Bỏ chặn cửa sổ lưu lượng icmp 7. Vòng cung lửa. Chúng tôi tự bảo vệ mình khỏi tin tặc bằng IPTABLES, IPFW và PF. Đặt lại hoặc cho phép lưu lượng truy cập từ các địa chỉ MAC cụ thể
Làm cách nào tôi có thể định cấu hình máy tính chạy Windows 2000/XP/2003 để chặn gói Ping? Windows 2000/XP/2003 có cơ chế bảo mật IP tích hợp được gọi là IPSec (IP Security). IPSec là một giao thức được thiết kế để bảo vệ các gói TCP/IP riêng lẻ khi chúng được truyền qua mạng.
Tuy nhiên, chúng ta sẽ không đi sâu vào chi tiết về chức năng và thiết kế của IPsec, vì ngoài mã hóa, IPSec còn có thể bảo vệ máy chủ hoặc máy trạm của bạn bằng cơ chế tương tự như tường lửa.
Chặn PING trên một máy tính
Để chặn tất cả các gói PING từ và đến máy tính, chúng ta cần tạo chính sách IPSec để chặn tất cả lưu lượng ICMP. Trước tiên, hãy kiểm tra xem máy tính của bạn có phản hồi yêu cầu ICMP hay không:
Để thiết lập một máy tính, chúng ta cần làm theo các bước sau:
Hãy cấu hìnhdanh sách Danh sách Bộ lọc IP và Hành động Lọc
- Mở cửa sổ MMC (Bắt đầu > Chạy > MMC).
- Thêm phần đính vào Quản lý chính sách và bảo mật IP.
- Chọn máy tính nào sẽ được kiểm soát bởi chính sách này - trong trường hợp của chúng tôi đó là máy tính cục bộ. Bấm Đóng, sau đó bấm Ok.
- Nhấp chuột phải vào Chính sách bảo mật IP ở nửa bên trái của bảng điều khiển MMC. Chọn Quản lý danh sách bộ lọc IP và Hành động lọc.
- Bạn không cần phải định cấu hình hoặc tạo bộ lọc IP cho ICMP (giao thức trong đó PING hoạt động), vì bộ lọc như vậy đã tồn tại theo mặc định - Tất cả lưu lượng ICMP.
Tuy nhiên, bạn có thể định cấu hình bộ lọc IP phức tạp tùy ý, chẳng hạn như cấm ping máy tính của bạn từ tất cả các IP, ngoại trừ một số IP cụ thể. Trong một trong những bài viết tiếp theo về IPSec, chúng ta sẽ xem xét kỹ hơn cách tạo bộ lọc IP, hãy chú ý theo dõi.
- Trong cửa sổ Quản lý danh sách bộ lọc IP và hành động bộ lọc, hãy xem lại các bộ lọc của bạn và nếu mọi thứ đều ổn, hãy nhấp vào tab Quản lý hành động bộ lọc. Bây giờ chúng ta cần thêm hành động lọc sẽ chặn lưu lượng truy cập nhất định, nhấp vào Thêm.
- Trong cửa sổ chào mừng đầu tiên, nhấp vào Tiếp theo.
- Trong trường Tên hành động lọc, nhập Chặn và nhấp vào Tiếp theo.
- Trong Filter Action General Options, chọn Block, sau đó nhấn Next.
- Quay lại cửa sổ Quản lý danh sách bộ lọc IP và hành động lọc rồi xem lại các bộ lọc của bạn và nếu mọi thứ đều ổn, hãy nhấp vào Đóng. Bạn có thể thêm bộ lọc và hành động lọc bất kỳ lúc nào.
Bước tiếp theo là cấu hình chính sách IPSec và áp dụng nó.
Cấu hình chính sách IPSe
- Trong cùng bảng điều khiển MMC, nhấp chuột phải vào Chính sách bảo mật IP và chọn Tạo chính sách bảo mật IP.
- Bỏ qua lời chào của trình hướng dẫn bằng cách nhấp vào Tiếp theo.
- Trong trường Tên chính sách bảo mật IP, nhập tên phù hợp với trường hợp, ví dụ: “Chặn PING”. Bấm tiếp
- Trong cửa sổ Yêu cầu kết nối an toàn, bỏ chọn hộp kiểm Kích hoạt Quy tắc phản hồi mặc định. Bấm tiếp
- Chọn hộp kiểm Chỉnh sửa thuộc tính và nhấp vào Kết thúc.
- Chúng ta cần thêm bộ lọc IP và hành động lọc vào chính sách IPSec mới. Trong cửa sổ Chính sách IPSec mới, nhấp vào Thêm
- Bấm tiếp.
- Trong cửa sổ Tunnel Endpoint, đảm bảo giá trị mặc định được chọn và nhấp vào Next.
Người dùng thường khó chịu vì sự chậm chạp của Internet. Điều này đặc biệt áp dụng cho đội quân đông đảo người hâm mộ trò chơi trực tuyến. Bạn có thể giảm độ trễ tiềm ẩn bằng cách tắt tính năng ping.
Bạn sẽ cần
- - Máy tính cài sẵn hệ điều hành Windows;
- - Truy cập Internet.
Hướng dẫn
Hướng dẫn
Việc chặn phản hồi ping trong HĐH có thể ngăn chặn các cuộc tấn công làm ngập gói ICMP, nhưng hầu hết các hệ thống đều sử dụng dịch vụ này để giám sát trực tuyến (giám sát hệ thống). Trong chủ đề “Phản hồi Block Ping (ICMP) trong Unix/Linux”, tôi sẽ cho bạn biết cách bạn vẫn có thể tắt nó.
