Яке аз афзалиятҳо пас аз насб кардани система ба таври дуруст танзим кардани ядроҳо барои филтр кардани ҳаракати воситаҳо. Сиёсати пешазинтихоботӣ ба ҳама чизҳое, ки манъ карда нашудааст. Ин усули муваффақ дар соҳаи амният нест, зеро дар ин шакл сервер ба ҳуҷайраҳо дучор меояд.
Шумо метавонед, масалан, браузерҳоро дар сервер сабт кунед. Дар асоси ин, муайян кардани хидматҳо, версияи онҳо, ном ва версияи системаи оператсионӣ муайян карда мешавад. Next - интихоби заиф ба онҳо. Ё якчанд icmp - паёмҳо метавонанд маълумоти иловагӣ диҳанд.
Умуман, тавсифи он, ки чаро шумо бояд танзимоти воҳима, сазовори мақолаи алоҳида, ки шумораи зиёди онҳоро танзим кунед. Ва агар шумо ин мақоларо хонда бошед, бешубҳа шумо медонед, ки чаро ба шумо лозим аст. ;)
Мисли ҳамаи мақолаҳои сайт, ин дастур дар асоси таҷрибаи шахсӣ навишта шудааст, "Ман ин корро мекунам," касе дигарашро фарқ мекунад.
Мақолаи мақолаҳо:
- Установка необходимых компонентов 1 Компонентҳои заруриро насб кунед
- Редактирование правил для ip версии 4 2 Тартиб додани қоидаҳо барои нусхаи IP
Пайвастани ҷузъҳои зарурӣ
Ва ҳамин тавр, система аллакай яке аз рӯйхатҳои асбобҳои зарурӣ - iptables дорад. Аммо ин на танҳо кофӣ нест. Шумо ҳамчунин ба филтр ва фишорҳо-мӯҳтавои доимӣ барои қоидаҳои системаҳои оғозёбӣ лозим аст.
# инъикос кардани насб кардани ячейкаҳои xtables-addons-dkms
Дар давоми таъмири доимӣ ду савол дар бораи наҷот додани қоидаҳои ҷорӣ пурсед. Шумо метавонед "Ҳа" -ро ҷавоб диҳед ва баъд дар папкаи / etc / iptables / қоидаҳо / шумо файлҳои заруриро бо қоидаҳои таҳрир карда метавонед.
Сохтани қоидаҳо барои нусхаи IP
Феҳристи дӯстдоштаи /etc/iptables/rules.v4 -ро дар муҳаррири дӯстдоштаи худ кушоед. Шумо сутунҳоро, ки сиёсати пешфарзаро барои занҷирҳо муайян мекунад, мебинед. Дар ҳама арзишҳо он қабул мешавад. Барои зеркашии FORWARD policy policy DROP. Мо ройгон ё компютер нестем, ки ҳаракати нақлиётро дар ҷои дигар кӯтоҳ мекунад. :) Мо дигаронро иваз намекунем.
* филтр : БЕҲТАРИНИ АСОСӢ [0: 0] : ФУРӮШИ ДАВЛАТӢ [0: 0] : БЕҲТАРИН БЕҲТАРИН [0: 0] COMMIT
Ҳамаи қоидаҳои дигар дар пеши хатти COMMIT илова карда мешаванд. Ва пеш аз ҳама, мо қоидае, ки ба трафики маҳаллӣ имкон медиҳад, илова мекунем.
МУНДАРИҶА
Илова бар ин, қоида ба ҳама аллакай таъсиси пайвастҳои фаъол барои протоколҳои ТCП ва UDp имконият медиҳад. Ин барои дурустии шабака зарур аст, зеро бе он, ҷавобҳо ба пайвастҳои берунӣ рад карда мешаванд.
-АЙРАТ -СОЗМОНҲО - МУҲОҶИРАТ, ПЕШГИРИҲОИ ПЕШГИРӢ -p all -j ACCEPT
Акнун шумо бояд илова кардани қоидае, ки ба насб кардани ҷойҳои нави воридотӣ ба хидматҳои муайян иҷозат дода бошед. Ман як сервери веб ва почтаи электронӣ, инчунин ssh.
Аҳамияти муҳим! Ҳамеша қоидаи иҷозатро барои Ssh илова кунед, пас шумо пас аз қоидаҳои истифодашаванда ба сервер дастрасӣ надоред.
