Zapora sieciowa z iptables
W Internecie możesz się natknąć na wiele artykułów, które drobiazgowo referują temat firewall. Poniższy tutorial zaprezentuje dla odmiany szybki sposób, dzięki któremu sprawnie ustawisz prostego firewalla. Jak wiadomo, celem zapory jest ochrona przed różnorodnymi atakami z sieci, a co za tym idzie, zabezpieczenie dostępu do Twoich usług.
Bazową konfigurację firewalla zademonstrujemy w oparciu o program iptables, który współdziała z systemem operacyjnym Linux. Mamy nadzieję, że dzięki tej publikacji nabierzesz orientacji w funkcjonowaniu filtra pakietów, dokonującego selekcji danych wejściowych. Później, jako administrator systemu będziesz mógł formować kolejne łańcuchy reguł, dostrojone do Twoich wymagań względem bezpieczeństwa.
Środowisko pracy:
**
OS: Slackware 10.2
Program dla dystrybucji Linuksowych: iptables
**
Instrukcja step by step
01 Ustaw pakiety przychodzące, przeznaczone dla lokalnej maszyny
Żeby ochronić serwer przed nieuprawnionym dostępem do usług, zabezpieczyć dane oraz zachować ich poufność wystarczy, że w pierwszej kolejności ustawisz firewall na łańcuchu INPUT.
02 Wykonaj czyszczenie reguł z łańcucha
Wprowadź poniższą komendę, aby zdjąć wszystkie łańcuchy:
iptables -F
03 Ureguluj ruch przychodzący
Normalizację ruchu przychodzącego osiągniesz za pomocą następujących parametrów:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
04 Skonfiguruj port 21 (ftp) wskazując pożądane IP
Teraz możesz otworzyć port 21, aby go udostępnić dla wybranego numeru IP:
iptables -A INPUT -s 83.29.70.64 -p tcp --destination-port 21 -j ACCEPT
05 Udostępnij port 80 (http) publicznie
Zainicjuj otwarcie portu 80 dla wszystkich użytkowników sieci:
iptables -A INPUT -p tcp --destination-port 80 -j ACCEPT
06 Zablokuj pozostałe porty TCP / UDP
Na koniec zamknij wszystkie pozostałe porty TCP i UDP:
iptables -A INPUT -p tcp -j REJECT iptables -A INPUT -p udp -j REJECT
Test stanu Firewalla
Finalnie możesz jeszcze prześledzić rezultaty pracy nad zaporą. Wszystkie stworzone dotychczas reguły wylistujesz posługując się instrukcją:
- iptables -L
W ten oto łatwy sposób stworzyłeś praktyczne i proste zabezpieczenie firewall, które chroni zasoby Twojego serwera za pomocą kontroli dostępu.
Objaśnienia
- INPUT — wejście
- -A — dodanie reguły
- -F — wyczyszczenie reguł
- -j — odnośnik akcji
- -p — protokół
- -s — adres źródłowy
- --destination-port — docelowy port
Przykładowo niżej przedstawiona reguła daje efekt otwarcia portu 21 dla adresu IP 83.29.70.64 oraz protokołu TCP. Analogicznie możesz budować tysiące podobnych reguł, dopasowując ich łańcuchy adekwatnie do własnych potrzeb.
iptables -A INPUT -s 83.29.70.64 -p tcp --destination-port 21 -j ACCEPT
