8 קלח - סקונילב םיתורישל קוחרמ השיג רשפאל ידכ Iptables לש שא תמוח ןיקתהל דציכ

סקוניל ןרק לש הכמסהה תינכות םע תורכיה

:השעמל םינווכתמ ונא "להנל"\ידי לע .תשרהמ תואצויו תוסנכנ תוליבח לוהינל ןונגנמ :שא תמוח הז המ לש יסיסב רואית ונתנש b> LFCE ( Linux Foundation Certified Engineer )> וז הרדס לש I

    .שארמ םיעובק םינוירטירק לע ססבתהב

    .שא תמוחל שמשמה ירוקמ הביל לודומ אוהש ,netfilter -ל תיזח ,iptables םע שאה תמוח תא רידגהל דציכו יסיסב תונמ ןוניס םשייל דציכ ןודנ הז רמאמב

    .Linux -ב שא תמוח לש םייפיצפס שומיש ירקמ המכ רוקחנ רשאכ וז הרדס לש 10 קלח ב אשונה תא שדחמ ןחבנ ,תאז םע .הז אשונב רתוי קימעמ רקחמל אצומ תדוקנכ אלא ,ויתודוא תעדל שיש המ לכ תנבהל ףי

    .הנממ תאצל וא תמיוסמ הנידמל סנכיהל יאשר ,אל וא ,יאשר אוה (תואמגוד המכ ריכזהל םא) ה/ואצומ ץרא וא ,םדאה לש ןוכרדה ףקות ומכ ,םיאנת רפסמ לע ססבתהב .24/7 טעמכ םיעסונו םיאב םיעסונ יסוטמ ובש ימ

    .סכמ יתוריש רובעל םיכירצ םה רשאכ לשמל ,ךרוצה תדימב רחא םוקמל הפועתה הדש לש דחא םוקממ רובעל םישנאל תורוהל םילוכי הפועת הדש יניצק ,ליבקמב

    :ךשמהב םיאבה םיסחיה תא רוכז קר .הז ךירדמ ראש ךלהמב הליעומ הפועתה הדשב היגולנאה תא אוצמל םייושע ונא

      Iptables - תודוסיה

      .ןדי לע וניוצש םינוירטירקה תא תמאות הליבח רשאכ טוקנל שי תולועפ וליא תורידגמ הלא תותשר םיטפשמ ב וא , תוארשרש ב םיצבוקמה םיללכ סיסב לע תוליבח םע תושעל המ " טילחמ "

      :הליבח םע תושעל המ הטלחה לולכת iptables ידי לע הטקננש הנושארה הלועפה

        :הלש לדחמה תרירב תוארשרש שולש םע תונמ ןוניס םושייל שמשמ איהש וזו רתויב העודיה איה תננסמה הלבט ה רשאכ ,תואלבטב תונגרואמ הלא תותשרש ןוויכמ הז , iptables הזה ילכה הנוכמ עודמ

        1. תשר INPUT תוימוקמ תוינכותל תודעוימה ,תשרל תועיגמה תוליבחב תלפטמ.

        2. ה תרשרש OUTPUT ץוח יפלכ תוחלשנ רשא ,תימוקמה תשרב ןרוקמש תונמ חותינל תשמשמ.

        3. ה תרשרש FORWARD (בתנ לש הרקמב ומכ) רחא דעיל ריבעהל שיש תוליבחה תא תדבעמ.

