Dedikuoti serveriai, VDS hostingas, debesų kompiuterija
Interneto vizija
Karjera El. paštas

Grįžti   Dedikuoti.lt forumas > Bendruomenės diskusijos > Pamokos > Serverių saugumas

Atsakyti
 
Temos įrankiai Ieškoti šioje temoje
  #1  
Senas 2018-02-12, 15:59
iv_vytenisg iv_vytenisg neprisijungęs
Super Moderator
 
Prisiregistravo: 2014 11
Žinutės: 50
Pagrindinis Iptables ugniasienės konfigūravimas



Iptables tai tinklo paketų filtravimo mechanizmas. Jį galite naudoti tiek įeinamųjų, tiek išeinamųjų sujungimų taisyklių formavimui. Iptables gali būti naudojamas blokuoti prievadus, IP adresus ir pan.

Šioje pamokoje apžvelgsime pagrindines Iptables panaudojimo galimybės.


1. Visų taisyklių išvalymas:

Prieš pradedant analizuoti taisyklių nustatymo galimybes norime informuoti, kad klientų sistemoje suteikiame galimybę vieno mygtuko paspaudimu išvalyti visas galiojančias taisykles. Tai galite atlikti prisijungė prie klientų sistemos adresu:

https://klientams.iv.lt/

ir pasirinkus konkrečia serverio nuomos paslaugą, ties skiltimi valdymas matysite mygtuką "iptables". Jį pasirinkus bus išvalomos visos naudojamos ugniasienės taisyklės.


2. Pagrindiniai iptables parametrai:

INPUT - komanda skirta blokuoti visus paketus, kurie yra nukreipti į Jūsų serverį.
OUTPUT - blokuojami visi paketai keliaujantys iš Jūsų serverio.
FORWARD - Visi paketai, tiek įeinantys, tiek išeinantys. Šis parametras naudojamas tokiu atveju kai naudojate serverį, kaip maršrutizatorių.


3. Taisyklių naudojimas:

1. Prieš pradedant nustatyti konkrečiai iptables taisykles siūlytume išvalyti egzistuojančias. Tai galite atlikti klientų sistemoje arba serverio terminale paleidus komandą:

Kodas:
iptables -F
Jeigu norite pašalinti tik konkretaus parametro taisykles, galite naudoti:

Kodas:
sudo iptables -F INPUT
Šiuo atveju bus pašalinamos visos INPUT parametro taisyklės. Tam, kad patikrintumėte konkrečias taisykles, galite naudoti šias komandas:

Kodas:
iptables -L
iptables -S
Taip pat galite ir nurodyti konkretų parametrą, kad būtų išfiltruojamos konkretaus parametro taisyklės, kaip pavyzdžiui:

Kodas:
iptables -L INPUT
2. Toliau apžvelgsime blokavimo nustatymą. Komandų eiliškumas čia yra labai svarbus, iš pradžių leidžiame prisijungti sau, o tik tada draudžiame prisijungimą visiems kitiems. Priešingu atveju neprisijungsite prie serverio.SSH prieigos leidimas tik naudojant konkretų IP adresą:

Kodas:
iptables -A INPUT -i venet0 -p tcp -s IP_adresas --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o venet0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
Pirmasis parametras "-I INPUT" nurodo, kad bus sukurta nauja taisyklė įeinamiesiems sujungimams, "-s" nurodo IP adresą, kurį norėsite blokuoti, "-j" nusako atliekamą veiksmą, kuomet įvykis atitiks sąlygą.

Įvykdžius šias komandas bus leidžiamas prisijungimas tik naudojant konkretų IP naudojant SSH prievadą.

