So konfigurieren Sie die Iptables-Firewall für die Linux-Sicherheit

administrator Leave a Comment

Obwohl Linux dank seiner Funktionen eines der zuverlässigsten und sichersten Betriebssysteme ist, wird es immer eine Art von Sicherheitslücke geben, entweder auf dem System selbst oder unbeabsichtigt durch den Benutzer. Um die Sicherheit von Linux zu erhöhen, verfügen wir über mehrere Tools zum Schutz von Diensten, Prozessen, Profilen oder Dateien. Heute konzentrieren wir uns auf ein spezielles Tool namens Iptables.

Was ist Iptables?
Iptables ist ein erweitertes Firewall- Tool, das in den Linux-Kernel integriert ist, der Teil eines Projekts namens netfilter ist.

Dank Iptables können wir alle eingehenden und ausgehenden Verbindungen des Servers genau und direkt verwalten. Iptables wurde für die IPv4-Adressierung entwickelt, während für IPv6 IP6-Tabellen zur Verfügung stehen.

1. Struktur von Iptables unter Linux

Die Struktur, die wir in Iptables finden, ist die folgende:

Raw
Es ist dafür verantwortlich, die Pakete vor allen anderen vorhandenen Tabellen zu filtern

Filter
Dies ist die Standardtabelle der Anwendung

Nat
Es wird für die Übersetzung von Netzwerkadressen verwendet

Zerfleischen
Es wird für die Änderung spezialisierter Netzwerkpakete verwendet

Sicherheit
Es kann für Netzwerkverbindungsregeln implementiert werden. Obligatorische Zugriffssteuerung

2. Aufbau des Befehls in Iptables unter Linux

In Iptables ist jede Regel ein Befehl, der angibt, wie der Verkehr der Netzwerkpakete behandelt werden soll.
Wir können die folgende Struktur verwenden: 

 -A EINGABE -i eth0 -p tcp -m Status - EINGESTELLT, VERWANDT --sport 80 -j AKZEPTIEREN
Die verwendeten Parameter sind:
  • -A: Gibt an, dass die Regeln zu Iptables hinzugefügt werden
  • -i: Gibt die Schnittstelle an, auf die die Regel angewendet wird
  • -p: Bezieht sich auf das Protokoll, für das die Regel gilt
  • -m: Weist darauf hin, dass eine Bedingung erfüllt sein muss, um die Regel anzuwenden
  • –state: Ermöglicht die Annahme neuer Verbindungen
  • –sport: Zeigt den Quellport an
  • -j: (Sprung) gibt an, dass alle Daten, die die angegebenen Bedingungen erfüllen, akzeptiert werden können.
See also  So prüfen Sie, ob eine E-Mail richtig oder falsch ist

3. Erstellen von Regeln mit Iptables unter Linux

Obwohl wir die Regeln manuell hinzufügen können, ist es viel praktischer, eine Regeldatei zu erstellen und diese anschließend zu importieren. In diesem Fall erstellen wir die Datei im Pfad / tmp / iptables-ip4 und können einen Editor für die jeweilige Einstellung verwenden: 

 sudo nano / tmp / iptables-ip4

Die Syntax lautet wie folgt: 

 * Filter # Regeln zum Hinzufügen COMMIT

Nun erstellen wir die folgenden Regeln in dieser Datei:

Loopback = Ist die externe Schnittstelle von Linux 
 -A INPUT -i lo -j ACCEPT -A OUTPUT -o lo -j ACCEPT

Ping = Ermöglicht die Überprüfung von Netzwerkverbindungen 
 -A INPUT -i eth0 -p icmp -m state --state NEW --icmp-type 8 -j ACCEPT - EINGABE - i eth0 - p icmp - m state - state ESTABLISHED, RELATED - j ACCEPT -A OUTPUT -o eth0 -p icmp -j ACCEPT

Web = Durch diese Regeln steuern wir den ein- und ausgehenden Verkehr. 
 - EINGABE - i eth0 - p tcp - m state - state ESTABLISHED, RELATED - sport 80 - j ACCEPT - EINGABE - i eth0 - p tcp - m state - state ESTABLISHED, RELATED - sport 443 - j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 80 -j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 443 -j ACCEPT