        :האבה הדוקפה תלעפה ידי לע לדחמה תרירב תוינידמ תאו תרשרש לכ רובע ורצונש םיללכה תא גיצהל לכות .תרשרשב םיללכה לכ תא תומאות ןניא תונמ רשאכ לדחמ תרירבכ תושעל ךירצ המ הביתכמה ,לדחמ תרירב תוינידמ

        # iptables -L

        :ןמקלדכ איה הנימזה תוינידמה

          .ןורתיפה לכ- תימעפ דח המאתה ןיא יכ בל ומיש - ליעל רבסומכ השיג לכ לש תונורסחה ו תונורתי ה תא לוקשל םכילע ,ועימטת תוינידמ וזיא טילחהל םכאובב

          :אבה ןפואב iptables הדוקפה תא לעפה ,שאה תמוחל ללכ ףיסוהל ידכ

          # iptables -A chain_name criteria -j target

          ,הפיא

            [--protocol | -p] protocol: specifies the protocol involved in a rule.
[--source-port | -sport] port:[port]: defines the port (or range of ports) where the packet originated.
[--destination-port | -dport] port:[port]: defines the port (or range of ports) to which the packet is destined.
[--source | -s] address[/mask]: represents the source address or network/mask.
[--destination | -d] address[/mask]: represents the destination address or network/mask.
[--state] state (preceded by -m state): manage packets depending on whether they are part of a state connection, where state can be NEW, ESTABLISHED, RELATED, or INVALID.
[--in-interface | -i] interface: specifies the input interface of the packet.
[--out-interface | -o] interface: the output interface.
[--jump | -j] target: what to do when the packet matches the rule.

            :תונושארה יתשל האבה הקידבה תביבסב שומיש ךות תויסאלק תואמגוד שולשב הלא לכ תא קיבדנ ואוב

            Firewall: Debian Wheezy 7.5 
Hostname: dev2.gabrielcanepa.com
IP Address: 192.168.0.15

            Source: CentOS 7 
Hostname: dev1.gabrielcanepa.com
IP Address: 192.168.0.17

            הנורחאה אמגודל הזו

            NFSv4 server and firewall: Debian Wheezy 7.5 
Hostname: debian
IP Address: 192.168.0.10

            Source: Debian Wheezy 7.5 
Hostname: dev2.gabrielcanepa.com
IP Address: 192.168.0.15

            .טקשב וכלשוי icmp תונמ ,רמולכ .ונלש שאה תמוחל םיגניפ תנזהל DROP תוינידמ הליחת רידגנ

            # ping -c 3 192.168.0.15

            # iptables -A INPUT --protocol icmp --in-interface eth0 -j DROP

            :הז שדח ללכ ידי לע וקדביי ונלש תונמהש אדוול ידכ INPUT תרשרשמ םיללכה לכ תא ףוטשנ , החד קלחה םע ךישמתש ינפל

            # iptables -F INPUT
# iptables -A INPUT --protocol icmp --in-interface eth0 -j REJECT

            # ping -c 3 192.168.0.15

            :תאצוי העונתב םילפטמ ונא רשאכ OUTPUT תשרב קוסענ ונא

            # iptables -A OUTPUT --protocol tcp --destination-port 22 --out-interface eth0 --jump REJECT

            :הרובעתה גוס לכל 111 ו 2049 תואיציה תא רוגסל ידכ NFSv שאה תמוח/תרשב תואבה תודוקפה תא לעפה

            # iptables -F
# iptables -A INPUT -i eth0 -s 0/0 -p tcp --dport 2049 -j REJECT
# iptables -A INPUT -i eth0 -s 0/0 -p tcp --dport 111 -j REJECT

            .הרוק המ הארנו הלאה תואיציה תא חתפנ ואוב וישכע

            # iptables -A INPUT -i eth0 -s 0/0 -p tcp --dport 111 -j ACCEPT
# iptables -A INPUT -i eth0 -s 0/0 -p tcp --dport 2049 -j ACCEPT

            .העונתה תחיתפ רחאל NFSv4 חתנ תא תולעל ונחלצה ,תוארל לוכי התאש יפכ

            .(תולודג תויתואב) -I גתמב שמתשהל ונילע ,שארמ רדגומ םוקמב םוקמב םתוא סינכהל הצרנ םא . OUTPUT INPUT תותשרל םיללכ ףיסוהל דציכ וניארה תומדוקה תואמגודב