Chặn PING tới máy chủ rất hữu ích nếu máy chủ liên tục phải đối mặt với một số loại tấn công DoS bằng chức năng PING. Khi sử dụng IPTables, chúng ta có thể chỉ cần ngừng chặn việc truyền các gói ICMP (thực ra là chặn PING) đến máy chủ. Trước khi bắt đầu việc này, bạn cần có ý tưởng về Iptables trong Linux. Iptables là một hệ thống tường lửa với một bộ quy tắc kiểm soát các gói đến và đi. Theo mặc định, Iptables hoạt động không có bất kỳ quy tắc nào, bạn có thể tạo, thêm, chỉnh sửa quy tắc.
Tắt Ping bằng iptables
Giải thích về một số tham số trong iptables cần thiết để tạo quy tắc kiểm soát gói ICMP:
A: Thêm quy tắc.
-D: Xóa quy tắc khỏi bảng.
-p: Tùy chọn chỉ định giao thức (trong đó 'icmp').
--icmp-type: Tùy chọn chỉ định loại.
-J: Tới dây chuyền.
Dưới đây tôi sẽ đưa ra ví dụ rõ ràng.
Làm cách nào để chặn PING trên máy chủ có thông báo lỗi?
Do đó, bạn có thể chặn một phần PING với thông báo lỗi “Destination Port Unreachable”. Thêm các quy tắc Iptables sau để chặn PING bằng thông báo lỗi:
# iptables -A INPUT -p icmp --icmp-type echo-request -j TỪ CHỐI
Khối PING trên máy chủ không có bất kỳ thông báo lỗi nào.
Để thực hiện việc này, hãy sử dụng lệnh cho IPtabels:
# iptables -A OUTPUT -p icmp --icmp-type echo-request -j DROP # iptables -A INPUT -p icmp --icmp-type echo-reply -j DROP
Chặn tất cả các gói ICMP đến và đi trên máy chủ.
Cho phép Ping sử dụng iptables
Nếu bạn đã chặn ping trên máy chủ và không biết cách lấy lại. Bây giờ tôi sẽ cho bạn biết làm thế nào để làm điều đó. Điều này được thực hiện bằng cách thêm quy tắc sau vào IPtables:
# iptables -A INPUT -p icmp --icmp-type echo-request -j CHẤP NHẬN # iptables -A OUTPUT -p icmp --icmp-type echo-reply -j CHẤP NHẬN
Các quy tắc này sẽ cho phép truyền các gói ICMP từ và đến máy chủ.
Chặn Ping bằng tham số hạt nhân
Chúng tôi cũng có thể chặn phản hồi ping trực tiếp bằng các tham số kernel. Bạn có thể chặn trả lời ping tạm thời hoặc vĩnh viễn và bên dưới sẽ hướng dẫn cách thực hiện việc này.
Tạm thời chặn Ping
Bạn có thể tạm thời chặn phản hồi ping bằng lệnh sau
# tiếng vang "1" >
Để bỏ chặn lệnh này, hãy chạy như sau:
# echo 0 >/proc/sys/net/ipv4/icmp_echo_ignore_all
Từ chối Ping hoàn toàn
Bạn có thể chặn phản hồi ping bằng cách thêm tham số sau vào tệp cấu hình:
# vim /etc/sysctl.conf
Và viết:
[…] net.ipv4.icmp_echo_ignore_all = 1 [...]
sysctl được sử dụng để thay đổi các tham số kernel khi chạy, một trong các tham số này có thể là "ping daemon", nếu bạn muốn tắt ping thì bạn chỉ cần làm như sau:
# sysctl -w net.ipv4.icmp_echo_ignore_all=1
Bây giờ thử ping máy thì không có phản hồi gì phải không? Để kích hoạt lại ping, hãy sử dụng:
# sysctl -w net.ipv4.icmp_echo_ignore_all=0
Cờ W được sử dụng nếu bạn muốn thay đổi một số cài đặt.
Bây giờ hãy chạy lệnh sau để áp dụng ngay các cài đặt mà không cần khởi động lại hệ thống:
# sysctl -p
# sysctl --system
Đây là cấu hình đầy đủ của tôi:
# cd /usr/local/src && wget http://site/wp-content/uploads/files/sysctl_conf.txt
và sau đó bạn có thể làm:
# cp /usr/local/src/sysctl_conf.txt /etc/sysctl.conf
Với tôi thế là xong, chủ đề “Chặn Ping (ICMP) phản hồi trong Unix/Linux” đã hoàn thành.
Tường lửa trên hệ thống Linux được điều khiển bởi chương trình iptables (đối với ipv4) và ip6tables (đối với ipv6). Bảng cheat này bao gồm các cách phổ biến nhất để sử dụng iptables cho những người muốn bảo vệ hệ thống của họ khỏi tin tặc hoặc chỉ hiểu cách thiết lập.
Dấu # có nghĩa là lệnh được thực thi dưới quyền root. Mở trước bảng điều khiển có quyền root - sudo -i trên các hệ thống dựa trên Debian hoặc su trên các hệ thống khác.
