Tag Archives: Mimboloveiptables
Подключение к Интернету
с использованием серверов Ubuntu
Возможностей тонкой настройки межсетевого экрана и прокси-сервера на Linuxкомпьютерах несравнимо больше, чем в Windows.
Классический межсетевой экран Linux — это пакет iptables. Функционал NAT
встроен в этот пакет. Настройка iptables несколько неудобна для обычного пользователя из-за большой функциональности, поэтому в Ubuntu для управления параметрами межсетевого экрана применяется программа ufw, имеющая упрощенный
Обеспечение доступа в Интернет 135
интерфейс настройки и вполне достаточная для защиты конкретного хоста (компьютера). Если же вы настраиваете доступ в Интернет для офиса, то необходимо задействовать возможности iptables, которые также будут описаны в этой главе.
Настройка ufw
После установки системы межсетевой экран в Ubuntu отключен. Включить его
можно командой
sudo ufw enable
Состояние межсетевого экрана (включен или выключен) можно увидеть, выполнив
команду sudo ufw status.
Если вы управляете сервером удаленно, то активизация межсетевого экрана приведет к потере с ним связи. Поэтому необходимо включить межсетевой экран, предварительно создав правило, разрешающее удаленное управление. Если у вас подключение по протоколу SSH, то для включения межсетевого экрана выполните
команду
sudo ufw allow proto tcp from any to any port 22
перед командой sudo ufw enable.
Правильным подходом для системных администраторов является первоначальный
запрет на все подключения с последующим открытием нужных протоколов. Для
этого служит команда выбора правил по умолчанию:
sudo ufw default deny
Правила доступа в ufw создать достаточно легко. Следует указать только нужное
действие (разрешение или запрет: allow/deny) и параметры протокола. Например,
команда sudo ufw allow 53 разрешит доступ к компьютеру по портам 53 (используется при работе DNS). Вместо указания портов можно писать имена служб (система
использует параметры служб, перечисленные в файле /etc/services, просмотрев его,
вы можете уточнить допустимые названия), например, sudo ufw allow smtp.
При необходимости максимально точно указать параметры фильтрации нужно
применять следующий синтаксис:
sudo ufw allow|deny proto <протокол> from <источник> port <порт>
to <назначение> port <порт>
В качестве протоколов указывают либо tcp, либо udp; в качестве источника/назначения можно указывать конкретные IP-адреса, подсети (например,
192.168.0.0/24) или any для любого назначения.
В данной статье показано 22 примера использования iptables
Файрвол в системе linux контролируется программой iptables (для ipv4) и ip6tables (для ipv6). В данной шпаргалке рассмотрены самые распространённые способы использования iptables для тех, кто хочет защитить свою систему от взломщиков или просто разобраться в настройке.
Знак # означает, что команда выполняется от root. Откройте заранее консоль с рутовыми правами — sudo -i в Debian-based системах или su в остальных.
1. Показать статус.
# iptables -L -n -v
Примерный вывод команды для неактивного файрвола:
Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination
В материале показано как с помощью программы fail2ban, можно блокировать попытки перебора паролей
Если Ваш сервер или часть сервисов (например ssh) опубликованы в глобальной сети, то можно гарантировать наличие попыток доступа к нему чужими лицами. Одним из дейсвенных способов защиты является установка программы fail2ban, блокирующей IP-адрес злоумышленника (или бота) после обнаружения нескольких попыток перебора паролей (лобовой атакой).
(далее…)
Раздаем интернет через вторую сетевую карту
Имеем: сетевой адаптер eth0 подключенная к интернету, сетевой адаптер eth1 подключенный к сети с адресом 192.168.0.1 которая в свою очередь подключена к сети с адресами 192.168.0.* в которой нужен интернет.
Для начала включим перенаправление:
echo 1 > /proc/sys/net/ipv4/ip_forward
Чтобы перенаправление автоматически включалось при запуске системы, редактируем конфигурационный файл:
sudo nano /etc/sysctl.conf
добавляем в него строчку:
net.ipv4.ip_forward = 1 (далее…)
0