            .ךרוצה יפל תרשרשה תמישרב הטמל וא הלעמל םיקוח זיזהל ךרוצב ךמצע תא אוצמל לולע התא ,וז הביסמ . ACCEPT וא DROP תוינידמ תמאות רשאכ (תצפוק וא) תרצענ הכרעהה יכו ,הז רחא הזב וכרעו

            :תאז םיגדהל ידכ ךכב המ לש המגודב שמתשנ

            ,אבה ללכה תא רידגנ ואוב

            # iptables -I INPUT 2 -p tcp --dport 80 -j ACCEPT

            (3 # -כ 2 םדוקה תא ריבעמ ךכבו) INPUT תרשרשב (2 בצמב

            . 2049 האיצי תקידב ינפל 80 למנל תינפומ איה םא קדבת העונתה ,הלעמלש הנקתהה תועצמאב

            :( -R גתמ תועצמאב) החד ל םירתונה םיללכה לש דעיה תא תונשלו ללכ קוחמל לוכי התא ,ןיפולחל

            # iptables -D INPUT 1
# iptables -nL -v --line-numbers
# iptables -R INPUT 2 -i eth0 -s 0/0 -p tcp --dport 2049 -j REJECT
# iptables -R INPUT 1 -p tcp --dport 80 -j REJECT

            .(ךלש הצפהל ןימז ש וז וא םכתריחב יפ לע תפדעומה הטישב) לוחתאה תעב תיטמוטוא םתוא רזחשל זאו ץבוקב םתוא רומשל וכרטצת ,םיעובק ויהי שאה תמוח יללכש ידכש רוכזל םכילע היהי ,ביבח ןורחא

            :שא תמוח יללכ תרימש

            # iptables-save > /etc/iptables/rules.v4		[On Ubuntu]
# iptables-save > /etc/sysconfig/iptables		[On CentOS / OpenSUSE]

            :םיללכ רוזחש

            # iptables-restore < /etc/iptables/rules.v4		[On Ubuntu]
# iptables-restore < /etc/sysconfig/iptables		[On CentOS / OpenSUSE]

            .ליעל גצומש יפכ לדחמה תרירב םוקמב iptables.dump םשב המד ץבוק תועצמאב (דיב שא תמוח יללכ רוזחשו הרימש) המוד ךילה תוארל םילוכי ונא ןאכ

            # iptables-save > iptables.dump

            :םייפגמ ילעבל וללה םייונישה תא ךופהל ידכ

            וטנובוא : הליבחה תא ןקתה iptables-persistent ץבוקב ורמשנש םיללכה תא ןעטתש /etc/iptables/rules.v4 .

            # apt-get install iptables-persistent

            CentOS : ץבוקל תואבה תורושה יתש תא ףסוה /etc/sysconfig/iptables-config .

            IPTABLES_SAVE_ON_STOP="yes"
IPTABLES_SAVE_ON_RESTART="yes"

            OpenSUSE : ב (םיקיספב תודרפומ) האלה ןכו תובותכ ,םילוקוטורפ ,תורתומ תואיצי םושר- /etc/sysconfig/SuSEfirewall2 .

            .תודבכב ביגמש ,ומצע ץבוקב ןייע ףסונ עדימ תלבקל

            םוכיס

            .העונת וא תסנכנ הרובעת תיבשהלו רשפאל דציכ שיחמהל הרטמה תא תותרשמ ,iptables -ה תוקירש ינומעפ לכ תא תוסכמ ןניאש תורמל ,הז רמאמב תואבומה תואמגודה

            .וז LFCE תרדסמ 10 קלח ב רתוי םייפיצפס םימושיי םע הזה אשונה תא שדחמ ןחבנש ורכז ,שאה תמוח יבבוחש םכמ ולאל

            .תורעה וא תולאש ךל שי םא יתוא עדייל ססהת לא

כל הזכויות שמורות. © Linux-Console.net • 2019-2024