1. Hiển thị trạng thái.
# iptables -L -n -v
Đầu ra lệnh mẫu cho tường lửa không hoạt động:
Chuỗi INPUT (chính sách CHẤP NHẬN 0 gói, 0 byte) pkts byte mục tiêu prot opt in out nguồn đích Chain FORWARD (chính sách ACCEPT 0 gói, 0 byte) pkts byte target prot opt in out nguồn đích Chuỗi OUTPUT (chính sách ACCEPT 0 gói, 0 byte ) pkts byte mục tiêu prot chọn không tham gia đích nguồn
Đối với tường lửa đang hoạt động:
Chuỗi INPUT (chính sách DROP 0 gói, 0 byte) pkts byte đích prot chọn tham gia đích nguồn 0 0 DROP tất cả -- * * 0.0.0.0/0 trạng thái 0.0.0.0/0 KHÔNG HỢP LỆ 394 43586 CHẤP NHẬN tất cả -- * * 0.0.0.0/0 0.0.0.0/0 trạng thái LIÊN QUAN, THÀNH LẬP 93 17292 CHẤP NHẬN tất cả -- br0 * 0.0.0.0/0 0.0.0.0/0 1 142 CHẤP NHẬN tất cả -- lo * 0.0.0.0/0 0.0.0.0/0 CHUYỂN TIẾP chuỗi (chính sách DROP 0 gói, 0 byte) pkts byte đích prot opt in out nguồn đích 0 0 CHẤP NHẬN tất cả -- br0 br0 0.0.0.0/0 0.0.0.0/0 0 0 THẢ tất cả -- * * 0.0. Trạng thái 0.0/0 0.0 .0.0/0 KHÔNG HỢP LỆ 0 0 TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS kẹp vào PMTU 0 0 CHẤP NHẬN tất cả -- * * 0.0.0.0/ 0 0.0.0.0 /0 trạng thái LIÊN QUAN, THÀNH LẬP 0 0 wanin all -- vlan2 * 0.0.0.0/0 0.0.0.0/0 0 0 wanin all -- * vlan2 0.0.0.0/0 0.0.0.0/0 0 0 CHẤP NHẬN tất cả -- br0 * 0.0.0.0/0 0.0.0.0/0 Chuỗi OUTPUT (chính sách CHẤP NHẬN 425 gói, 113K byte) pkts byte target prot opt in out nguồn đích Chuỗi wanin (1 tham chiếu) pkts byte target prot opt in đích nguồn ra Chuỗi đích suy yếu (1 tài liệu tham khảo ) pkts byte mục tiêu prot chọn tham gia đích nguồn
Ở đâu:
-L: Hiển thị danh sách các quy tắc.
-v: Hiển thị thông tin bổ sung. Tùy chọn này hiển thị tên giao diện, các tùy chọn, mặt nạ TOS. Cũng hiển thị các hậu tố "K", "M" hoặc "G".
-n: Hiển thị địa chỉ IP và cổng dưới dạng số (không sử dụng máy chủ DNS để phân giải tên. Điều này sẽ tăng tốc độ hiển thị).
2. Hiển thị danh sách các quy tắc kèm theo số dòng.
# iptables -n -L -v --line-numbers
Đầu ra mẫu:
Chuỗi INPUT (DROP chính sách) num đích prot opt nguồn đích 1 DROP tất cả -- 0.0.0.0/0 0.0.0.0/0 trạng thái KHÔNG HỢP LỆ 2 CHẤP NHẬN tất cả -- 0.0.0.0/0 0.0.0.0/0 trạng thái LIÊN QUAN, THÀNH LẬP 3 CHẤP NHẬN tất cả -- 0.0.0.0/0 0.0.0.0/0 4 CHẤP NHẬN tất cả -- 0.0.0.0/0 0.0.0.0/0 CHUYỂN TIẾP chuỗi (DROP chính sách) num mục tiêu prot opt nguồn đích 1 CHẤP NHẬN tất cả -- 0,0 .0.0/0 0.0.0.0/0 2 BỎ tất cả -- 0.0.0.0/0 0.0.0.0/0 trạng thái KHÔNG HỢP LỆ 3 TCPMSS tcp -- 0.0.0.0/0 0.0.0.0/0 tcp cờ:0x06/0x02 TCPMSS kẹp vào PMTU 4 CHẤP NHẬN tất cả -- 0.0.0.0/0 0.0.0.0/0 trạng thái LIÊN QUAN, THÀNH LẬP 5 wanin tất cả -- 0.0.0.0/0 0.0.0.0/0 6 loại bỏ tất cả -- 0.0.0.0/0 0.0.0.0/0 7 CHẤP NHẬN tất cả - - 0.0.0.0/0 0.0.0.0/0 Chuỗi OUTPUT (chính sách CHẤP NHẬN) num target prot opt nguồn đích Chuỗi wanin (1 tài liệu tham khảo) num target prot opt nguồn đích Chuỗi wanout (1 tài liệu tham khảo) num đích nguồn prot opt
Bạn có thể sử dụng số dòng để thêm quy tắc mới.
3. Hiển thị chuỗi quy tắc INPUT hoặc OUTPUT.
# iptables -L INPUT -n -v
# iptables -L OUTPUT -n -v --line-numbers
4. Dừng, khởi động, khởi động lại tường lửa.
Bằng sức mạnh của chính hệ thống:
# dịch vụ ufw dừng
# dịch vụ ufw bắt đầu
Bạn cũng có thể sử dụng lệnh iptables để dừng tường lửa và xóa tất cả các quy tắc:
# iptables -F
# iptables -X
# iptables -t nat -F
# iptables -t nat -X
# iptables -t mangle -F
# iptables -t mangle -X
# iptables -P CHẤP NHẬN ĐẦU VÀO
# iptables -P CHẤP NHẬN ĐẦU RA
# iptables -P CHẤP NHẬN CHUYỂN TIẾP
Ở đâu:
-F: Xóa tất cả các quy tắc.
-X: Xóa chuỗi.
-t table_name: Chọn một bảng (nat hoặc mangle) và xóa tất cả các quy tắc.
