סקוניל לש iptables לש שאה תמוח לע ןויאר תולאש 13


.בורקה דיתעב ןייארל םייושעש םירחאל םיטלפאטל הרושקה (הנתנ איהש) ןהלש הבושתה תאו וללה תולאשה תא ףתשל התצר איהו םיטלפאטל תיחמומ איה םלוא םיאשונ ןווגמב תולאש הברה הלאשנ איה .ודוה ,הנופב תיטרפ

.לאווראגא הטישינ לש הנורכיז יפ לע םיבתכושמ םתבושתו תולאשה לכ

" .ודוה ,הנופב חוריא תרבחב םייתסהש הדובע יוניש יתשפיח .ןוסחאב .םינש 1- מ רתוי לש ןויסינ יל שי .הז תא יתעמשש זאמ יתוא תוקתרמ UNIX (BSD, Linux) לש תויצאירו UNIX אוה ילש תוחמתהה םוחת .היגולונ

.ךלש ןויארה תא חצפל ךל רוזעי הזש הווקמ .ינורכיז לע ססבתהב םיטלבאטל תורושק ויהש ןהלש הבושתה תאו תולאשה תא קר יתדעית .ןויארה ךלהמב יתלאשנש המ לש ףסואה הנה

הבושת: ב שמתשמ ינא- i

Firewalld ב ןוניס יללכ לש ןורחאה םושייה אוה- RHEL/CentOS 7 (ריכמ אל ינא ילואש תורחא תוצפהב םשוימ תויהל יושע). קשממ תא ףילחה אוה iptables ל רבחתמו netfilter.

הבושת: רובע שמתשמ קשמ

הבושת: iptables ו- fi

הבושת: תא ריכמ ינא ip

.םיכמות םה ןהב תוארשרשהו iptables -ב תושמשמה תואלבטה לש רצק רואית ןת ?iptables -ב תושמשמה תואלבטה םהמ

הבושת: תואלבטב תושמשמ

    .OUTPUT תרשרשו POSTROUTING תרשרש ,PREROUTING תרשרש ןה NAT תלבט ידי לע תוכמתנה תותשרה .וז הלבטב ןנסל אל ץלמומ .וז הלבטב בוש ורבעי אל םרזב תוליבחה ראש ,שוער אוה תוליבח לש ןוליס ךותמ שובח םא

    .POSTROUTING תרשרש ,INPUT תרשרש ,המידק תרשרש ,OUTPUT תרשרש ,PREROUTING תרשרש ןה תוכמתנה תותשרה .הכסמל לגנמ ןחלושב שמתשהל ןתינ אל .ןהלש תורתוכה תאו תונוש תוליבח לש ןכותה תא תונשל ןתינ ותרזע

    .FORWARD תרשרש ,OUTPUT תרשרש ,INPUT תרשרש ןה תוכמתנה תוארשרשה .וז הלבט סיסב לע השענ ןוניסהו לדחמה תרירב תלבטכ תחקלנ ןוניסה תלבט ,םיללכ םירדגומ אל םא .תונמ ןוניסל שמשמ אוה .iptables -ב תשמש

    .OUTPUT Chain -ו PREROUTING Chain -ב ךמות אוה .ןכל םדוק תורוטפ ויהש תוליבח רידגהל םיצור ונא רשאכ הלועפל תסנכנ םלג תלבט :םלג תלבט

    הבושת: ב דעיב ןייצל ם

      .?CentOS -ב iptables תנקתהל שרדנה iptables לש ד"לס קודבת דציכ

      הבושת: ד"לס iptables

      # rpm -qa iptables
      
      iptables-1.4.21-13.el7.x86_64
      

      .ותוא גישהל ידכ ןכ תושעל לוכי התא ,ותוא ןיקתהל ךירצ התא םא

      # yum install iptables-services
      

      הבושת: בצמ תקידבל ipt

      # service iptables status			[On CentOS 6/5]
      # systemctl status iptables			[On CentOS 7]
      

      .עצובת ןלהלש הדוקפהש ןכתיי ,תלעופ אל איה םא

      ---------------- On CentOS 6/5 ---------------- 
      # chkconfig --level 35 iptables on
      # service iptables start
      
      ---------------- On CentOS 7 ---------------- 
      # systemctl enable iptables 
      # systemctl start iptables 
      