Im Falle des Hinzufügens des DNS verwenden wir die folgenden Zeilen: 
 -EINGABE -i ens3 -s 192.168.0.1 -p udp --sport 53 -m state --state ESTABLISHED, RELATED -j ACCEPT -A OUTPUT -o ens3 -d 192.168.0.1 -p udp --dport 53 -m udp -j ACCEPT

Hinweis:
Hier müssen wir die IP nach Bedarf ändern

Zeit = Diese Regeln ermöglichen die Verbindung zu NTP für die korrekte Synchronisation der Zeit 
 -A INPUT -i eth0 -p udp -m state --state ESTABLISHED, RELATED --dport 123 -j ACCEPT -A OUTPUT -o eth0 -p udp -m udp --sport 123 -j ACCEPT

Drucken = Ermöglicht die Aktivierung der USB-Anschlüsse für die Druckerverbindung 
 -A INPUT -p udp -m udp --port 631 -j ACCEPT -EINGABE -p tcp -m tcp --dport 631 -j AKZEPTIEREN -A OUTPUT -p udp -m udp --sport 631 -j ACCEPT -A OUTPUT -p tcp -m tcp --sport 631 -j ACCEPT

E-Mail = Wir können die verschiedenen E-Mail-Protokolle aktivieren 
 # IMAP - EINGABE - i eth0 - p tcp - m state - state ESTABLISHED, RELATED - sport 993 - j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 993 -j ACCEPT 
 # POP3 - EINGABE - i eth0 - p tcp - m state - state ESTABLISHED, RELATED - sport 995 - j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 995 -j ACCEPT 
 # SMTP - EINGABE - i eth0 - p tcp - m state - state ESTABLISHED, RELATED - sport 465 - j ACCEPT -A OUTPUT -o eth0 -p tcp -m tcp --dport 465 -j ACCEPT

SSH = Aktiviert sichere Verbindungen zum Gerät mithilfe des SSH-Protokolls 
 # Eingabe - EINGABE - i ens3 - p tcp - m state - state NEU, EINGESTELLT - port 22 - j ACCEPT -A OUTPUT -o ens3 -p tcp -m state --state ESTABLISHED --sport 22 -j ACCEPT 
 # Ausgabe -A OUTPUT -o ens3 -p tcp -m state --state NEW, ESTABLISHED --dport 22 -j ACCEPT - EINGABE - i ens3 - p tcp - m state - state ESTABLISHED - sport 22 - j ACCEPT

DHCP: Wir können Regeln erstellen, um die IP-Adressierung über DHCP zu autorisieren 
 - EINGABE - i eth0 - p udp - m state - state ESTABLISHED, RELATED - sport 67:68 - j ACCEPT -A OUTPUT -o eth0 -p udp -m udp --dport 67:68 -j ACCEPT

Alle Verbindungen ablehnen: Wir können die folgenden Zeilen hinzufügen, um alle oben genannten zu deaktivieren: 
 -EINGABE -j ABLEHNUNG -J ABLEHNUNG -A OUTPUT -j REJECT

Alle diese Zeilen werden in der oben genannten Datei hinzugefügt:

See also  Cache-Steuerelement-Header in ASP.NET MVC

configure-firewall-Iptables-1.png

Wir behalten die Änderungen

+ O Strg + O

Wir verlassen den Editor mit

+ X Strg + X

4. Importieren der Regeln mit Iptables Linux

Sobald die Datei bearbeitet wurde, können wir diese Regeln in Iptable importieren, indem wir den folgenden Befehl ausführen: 

 sudo iptables -F && sudo iptables -X

Der Status der Regeln wird mit dem Befehl sudo iptables -S angezeigt: configure-firewall-Iptables-2.png

Wenn Sie alle Regeln wiederherstellen möchten, führen Sie die folgende Zeile aus: 

 sudo iptables-restore </ tmp / itpables-ip4

Wenn diese Regeln dauerhaft sein sollen, führen wir Folgendes aus: 

 sudo apt installiere iptables-persistent

Auf diese Weise ist Iptables unser bester Verbündeter, wenn es darum geht, die Firewall in Linux-Umgebungen zu konfigurieren.

administrator

More Posts

Leave a Reply

Your email address will not be published. Required fields are marked *