-P: Chọn các hành động mặc định (như THẢ, TỪ CHỐI hoặc CHẤP NHẬN).
5. Xóa quy tắc tường lửa.
Để hiển thị số dòng với các quy tắc hiện có:
# iptables -L OUTPUT -n --line-numbers
# iptables -L OUTPUT -n --line-numbers | ít hơn
# iptables -L OUTPUT -n --line-numbers | grep 202.54.1.1
Hãy lấy một danh sách các địa chỉ IP. Chỉ cần nhìn vào con số bên trái và xóa dòng tương ứng. Ví dụ: đối với số 3:
# iptables -D ĐẦU VÀO 3
Hoặc tìm địa chỉ IP nguồn (202.54.1.1) và xóa nó khỏi quy tắc:
# iptables -D INPUT -s 202.54.1.1 -j THẢ
Ở đâu:
-D: Xóa một hoặc nhiều quy tắc khỏi chuỗi.
6. Thêm quy tắc vào tường lửa.
Để thêm một hoặc nhiều quy tắc vào chuỗi, trước tiên chúng tôi hiển thị danh sách bằng số dòng:
# iptables -L INPUT -n --line-numbers
Đầu ra mẫu:
Chuỗi INPUT (DROP chính sách) num đích prot opt nguồn đích 1 DROP all -- 202.54.1.1 0.0.0.0/0 2 CHẤP NHẬN tất cả -- 0.0.0.0/0 0.0.0.0/0 trạng thái MỚI, THÀNH LẬP
Để chèn quy tắc giữa dòng 1 và 2:
# iptables -I INPUT 2 -s 202.54.1.2 -j DROP
Hãy kiểm tra xem quy tắc đã được cập nhật chưa:
# iptables -L INPUT -n --line-numbers
Đầu ra sẽ như thế này:
Chuỗi INPUT (DROP chính sách) num đích prot opt nguồn đích 1 DROP all -- 202.54.1.1 0.0.0.0/0 2 DROP all -- 202.54.1.2 0.0.0.0/0 3 ACCEPT all -- 0.0.0.0/0 Trạng thái 0.0.0.0/0 MỚI, ĐƯỢC THÀNH LẬP
7. Lưu các quy tắc tường lửa.
Thông qua iptables-save:
# iptables-save > /etc/iptables.rules
8. Khôi phục các quy tắc.
Thông qua iptables-khôi phục
# iptables-khôi phục
9. Đặt chính sách mặc định.
Để đặt lại tất cả lưu lượng truy cập:
# iptables -P ĐẦU VÀO THẢ
# iptables -P ĐẦU RA THẢ
# iptables -P TIẾN LÊN THẢ
# iptables -L -v -n
Sau các lệnh trên, không một gói nào rời khỏi máy chủ này.
# ping google.com
10. Chỉ chặn các kết nối đến.
Để loại bỏ tất cả các gói đến không phải do bạn khởi tạo nhưng cho phép lưu lượng đi:
# iptables -P ĐẦU VÀO THẢ
# iptables -P TIẾN LÊN THẢ
# iptables -P CHẤP NHẬN ĐẦU RA
# iptables -A INPUT -m state --state MỚI, THÀNH LẬP -j CHẤP NHẬN
# iptables -L -v -n
Cho phép các gói gửi đi và những gói được ghi nhớ trong các phiên đã thiết lập.
# ping google.com
11. Đặt lại địa chỉ các mạng bị cô lập trên mạng công cộng.
# iptables -A INPUT -i eth1 -s 192.168.0.0/24 -j DROP
Danh sách địa chỉ IP cho các mạng bị cô lập:
10.0.0.0/8 -j (A)
172.16.0.0/12 (B)
192.168.0.0/16 (C)
224.0.0.0/4 (ĐA NĂNG D)
240.0.0.0/5 (E)
127.0.0.0/8 (LOOPBACK)
12. Chặn một địa chỉ IP cụ thể.
Để chặn địa chỉ của kẻ tấn công 1.2.3.4:
# iptables -A INPUT -s 1.2.3.4 -j THẢ
# iptables -A INPUT -s 192.168.0.0/24 -j DROP
13. Chặn các yêu cầu cổng đến.
Để chặn tất cả các yêu cầu đến trên cổng 80:
# iptables -A INPUT -p tcp --dport 80 -j DROP
# iptables -A INPUT -i eth1 -p tcp --dport 80 -j DROP
Để chặn yêu cầu cổng 80 từ địa chỉ 1.2.3.4:
# iptables -A INPUT -p tcp -s 1.2.3.4 --dport 80 -j DROP
# iptables -A INPUT -i eth1 -p tcp -s 192.168.1.0/24 --dport 80 -j DROP
14. Chặn các yêu cầu tới địa chỉ IP gửi đi.
Để chặn một miền cụ thể, hãy tìm hiểu địa chỉ của nó:
# máy chủ -t a facebook.com
Kết luận: facebook.com có địa chỉ 69.171.228.40
Hãy tìm CIDR cho 69.171.228.40:
#whois 69.171.228.40 | grep CIDR
Phần kết luận:
CIDR: 69.171.224.0/19
Hãy chặn quyền truy cập vào 69.171.224.0/19:
# iptables -A OUTPUT -p tcp -d 69.171.224.0/19 -j DROP
Bạn cũng có thể sử dụng tên miền để chặn:
# iptables -A OUTPUT -p tcp -d www.facebook.com -j DROP
# iptables -A OUTPUT -p tcp -d facebook.com -j DROP
15. Ghi lại sự kiện và thiết lập lại.
Để ghi lại chuyển động của các gói trước khi đặt lại, hãy thêm quy tắc:
# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j LOG --log-prefix "IP_SPOOF A: "
# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
Hãy kiểm tra nhật ký (theo mặc định /var/log/messages):
# tail -f /var/log/messages
# grep -i --color "IP SPOOF" /var/log/messages
16. Ghi lại sự kiện và đặt lại (có giới hạn về số lượng bản ghi).
Để tránh làm đầy phân vùng với nhật ký cồng kềnh, chúng tôi sẽ giới hạn số lượng mục nhập bằng cách sử dụng -m. Ví dụ: để ghi tối đa 7 dòng cứ sau 5 phút:
# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -m limit --limit 5/m --limit-burst 7 -j LOG --log-prefix "IP_SPOOF A: "
# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
16. Đặt lại hoặc cho phép lưu lượng truy cập từ các địa chỉ MAC nhất định.