3. Tam, kad galėtumėte užblokuoti konkretaus IP adreso prisijungimą, galite naudoti šias komandas:

Kodas:
iptables -A INPUT -s IP_adresas -j DROP
iptables -A OUTPUT -s IP_adresas -j DROP
Taip pat galite naudoti komandą "REJECT", kurios pagalba bus pateikiamas atsakymas "connection refused", tačiau nebus nurodoma, kad IP adresas blokuojamas. Naudojama komanda:

Kodas:
iptables -A INPUT -s IP_adresas -j REJECT
4. Prievadų blokavimui galite naudoti šias komandas:

Kodas:
iptables -A INPUT -p tcp --dport 25 -j DROP
iptables -I OUTPUT -p tcp --dport 25 -j DROP
Naudojami parametrai "-p tcp" ir "--dport 80" nurodo, kad tinklo paketai bus blokuojami TCP protokolo pagrindu prie 80 prievado, kas dažniausiai yra Web serverio tarnyba. Tokiu pačiu principu galite blokuoti prieigą prie pašto serverio ar FTP, nurodydami atitinkamą prievado numerį.

5. Sekančiame pavyzdyje pateikiame komandas, kaip blokuojamas HTTP(prievadas 80) ir HTTPS(prievadas 443) susijungimas:

Kodas:
iptables -A INPUT -i venet0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o venet0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT

iptables -A INPUT -i venet0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o venet0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT
6. Toliau pateikiame pavyzdį, kaip reikėtų užblokuoti išorinių naudotojų bandymą paleisti ping komandą į serverį:

Kodas:
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j DROP
Bei kaip tokią veiklą leisti:

Kodas:
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
7. Leidimas prisijungti prie MySQL naudojant konkretų IP adresą:

Kodas:
iptables -A INPUT -i venet0 -p tcp -s IP_adresas --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o vent0 -p tcp --sport 3306 -m state --state ESTABLISHED -j ACCEPT
8. POP3 ir IMAP srauto blokavimas:

Kodas:
iptables -A INPUT -i venet0 -p tcp --dport 143 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o venet0 -p tcp --sport 143 -m state --state ESTABLISHED -j ACCEPT

iptables -A INPUT -i venet0 -p tcp --dport 110 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o venet0 -p tcp --sport 110 -m state --state ESTABLISHED -j ACCEPT
Beto, tai galima būtų naudoti nurodant tik galimybę jungti saugiu susijungimu (SSL):

Kodas:
iptables -A INPUT -i venet0 -p tcp --dport 993 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o venet0 -p tcp --sport 993 -m state --state ESTABLISHED -j ACCEPT

iptables -A INPUT -i venet0 -p tcp --dport 995 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o venet0 -p tcp --sport 995 -m state --state ESTABLISHED -j ACCEPT
9. Taip pat galite apriboti DDoS atakas ribojant praleidžiamų paketų srautą:

Kodas:
iptables -A INPUT -p tcp --dport 80 -m limit --limit 10/minute --limit-burst 100 -j ACCEPT
Šioje komandoje naudojami nustatymai:

-m limit: Naudojamas iptables limitas.
–limit 25/minute: Apribojimas leidžiantis iki 10 susijungimų per minutę.
–limit-burst 100: Ši reikšmė nurodo, kiek limitavimų per minutė gali būti naudojami poto kai bus pasiekiamas bendras susijungimų limitas.

10. Reikėtų prisiminti, kad po kiekvieno serverio perkrovimo į IPTABLES įrašyta informacija dingsta, todėl ją būtina išsaugoti taip, kad ji išliktų perkrovus serverį. Tai galite atlikti šios komandos pagalba:

Kodas:
service iptables save
Prisegti paveikslėliai
Paspauskite paveiksliuką, jei norite padidinti

Pavadinimas:	iptables.jpg‎
Peržiūros:	122
Dydis:	21.1 KB
ID:	329  

Paskutinį kartą redagavo iv_vytenisg : 2018-02-20 16:04
Atsakyti su citata
Atsakyti

Temos įrankiai Ieškoti šioje temoje
Ieškoti šioje temoje:

Detali paieška

Žinučių rašymo taisyklės
Jūs negalite kurti naujų temų
Jūs negalite rašyti žinučių
Jūs negalite įkelti failų
Jūs negalite redaguoti savo įrašų

BB kodas yra Įjungtas
Šypsenos yra Įjungtas
[IMG] kodas yra Įjungtas
HTML kodas yra Išjungtas

Greita navigacija


Visi laikai yra GMT +3. Šiuo metu yra 16:32.


Powered by vBulletin®
Copyright ©2000 - 2018, vBulletin Solutions, Inc.