Шумо метавонед дар дигар ҷойҳо портҳоро илова кунед, ки бо вергул ҷудо карда шудааст. Сатҳи multipart имкон медиҳад, ки шумо якчанд портҳоро муайян кунед, то ки ҳар як қудрати қариб якхела қоидаҳои якхеларо ба даст оранд. ;)
-Ин-Интерпол - Мониторинги навтарин -pp-tcp -m -mpp -dport 22,25,80,443 -j ACCEPT
Агар шумо танҳо як хидмате дар сервер дошта бошед, ки ба шумо лозим аст, ки як портро кушоед, қоидаҳо чунин хоҳанд шуд:
-ИШКУНАНДА -Метавонед - навтар -pTcp - драйвер 22-j ACCEPT
Шумо инчунин метавонед баъзе портҳои UDP кушоед. Танҳо фарқият аз қоидаҳои дар боло зикршуда ин аст, ки ба ҷои он -p tcp шумо бояд муайян кунед -p udp .
Ва ҳангоме ки шумо қоидаҳои зеринро илова кунед, филтерии параметрӣ бо истифода аз маҷмӯъаи xtables-addon-dkms ба кор мебарад. Дар кӯтоҳ, он барои танзимоти воридшаванда, ягон чизро бозмедорад, аммо нигоҳ доштани алоқаро, ки манбаъи муштарии пайвасткунанда нест, балки сервер нест. Дар саҳифаи "OpenNET" дар бораи қитъаи бештар маълумот кунед. Акнун, барои ҳамаи дигар пайвастҳои воридотӣ қоидаҳо илова кунед.
- АНМУН-ПРЕЗИДЕНТ-МT
Бояд хотиррасон кард, ки дандон танҳо бо TCP кор мекунад. Ба ҳамин монанд, шумо метавонед ба сатҳи IP дар сатҳи мантиқ, ба ҷои қатъи стандартӣ манъ карда шавад. Мутаассифона, он барои udp мувофиқ нест. Аз ин рӯ, мо ҳамаи чизҳои дигари UDP-и воридшударо манъ кардем, ки шумо пештар истисно кардаед.
-Ин INPUT -p udp -j DROP
Ва мо барои icmp мегирем. Дар ин ҷо, ҳамчун навъи icmp, шумо метавонед як рамзи ё номи муқоисаро муайян кунед. Ман кодекси дорам. :)
Мо иҷозат медиҳем, ки ҳангоми вуруд ба як вебсайти дигар аз ҷониби сервер браузери дигарро ҷавоб диҳем.
-Ин INPUT -p icmp -icmp-навъи 0-ACCEPT
Сипас бозиҳои воридотӣ - паёмҳо дар бораи дастрас набудани суроға.
-И INPUT -p icmp -icmp-навъи 3-ACCEPT
Ва пули воридшаванда, агар касе пинҳони моро пинҳон кунад.
-Ин INPUT -p icmp -icmp-type 8-ACCEPT
Инчунин паёме дар бораи ба анҷом расидани бастаҳо.
-Ин INPUT -p icmp -icmp-type 11-j ACCEPT
Ин ҳадди ақалли зарурӣ барои фаъолияти дурусти шабака мебошад. Шумо метавонед кодҳои дигар дошта бошед . Чӣ тавр ҳалли онҳо, шумо аллакай медонед. :)
Акнун мо қоидаҳоро барои паёмҳои icmp хориҷ карда истодаем. Ин қоидаҳо монанданд, вале занҷираи он аллакай даркор аст. Бинобар ин, ин маънои онро надорад, ки онҳо онҳоро тасвир мекунанд.
-И ОПППП -p icmp -icmp-навъи 0-ACCEPT -И ОППППС -p icmp -icmp-навъи 3-ACCEPT -И ОПППП -p icmp -icmp-type 8-ACCEPT -И ОПППП-и icmp -icmp-type 11-j ACCEPT -И ОПППС -p icmp -icmp-type 12 -j ACCEPT
Ғайр аз дувоздаҳум. Он ба фиристодани паёми нодурусти параметр иҷозат медиҳад (хатогӣ дар сарлавҳаи IP ё вариантҳои зарурӣ вуҷуд надорад).
Ҳамаи дигар ICMP-ҳои берунӣ манъ карда шудаанд, то ки сервер иловагии иловагиро вайрон накунад.
-ОЙРПУС -p icmp -j DROP
Ин ҳама аст. Нигоҳ доштани /etc/iptables/rules.v4 файл, қоидаҳоро бо фармони:
катит / сенсор / архив / rules.v4 | iptables-барқарорсозии -c
( 6 рейтинг, миёна: 4,13 аз 5) 
Loading ...