# iptables -A INPUT -m mac --mac-source 00:0F:EA:91:04:08 -j DROP
## *chỉ cho phép cổng TCP # 8080 từ địa chỉ mac 00:0F:EA:91:04:07 * ##
# iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source 00:0F:EA:91:04:07 -j CHẤP NHẬN
17. Cho phép hoặc từ chối yêu cầu ICMP Ping.
Để tắt ping:
# iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
# iptables -A INPUT -i eth1 -p icmp --icmp-type echo-request -j DROP
Cho phép các mạng/máy chủ cụ thể:
# iptables -A INPUT -s 192.168.1.0/24 -p icmp --icmp-type echo-request -j CHẤP NHẬN
Chỉ cho phép một phần yêu cầu ICMP:
### ** giả sử các chính sách gửi đến mặc định được đặt thành DROP ** ###
# iptables -A INPUT -p icmp --icmp-type echo-reply -j CHẤP NHẬN
# iptables -A INPUT -p icmp --icmp-type Destination-unreachable -j CHẤP NHẬN
# iptables -A INPUT -p icmp --icmp-type vượt quá thời gian -j CHẤP NHẬN
## ** cho phép chúng tôi phản hồi yêu cầu ** ##
# iptables -A INPUT -p icmp --icmp-type echo-request -j CHẤP NHẬN
18. Mở một loạt cổng.
# iptables -A INPUT -m state --state MỚI -m tcp -p tcp --dport 7000:7010 -j CHẤP NHẬN
19. Mở một loạt địa chỉ.
## cho phép kết nối tới cổng 80 (Apache) nếu địa chỉ nằm trong phạm vi từ 192.168.1.100 đến 192.168.1.200 ##
# iptables -A INPUT -p tcp --destination-port 80 -m iprange --src-range 192.168.1.100-192.168.1.200 -j CHẤP NHẬN
## ví dụ về nat ##
# iptables -t nat -A POSTROUTING -j SNAT --to-source 192.168.1.20-192.168.1.25
20. Đóng hoặc mở các cổng tiêu chuẩn.
Thay thế ACCEPT bằng DROP để chặn cổng.
## cổng ssh tcp 22 ##
iptables -A INPUT -m state --state MỚI -m tcp -p tcp --dport 22 -j CHẤP NHẬN
iptables -A INPUT -s 192.168.1.0/24 -m state --state MỚI -p tcp --dport 22 -j CHẤP NHẬN
## cốc (dịch vụ in) cổng udp/tcp 631 cho mạng cục bộ ##
iptables -A INPUT -s 192.168.1.0/24 -p udp -m udp --dport 631 -j CHẤP NHẬN
iptables -A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 631 -j CHẤP NHẬN
## đồng bộ hóa thời gian qua NTP cho mạng cục bộ (cổng udp 123) ##
iptables -A INPUT -s 192.168.1.0/24 -m state --state MỚI -p udp --dport 123 -j CHẤP NHẬN
## cổng tcp 25 (smtp) ##
iptables -A INPUT -m state --state MỚI -p tcp --dport 25 -j CHẤP NHẬN
# cổng máy chủ dns ##
iptables -A INPUT -m state --state MỚI -p udp --dport 53 -j CHẤP NHẬN
iptables -A INPUT -m state --state MỚI -p tcp --dport 53 -j CHẤP NHẬN
## cổng máy chủ http/https www ##
iptables -A INPUT -m state --state MỚI -p tcp --dport 80 -j CHẤP NHẬN
iptables -A INPUT -m state --state MỚI -p tcp --dport 443 -j CHẤP NHẬN
## cổng tcp 110 (pop3) ##
iptables -A INPUT -m state --state MỚI -p tcp --dport 110 -j CHẤP NHẬN
## cổng tcp 143 (imap) ##
iptables -A INPUT -m state --state MỚI -p tcp --dport 143 -j CHẤP NHẬN
## Máy chủ tệp Samba cho mạng cục bộ ##
iptables -A INPUT -s 192.168.1.0/24 -m state --state MỚI -p tcp --dport 137 -j CHẤP NHẬN
iptables -A INPUT -s 192.168.1.0/24 -m state --state MỚI -p tcp --dport 138 -j CHẤP NHẬN
iptables -A INPUT -s 192.168.1.0/24 -m state --state MỚI -p tcp --dport 139 -j CHẤP NHẬN
iptables -A INPUT -s 192.168.1.0/24 -m state --state MỚI -p tcp --dport 445 -j CHẤP NHẬN
## máy chủ proxy cho mạng cục bộ ##
iptables -A INPUT -s 192.168.1.0/24 -m state --state MỚI -p tcp --dport 3128 -j CHẤP NHẬN
## máy chủ mysql cho mạng cục bộ ##
iptables -I INPUT -p tcp --dport 3306 -j CHẤP NHẬN
21. Giới hạn số lượng kết nối song song tới máy chủ cho một địa chỉ.
Để hạn chế, mô-đun connlimit được sử dụng. Để chỉ cho phép 3 kết nối ssh cho mỗi khách hàng:
# iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 3 -j TỪ CHỐI
Đặt số lượng yêu cầu HTTP thành 20:
# iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 --connlimit-mask 24 -j DROP
Ở đâu:
--connlimit-trên 3: Chỉ định rằng quy tắc chỉ áp dụng nếu số lượng kết nối vượt quá 3.