      :ומכ ,אל וא ןעטנ iptables -ה לודומ םא קודבל םג םייושע ונא

      # lsmod | grep ip_tables
      

      הבושת: ב םייחכונה םיל

      # iptables -L
      

      אמגודל טלפ

      Chain INPUT (policy ACCEPT)
      target     prot opt source               destination         
      ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
      ACCEPT     icmp --  anywhere             anywhere            
      ACCEPT     all  --  anywhere             anywhere            
      ACCEPT     tcp  --  anywhere             anywhere             state NEW tcp dpt:ssh
      REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited
      
      Chain FORWARD (policy ACCEPT)
      target     prot opt source               destination         
      REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited
      
      Chain OUTPUT (policy ACCEPT)
      target     prot opt source               destination
      

      הבושת: תרשרש ףוטשל יד

       
      # iptables --flush OUTPUT
      

      .iptables -ה יללכ לכ תא ףוטשל

      # iptables --flush
      

      הבושת: הטמל הדוקפה תל

      # iptables -A INPUT -s 192.168.0.7 -j ACCEPT 
      

      :רוקמכ הנשמ תשר תכיסמ וא ליגר יוטנ וק לולכל םייושע ונא

      # iptables -A INPUT -s 192.168.0.7/24 -j ACCEPT 
      # iptables -A INPUT -s 192.168.0.7/255.255.255.0 -j ACCEPT
      

      הבושת: ש הווקתב- ssh

      .(22 האיצי) ssh תורישל tcp תונמ לבקל ידכ

      # iptables -A INPUT -s -p tcp --dport 22 -j ACCEPT 
      

      .(22 האיצי) ssh תורישל tcp תוליבח תייחדל

      # iptables -A INPUT -s -p tcp --dport 22 -j REJECT
      

      .(22 האיצי) ssh תורישל tcp תונמ DENY -ל

       
      # iptables -A INPUT -s -p tcp --dport 22 -j DENY
      

      .(22 האיצי) ssh תורישל tcp תונמ DROP -ל

       
      # iptables -A INPUT -s -p tcp --dport 22 -j DROP
      

      הבושת: םע 'טרופ יטלומ' תורשפאה

      # iptables -A INPUT -s 192.168.0.6 -p tcp -m multiport --dport 21,22,23,80 -j DROP
      

      .ןלהלש הדוקפה תועצמאב םיבותכה םיללכה תא קודבל ןתינ

      # iptables -L
      
      Chain INPUT (policy ACCEPT)
      target     prot opt source               destination         
      ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
      ACCEPT     icmp --  anywhere             anywhere            
      ACCEPT     all  --  anywhere             anywhere            
      ACCEPT     tcp  --  anywhere             anywhere             state NEW tcp dpt:ssh
      REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited
      DROP       tcp  --  192.168.0.6          anywhere             multiport dports ssh,telnet,http,webcache
      
      Chain FORWARD (policy ACCEPT)
      target     prot opt source               destination         
      REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited
      
      Chain OUTPUT (policy ACCEPT)
      target     prot opt source               destination
      

      .יתוא לואשל לוכי התא יהשלכ הלאש ךל שי םא .HR -ל ךמש לע ץילמא ינא .ץימחהל הצרנ אלש ךרע רקי דבוע התא .לואשל יתיצרש המ לכ הז :ןייארמ

      .תונמדזהה תא יתלביקו חוציפל השק היה אל שונא יבאשמ בבס לע רבדל אלש .הרבחב םירחאה םיחתפה המו רחבנ םא םהב קוסעאש םיטקיורפה לע לואשל ןמזה לכ ןאכמו החישה תא גורהל יתיצר אל דמעומכ

      .ילש ןויארה תא דעתל ןמזה תא ושידקהש לע (רבכמ הז רבח ינאש) יברו קשיבאל תודוהל ינוצרב ןכ ומכ

      .אבה ספוטה תועצמאב ךלש ןויארה תיווח תא שיגהל לכותש וא [ל"אודה תועצמאב ןגומ] לא ךלש תובושתהו תולאשה תא חלש זאו ?םלועה יבחרב Tecmint יארוק ינוילימל ךלש ןויארה תיווח תא קולחל הצור תייהו הזכ ן

      .יתישעש הממ רתוי הנוכנ הרוצב הלאש לע תונעל לוכי יתייה םא םג יל רפס .רשק לע רומש !הדות