: Все о софте -46 :: Все о софте -47 :: Все о софте -48 :: Все о софте -49 :: Все о софте -50 :: Все о софте -51 :: Все о софте -52 :: Все о софте -53 :: Все о софте -54 :: Все о софте -55 :: Все о софте -56 :: Все о софте -57 :: Все о софте -58 :: Все о софте -59 :: Все о софте -60 :: Все о софте -61 :: Все о софте -62 :: Все о софте -63 :: Все о софте -64 :: Все о софте -65 :: Все о софте -66 :: Все о софте -67 :: Все о софте -68 :: Все о софте -69 :: Все о софте -70 :: Все о софте -71 :: Все о софте -72 :: Все о софте -73 :: Все о софте -74 :: Все о софте -75 :: Все о софте -76 :: Все о софте -77 :: Все о софте -78 :: Все о софте -79 :: Все о софте -80 :: Все о софте -81 :: Все о софте -82 :: Все о софте -83 :: Все о софте -84 :: Все о софте -85 :: Все о софте -86 :: Все о софте -87 :: Все о софте -88 :: Все о софте -89 :: Все о софте -90 :: Все о софте -91 :: Все о софте -92 :: Все о софте -93 :: Все о софте -94 :: Все о софте -95 :: Все о софте -96 :: Все о софте -97 :: Все о софте -98 :: Все о софте -99 :: Все о софте -100 :: Все о софте -101 :: Все о софте -102 :: Все о софте -103 :: Все о софте -104 :: Все о софте -105 :: Все о софте -106 :: Все о софте -107 :: Все о софте -108 :: Все о софте -109 :: Все о софте -110 :: Все о софте -111 :: Все о софте -112 :: Все о софте -113 :: Все о софте -114 :: Все о софте -115 :: Все о софте -116 :: Все о софте -117 :: Все о софте -118 :: Все о софте -119 :: Все о софте -120 :: Все о софте -121 :: Все о софте -122 :: Все о софте -123 :: Все о софте -124 :: Все о софте -125 :: Все о софте -126 :: Все о софте -127 :: Все о софте -128 :: Все о софте -129 :: Все о софте -130 :: Все о софте -131 :: Все о софте -132 :: Все о софте -133 :: Все о софте -134 :: Все о софте -135 :: Все о софте -136 :: Все о софте -137 :: Все о софте -138 :: Все о софте -139 :: Все о софте -140 :: Все о софте -141 :: Все о софте -142 :: Все о софте -143 :: Все о софте -144 :: Все о софте -145 :: Все о софте -146 :: Все о софте -147 :: Все о софте -148 :: Все о софте -149 :: Все о софте -150 :: Все о софте -151 :: Все о софте -152 :: Все о софте -153 :: Все о софте -154 :: Все о софте -155 :: Все о софте -156 :: Все о софте -157 :: Все о софте -158 :: Все о софте -159 :: Все о софте -160 :: Все о софте -161 :: Все о софте -162 :: Все о софте -163 :: Все о софте -164 :: Все о софте -165 :: Все о софте -166 :: Все о софте -167 :: Все о софте -168 ::

Как избавиться от синего экрана смерти, как создать и перенести макрос в Excel, и многие другие необходимые, но малоизвестные сведения вы найдете здесь, на нашем сайте softserials.ru!