--connlimit-mask 24: Chỉ định mặt nạ mạng.
Trợ giúp về iptables.
Để tìm trợ giúp với iptables, hãy sử dụng man:
$ man iptables
Để xem trợ giúp cho các lệnh và mục tiêu cụ thể:
# iptables -j THẢ -h
Kiểm tra quy tắc iptables.
Kiểm tra các cổng mở/đóng:
# netstat -tulpn
Chúng tôi kiểm tra tính mở/đóng của một cổng cụ thể:
# netstat -tulpn | grep:80
Hãy kiểm tra xem iptables có cho phép kết nối với cổng 80 không:
# iptables -L INPUT -v -n | grep 80
Nếu không thì hãy mở nó ra cho mọi người:
# iptables -A INPUT -m state --state MỚI -p tcp --dport 80 -j CHẤP NHẬN
Kiểm tra bằng telnet
$ telnet ya.ru 80
Bạn có thể sử dụng nmap để kiểm tra:
$ nmap -sS -p 80 ya.ru
Iptables là một công cụ tuyệt vời trong tay quản trị viên. Nếu bạn cần bảo vệ bản thân một cách dễ dàng và đơn giản trong Ubuntu trên máy tính để bàn, thì bạn nên biết rằng có một tiện ích bổ sung bảng điều khiển tiện lợi dành cho iptables có tên là UFW và có chương trình đồ họa GUFW cho nó. Tài liệu video sẽ giúp bạn làm cho Ubuntu của bạn an toàn hơn nữa.
Vì vậy, hãy tiếp tục giải quyết ACL. Lần này, chúng tôi đã mở rộng ACL. Chúng ta sẽ lấy cấu trúc liên kết từ bài viết trước, tôi hy vọng bạn đã nghiên cứu kỹ lưỡng. Nếu không phải như vậy thì tôi thực sự khuyên bạn nên đọc nó để tài liệu trong bài viết này dễ hiểu hơn.
Trước hết, tôi sẽ bắt đầu với ACL mở rộng là gì. ACL mở rộng cho phép bạn chỉ định giao thức, địa chỉ đích và cổng ngoài địa chỉ nguồn. Cũng như các thông số đặc biệt của một giao thức nhất định. Tốt nhất là học từ các ví dụ, vì vậy hãy tạo một nhiệm vụ mới, làm phức tạp nhiệm vụ trước đó. Nhân tiện, sau này ai đó có thể quan tâm đến việc giải quyết các vấn đề phân phối lưu lượng truy cập theo mức độ ưu tiên; Tôi khuyên bạn nên Phân loại và Đánh dấu QoS một bài viết hay, mặc dù bằng tiếng Anh. Chà, bây giờ, hãy quay lại nhiệm vụ của chúng ta:
Nhiệm vụ.
- Cho phép yêu cầu tiếng vang từ các máy chủ trên mạng 192.168.0.0/24 tới máy chủ.
- Từ máy chủ – cấm yêu cầu tiếng vang đến mạng nội bộ.
- Cho phép truy cập WEB vào máy chủ từ nút 192.168.0.11.
- Cho phép truy cập FTP từ máy chủ 192.168.0.13 đến máy chủ.
Nhiệm vụ phức tạp. Chúng tôi cũng sẽ giải quyết nó một cách toàn diện. Trước hết, tôi sẽ xem cú pháp sử dụng ACL mở rộng.
Tùy chọn ACL mở rộng
<номер от 100 до 199> <действие permit, deny> <протокол> <источник> <порт> <назначение> <порт> <опции>
Tất nhiên, số cổng chỉ được chỉ định cho các giao thức TCP / UDP. Cũng có thể có tiền tố eq(số cổng bằng với số được chỉ định), gt/lt(số cổng lớn hơn/nhỏ hơn mức được chỉ định), neq(số cổng không bằng số được chỉ định), phạm vi(phạm vi cổng).
ACL được đặt tên
Nhân tiện, danh sách truy cập không chỉ có thể được đánh số mà còn có thể được đặt tên! Có lẽ phương pháp này sẽ có vẻ thuận tiện hơn cho bạn. Lần này chúng tôi sẽ làm chính xác điều đó. Các lệnh này được thực thi trong bối cảnh cấu hình chung và cú pháp là:
Bộ định tuyến (cấu hình) # danh sách truy cập ip được mở rộng<имя>
Vì vậy, hãy bắt đầu hình thành các quy tắc.
