סקוניל לש iptables לש שאה תמוח לע ןויאר תולאש 13
.בורקה דיתעב ןייארל םייושעש םירחאל םיטלפאטל הרושקה (הנתנ איהש) ןהלש הבושתה תאו וללה תולאשה תא ףתשל התצר איהו םיטלפאטל תיחמומ איה םלוא םיאשונ ןווגמב תולאש הברה הלאשנ איה .ודוה ,הנופב תיטרפ
.לאווראגא הטישינ לש הנורכיז יפ לע םיבתכושמ םתבושתו תולאשה לכ
" .ודוה ,הנופב חוריא תרבחב םייתסהש הדובע יוניש יתשפיח .ןוסחאב .םינש 1- מ רתוי לש ןויסינ יל שי .הז תא יתעמשש זאמ יתוא תוקתרמ UNIX (BSD, Linux) לש תויצאירו UNIX אוה ילש תוחמתהה םוחת .היגולונ
.ךלש ןויארה תא חצפל ךל רוזעי הזש הווקמ .ינורכיז לע ססבתהב םיטלבאטל תורושק ויהש ןהלש הבושתה תאו תולאשה תא קר יתדעית .ןויארה ךלהמב יתלאשנש המ לש ףסואה הנה
הבושת: ב שמתשמ ינא- i
Firewalld ב ןוניס יללכ לש ןורחאה םושייה אוה- RHEL/CentOS 7 (ריכמ אל ינא ילואש תורחא תוצפהב םשוימ תויהל יושע). קשממ תא ףילחה אוה iptables ל רבחתמו netfilter.
הבושת: רובע שמתשמ קשמ
הבושת: iptables ו- fi
הבושת: תא ריכמ ינא ip
.םיכמות םה ןהב תוארשרשהו iptables -ב תושמשמה תואלבטה לש רצק רואית ןת ?iptables -ב תושמשמה תואלבטה םהמ
הבושת: תואלבטב תושמשמ
.OUTPUT תרשרשו POSTROUTING תרשרש ,PREROUTING תרשרש ןה NAT תלבט ידי לע תוכמתנה תותשרה .וז הלבטב ןנסל אל ץלמומ .וז הלבטב בוש ורבעי אל םרזב תוליבחה ראש ,שוער אוה תוליבח לש ןוליס ךותמ שובח םא
.POSTROUTING תרשרש ,INPUT תרשרש ,המידק תרשרש ,OUTPUT תרשרש ,PREROUTING תרשרש ןה תוכמתנה תותשרה .הכסמל לגנמ ןחלושב שמתשהל ןתינ אל .ןהלש תורתוכה תאו תונוש תוליבח לש ןכותה תא תונשל ןתינ ותרזע
.FORWARD תרשרש ,OUTPUT תרשרש ,INPUT תרשרש ןה תוכמתנה תוארשרשה .וז הלבט סיסב לע השענ ןוניסהו לדחמה תרירב תלבטכ תחקלנ ןוניסה תלבט ,םיללכ םירדגומ אל םא .תונמ ןוניסל שמשמ אוה .iptables -ב תשמש
.OUTPUT Chain -ו PREROUTING Chain -ב ךמות אוה .ןכל םדוק תורוטפ ויהש תוליבח רידגהל םיצור ונא רשאכ הלועפל תסנכנ םלג תלבט :םלג תלבט
הבושת: ב דעיב ןייצל ם
.?CentOS -ב iptables תנקתהל שרדנה iptables לש ד"לס קודבת דציכ
הבושת: ד"לס iptables
# rpm -qa iptables iptables-1.4.21-13.el7.x86_64
.ותוא גישהל ידכ ןכ תושעל לוכי התא ,ותוא ןיקתהל ךירצ התא םא
# yum install iptables-services
הבושת: בצמ תקידבל ipt
# service iptables status [On CentOS 6/5] # systemctl status iptables [On CentOS 7]
.עצובת ןלהלש הדוקפהש ןכתיי ,תלעופ אל איה םא
---------------- On CentOS 6/5 ---------------- # chkconfig --level 35 iptables on # service iptables start ---------------- On CentOS 7 ---------------- # systemctl enable iptables # systemctl start iptables
:ומכ ,אל וא ןעטנ iptables -ה לודומ םא קודבל םג םייושע ונא
# lsmod | grep ip_tables
הבושת: ב םייחכונה םיל
# iptables -L
אמגודל טלפ
Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT icmp -- anywhere anywhere ACCEPT all -- anywhere anywhere ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh REJECT all -- anywhere anywhere reject-with icmp-host-prohibited Chain FORWARD (policy ACCEPT) target prot opt source destination REJECT all -- anywhere anywhere reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT) target prot opt source destination
הבושת: תרשרש ףוטשל יד
# iptables --flush OUTPUT
.iptables -ה יללכ לכ תא ףוטשל
# iptables --flush
הבושת: הטמל הדוקפה תל
# iptables -A INPUT -s 192.168.0.7 -j ACCEPT
:רוקמכ הנשמ תשר תכיסמ וא ליגר יוטנ וק לולכל םייושע ונא
# iptables -A INPUT -s 192.168.0.7/24 -j ACCEPT # iptables -A INPUT -s 192.168.0.7/255.255.255.0 -j ACCEPT
הבושת: ש הווקתב- ssh
.(22 האיצי) ssh תורישל tcp תונמ לבקל ידכ
# iptables -A INPUT -s -p tcp --dport 22 -j ACCEPT
.(22 האיצי) ssh תורישל tcp תוליבח תייחדל
# iptables -A INPUT -s -p tcp --dport 22 -j REJECT
.(22 האיצי) ssh תורישל tcp תונמ DENY -ל
# iptables -A INPUT -s -p tcp --dport 22 -j DENY
.(22 האיצי) ssh תורישל tcp תונמ DROP -ל
# iptables -A INPUT -s -p tcp --dport 22 -j DROP
הבושת: םע 'טרופ יטלומ' תורשפאה
# iptables -A INPUT -s 192.168.0.6 -p tcp -m multiport --dport 21,22,23,80 -j DROP
.ןלהלש הדוקפה תועצמאב םיבותכה םיללכה תא קודבל ןתינ
# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT icmp -- anywhere anywhere ACCEPT all -- anywhere anywhere ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh REJECT all -- anywhere anywhere reject-with icmp-host-prohibited DROP tcp -- 192.168.0.6 anywhere multiport dports ssh,telnet,http,webcache Chain FORWARD (policy ACCEPT) target prot opt source destination REJECT all -- anywhere anywhere reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT) target prot opt source destination
.יתוא לואשל לוכי התא יהשלכ הלאש ךל שי םא .HR -ל ךמש לע ץילמא ינא .ץימחהל הצרנ אלש ךרע רקי דבוע התא .לואשל יתיצרש המ לכ הז :ןייארמ
.תונמדזהה תא יתלביקו חוציפל השק היה אל שונא יבאשמ בבס לע רבדל אלש .הרבחב םירחאה םיחתפה המו רחבנ םא םהב קוסעאש םיטקיורפה לע לואשל ןמזה לכ ןאכמו החישה תא גורהל יתיצר אל דמעומכ
.ילש ןויארה תא דעתל ןמזה תא ושידקהש לע (רבכמ הז רבח ינאש) יברו קשיבאל תודוהל ינוצרב ןכ ומכ
.אבה ספוטה תועצמאב ךלש ןויארה תיווח תא שיגהל לכותש וא [ל"אודה תועצמאב ןגומ] לא ךלש תובושתהו תולאשה תא חלש זאו ?םלועה יבחרב Tecmint יארוק ינוילימל ךלש ןויארה תיווח תא קולחל הצור תייהו הזכ ן
.יתישעש הממ רתוי הנוכנ הרוצב הלאש לע תונעל לוכי יתייה םא םג יל רפס .רשק לע רומש !הדות