- Cho phép ping từ mạng 192.168.0.0/24
đến máy chủ. Vì thế, tiếng vọng-yêu cầu là một giao thức ICMP, chúng tôi sẽ chọn mạng con của mình làm địa chỉ nguồn, địa chỉ máy chủ làm địa chỉ đích, loại tin nhắn – trên giao diện đến tiếng vọng, ở lối ra - trả lời tiếng vang. Bộ định tuyến(config)#danh sách truy cập ip mở rộng INT_IN Bộ định tuyến(config-ext-nacl)#permit icmp 192.168.0.0 0.0.0.255 máy chủ 10.0.0.100 echo Rất tiếc, mặt nạ mạng con có vấn đề gì vậy? Vâng, đây là một thủ thuật ACL. Cái gọi là WildCard-mặt nạ. Nó được tính là mặt nạ nghịch đảo so với mặt nạ thông thường. Những thứ kia. 255.255.255.255
- Mặt nạ mạng con. Trong trường hợp của chúng tôi, mạng con 255.255.255.0
, sau khi trừ đi kết quả còn lại là 0.0.0.255
.Tôi nghĩ quy định này không cần giải thích? Giao thức icmp, địa chỉ nguồn – mạng con 192.168.0.0/24
, địa chỉ đích – máy chủ 10.0.0.100, loại tin nhắn - tiếng vọng(lời yêu cầu). Nhân tiện, thật dễ dàng để nhận thấy rằng máy chủ 10.0.0.100 tương đương 10.0.0.100 0.0.0.0
.Chúng tôi áp dụng quy tắc này cho giao diện. Bộ định tuyến(cấu hình)#int fa0/0
Bộ định tuyến(config-if)#ip access-group INT_IN đại loại như thế này. Bây giờ, nếu bạn kiểm tra ping, có thể dễ dàng nhận thấy mọi thứ đều hoạt động tốt. Tuy nhiên, ở đây có một điều ngạc nhiên đang chờ chúng ta, điều này sẽ xuất hiện sau đó một chút. Tôi vẫn chưa tiết lộ nó. Ai đoán được - làm tốt lắm! - Từ máy chủ – chúng tôi cấm tất cả các yêu cầu tiếng vang đến mạng nội bộ (192.168.0.0/24). Chúng tôi xác định một danh sách có tên mới, INT_OUT và đính kèm nó vào giao diện gần máy chủ nhất.
Bộ định tuyến(cấu hình)#danh sách truy cập ip mở rộng INT_OUT
Bộ định tuyến (config-ext-nacl) #deny máy chủ icmp 10.0.0.100 192.168.0.0 0.0.0.255 echo
Bộ định tuyến(config-ext-nacl)#exit
Bộ định tuyến(cấu hình)#int fa0/1
Bộ định tuyến(config-if)#ip nhóm truy cập INT_OUT trong
Hãy để tôi giải thích những gì chúng tôi đã làm. Tạo danh sách truy cập mở rộng với tên INT_OUT, vô hiệu hóa giao thức trong đó icmp với loại tiếng vọng từ máy chủ 10.0.0.100 mỗi mạng con 192.168.0.0/24 và áp dụng cho đầu vào giao diện fa0/1, I E. gần máy chủ nhất. Chúng tôi đang cố gắng gửi ping từ máy chủ.
MÁY CHỦ>ping 192.168.0.11
Ping 192.168.0.11 với 32 byte dữ liệu:
Trả lời từ 10.0.0.1: Không thể truy cập máy chủ đích.
Trả lời từ 10.0.0.1: Không thể truy cập máy chủ đích.
Trả lời từ 10.0.0.1: Không thể truy cập máy chủ đích.
Thống kê Ping cho 192.168.0.11:
Gói: Đã gửi = 4, Đã nhận = 0, Bị mất = 4 (mất 100%)
Vâng, nó dường như hoạt động như bình thường. Đối với những người không biết cách gửi ping, hãy nhấp vào nút mà chúng tôi quan tâm, chẳng hạn như máy chủ. Chuyển đến tab Desktop, ở đó có dấu nhắc lệnh và bây giờ là trò đùa đã hứa. Hãy thử gửi ping từ máy chủ, như ở điểm đầu tiên. PC>ping 10.0.0.100
Ping 10.0.0.100 với 32 byte dữ liệu:
Yêu cầu đã hết thời gian chờ.
Yêu cầu đã hết thời gian chờ.
Yêu cầu đã hết thời gian chờ.
Yêu cầu đã hết thời gian chờ.Đây là một cái dành cho bạn. Mọi thứ chỉ hoạt động! Tại sao nó dừng lại? Đây là điều bất ngờ đã được hứa hẹn. Tôi giải thích vấn đề là gì. Vâng, quy tắc đầu tiên vẫn chưa biến mất. Nó cho phép gửi yêu cầu tiếng vang đến nút máy chủ. Nhưng đâu là quyền để chuyển phản hồi tiếng vang? Anh ấy đi rồi! Chúng tôi gửi yêu cầu, nhưng chúng tôi không thể chấp nhận phản hồi! Tại sao mọi thứ đều hoạt động trước đây? Lúc đó chúng tôi không có ACL trên giao diện. fa0/1. Và vì không có ACL nên mọi thứ đều được phép. Bạn sẽ phải tạo một quy tắc để cho phép nhận các câu trả lời icmp.
Thêm vào danh sách INT_OUT
Hãy thêm tương tự vào danh sách INT_IN.
Bộ định tuyến (config-ext-nacl) #permit icmp Host 10.0.0.100 192.168.0.0 0.0.0.255 phản hồi tiếng vang
Bây giờ đừng phàn nàn. Mọi thứ đang diễn ra tuyệt vời!
- Chúng tôi cho phép truy cập WEB vào máy chủ từ nút *.11. Chúng tôi cũng làm như vậy! Tuy nhiên, ở đây bạn cần biết một chút về cách các cuộc gọi diễn ra thông qua các giao thức lớp 4 (TCP, UDP). Cổng máy khách được chọn tùy ý > 1024 và cổng máy chủ được chọn tương ứng với dịch vụ. Đối với WEB thì đây là cổng 80 (giao thức http), còn máy chủ WEB thì sao? Theo mặc định, dịch vụ WEB đã được cài đặt trên máy chủ, bạn có thể thấy nó trong cài đặt nút. Hãy chắc chắn rằng có một dấu kiểm. Và bạn có thể kết nối với máy chủ bằng cách chọn lối tắt “Trình duyệt web” trên “Máy tính để bàn” của bất kỳ nút nào. Tất nhiên, bây giờ sẽ không có quyền truy cập. Bởi vì chúng tôi có ACL trên giao diện bộ định tuyến và chúng không có bất kỳ quy tắc cấp phép truy cập nào. Nào, chúng ta hãy tạo một danh sách truy cập INT_IN (có trên giao diện fa0/0) thêm quy tắc: Router(config-ext-nacl)#permit tcp Host 192.168.0.11 gt 1024 Host 10.0.0.100 eq 80 Nghĩa là, chúng tôi cho phép giao thức TCP từ máy chủ của chúng tôi (cổng tùy ý, > 1024) đến địa chỉ máy chủ , cổng HTTP.
Và tất nhiên quy tắc ngược lại nằm trong danh sách INT_OUT (nằm trên giao diện fa0/1):
Bộ định tuyến (config-ext-nacl) #permit tcp Host 10.0.0.100 eq 80 Host 192.168.0.11 được thiết lập
Tức là chúng tôi cho phép TCP từ cảng 80 máy chủ trên mỗi máy chủ *.11 , và kết nối đã được thiết lập! Có lẽ thay vào đó thành lập chỉ ra điều tương tự GT 1024, cũng sẽ hoạt động tốt. Nhưng ý nghĩa có hơi khác một chút.
Trả lời trong phần bình luận điều gì sẽ an toàn hơn?
- Chúng tôi cho phép truy cập FTP từ nút *.13 đến máy chủ. Việc này cũng hoàn toàn không có gì phức tạp! Hãy xem cách tương tác diễn ra thông qua giao thức FTP. Trong tương lai, tôi dự định dành cả loạt bài viết về hoạt động của các giao thức khác nhau, vì điều này rất hữu ích trong việc tạo các quy tắc ACL (bắn tỉa) chính xác. Vâng, bây giờ: Hành động của máy chủ và máy khách:+ Máy khách cố gắng thiết lập kết nối và gửi một gói tin (trong đó có dấu hiệu cho biết nó sẽ hoạt động ở chế độ thụ động) đến cổng 21 của máy chủ từ cổng X (X > 1024, cổng trống) + Máy chủ gửi phản hồi và báo cáo số cổng của nó để tạo thành dữ liệu kênh Y (Y > 1024) đến cổng máy khách X, được trích xuất từ tiêu đề gói TCP. + Máy khách khởi tạo giao tiếp để truyền dữ liệu trên cổng X+1 đến cổng máy chủ Y (lấy từ tiêu đề của giao dịch trước đó). Một cái gì đó như thế này. Nghe có vẻ hơi phức tạp nhưng bạn chỉ cần tìm hiểu là được!Thêm các quy tắc vào danh sách INT_IN:
cho phép máy chủ tcp 192.168.0.13 gt 1024 máy chủ 10.0.0.100 eq 21
cho phép máy chủ tcp 192.168.0.13 gt 1024 máy chủ 10.0.0.100 gt 1024Và thêm quy tắc vào danh sách INT_OUT:
cho phép máy chủ tcp 10.0.0.100 eq ftp máy chủ 192.168.0.13 gt 1024
cho phép máy chủ tcp 10.0.0.100 gt 1024 máy chủ 192.168.0.13 gt 1024Chúng tôi kiểm tra từ dòng lệnh bằng lệnh ftp 10.0.0.100, nơi chúng tôi đăng nhập bằng thông tin đăng nhập của mình cisco:cisco(lấy từ cài đặt máy chủ), nhập lệnh vào đó thư mục và chúng ta sẽ thấy rằng dữ liệu cũng như các lệnh được truyền đi thành công.
Đó là tất cả những gì liên quan đến danh sách truy cập mở rộng.
Vì vậy, hãy xem các quy tắc của chúng tôi:
Truy cập bộ định tuyến#sh
Danh sách truy cập IP mở rộng INT_IN
giấy phép icmp 192.168.0.0 0.0.0.255 máy chủ 10.0.0.100 echo (17 trận đấu)
cho phép máy chủ icmp 10.0.0.100 192.168.0.0 0.0.0.255 trả lời tiếng vang
giấy phép máy chủ tcp 192.168.0.11 gt 1024 máy chủ 10.0.0.100 eq www (36 kết quả phù hợp)
cho phép máy chủ tcp 192.168.0.13 gt 1024 máy chủ 10.0.0.100 eq ftp (40 trận đấu)
cho phép máy chủ tcp 192.168.0.13 gt 1024 máy chủ 10.0.0.100 gt 1024 (4 trận đấu)
Danh sách truy cập IP mở rộng INT_OUT
từ chối máy chủ icmp 10.0.0.100 192.168.0.0 0.0.0.255 echo (4 trận đấu)
cho phép máy chủ icmp 10.0.0.100 192.168.0.0 0.0.0.255 phản hồi tiếng vang (4 kết quả phù hợp)
cho phép máy chủ tcp 10.0.0.100 eq www máy chủ 192.168.0.11 được thiết lập (3 trận đấu)
cho phép máy chủ tcp 10.0.0.100 eq ftp máy chủ 192.168.0.13 gt 1024 (16 trận đấu)
cho phép máy chủ tcp 10.0.0.100 gt 1024 máy chủ 192.168.0.13 gt 1024 (3 trận đấu)
