1. Location:
  2. / Computer learning >> Computer læring >> system >> CentOS >>

havn: øge sikkerheden ved hjælp af banker knockd og /eller iptables fra grundlæggende

, før vi går ind i den artikel, lad mig fortælle dig, hvordan denne artikel er skrevet.denne artikel begynder med indledningen til knockd, og går videre med gennemførelsen af havn på ved hjælp af iptables.bemærker, at den samme havn, der kan gennemføres ved hjælp af knockd, som vil blive drøftet i den kommende artikel.,, og– introduktion til knockd, og– iptables,,,     – muligheder og begrænsninger,     – gennemførelse af bank scenarier med iptables,,,            – to fremgangsmåder i forbindelse med oprettelsen af en firewall,,                   1) at afvise alle og acceptere undtagelser,,,                   2) accepterer alle og afvisning af undtagelser, og– forståelse af iptables, og– traversal regler, og– filter tabel, og– de værste scenarier, samtidig med at oprette en firewall, og– ordrer til fælde grundlæggende firewall og banke scenario på toppen af den, og– forklaring, og– than spændende del (prøvning bank),,, knockd – definition af zeroflux. org:,, knockd er en havn på serveren.den lytter til al trafik på et ethernet - grænseflade, som leder efter særlige &" bank &" sekvenser af havn rammer.en klient, gør disse havn rammer ved at sende en tcp (eller udp) pakke til en havn på serveren.denne havn ikke behøver at være åben og— siden knockd lytter på forbindelsen lag - niveau, det ser alt trafik, selv hvis det ’ er bestemt til et lukket havn.når server opfanger en specifik sekvens af havn rammer, det er en ordre er defineret i dens sammensætning fil.dette kan bruges til at åbne huller i en firewall 'en for hurtig adgang, fortsætte, selv hvis du ikke gør det, da knockd vil blive drøftet enklere, og i detaljer i den kommende post på dette, mens vi er her vil opnå det samme ved hjælp af iptables alene. det er faktisk sådan hver anmodning ville slå døren for at komme igennem det.banker er nødvendigt at få igennem porten.du skal gennemføres ved hjælp af knockd og iptables eller bare iptables alene.,,, iptables, grunden til, at jeg begynder med iptables, er, at der bør være en eksisterende firewall på din maskine, så du skal teste din vellykket gennemførelse af knockd.eller du kan ikke gennemfører havn banker bruger bare iptables alene, så godt.selv om store virksomheder bruger tidstro firewalls (hardware), stadig iptables spiller en afgørende rolle med hensyn til at styrke deres sikkerhed, muligheder og begrænsninger, som omfatter opgaver, kapaciteter havn fremsendelse, havn, blokering, adresse blokeret, begrænse /begrænsning af trafikken til en bestemt havn, nating osv. begrænsninger, at det kan håndtere alene uden for angreb.i sag, hvis nogen i firmaet prøver at gøre noget, som ikke kan forhindres.hallo, virus angreb ikke kan stoppes, medmindre det er kendt som en virus.,, gennemførelse af - scenarier med iptables, først starter vi med at oprette en grundlæggende firewall og så banke, iptables kommer med linux anlæg pakke, ellers kan være mums installeret.i tilfælde, hvor man ønsker at bruge iptables for en specifik opgave, så er der et par plastre, der skal installeres på den kerne, som også vil være installeret ved misligholdelse, i de fleste tilfælde. der er to fremgangsmåder i forbindelse med oprettelsen af en firewall, 1) at afvise alle og acceptere undtagelser, og 2) at acceptere alle og afvisning af undtagelser, 1 er at foretrække, er det ikke indlysende, at det er bedre at lukke alle døre og åbne vinduer på passende måde:), der er forskellige terminologier, der anvendes i iptables: 1)       tabeller, 2)       kæder, 3)       aktion, der er tre typer af tabeller og kæder forbundet med.,, filter,.input.output.fremad, nat.prerouting,.output.postrouting, lemlæste,,.prerouting,.produktion, er den, der beslutter, hvad der skal ske med en pakke.forskellige aktioner omfatter, og– og acceptere, at en pakke – gennem firewallen, og– afviser – afviser en pakke med fejl, og– fald – pakken er simpelthen smidt ud, ingen fejl, meddelelser, der sendes, og– log – kævler tilfælde, nat er påkrævet i tilfælde, hvor du dele til et enkelt integreret blandt flere værter og lemlæste, i tilfælde, hvor man ønsker at ændre nogle af områderne, som teleselskaberne (service) i undersøgelsesperioden pakke. traversal regler:,,,,,, her vil vi drøfte filter alene.som navnet antyder, det er at filtrere de indkommende pakker til din maskine.den matcher den pakke i forhold til de fastsatte regel og træffe foranstaltninger, der er defineret. nu kommer tilbage til at fælde en firewall, vi kunne, og– afvise alt og acceptere undtagelser, og– acceptere alt og afvise undtagelser, som vi diskuterer et, vil du have en forståelse af både.derfor skal vi diskutere den første.,, afvise alt og acceptere undtagelser, forstå logikken bag idéen er selve det grundlag, som vil hjælpe i forståelse yderligere. først skal vi fastlægge en regel om "afviser alle /alt", og oven i det, vi er goind til stat "afviser alle /alt, undtagen hvis –", således at et vindue, gennem hvilke undtagelser kan rejse, forsigtighed:, skal man være meget forsigtig, hvis du sætter iptables i en fjerntliggende maskine.ukorrekt sekvens af kommandoer kan ende din terminal møde, og derfor kan man ikke længere adgang maskinen på afstand. igen, kan du fælde firewall ved at iptables kommando i terminal med corressponding tabel /filter /foranstaltninger, eller du skal redigere, /etc /sysconfig /iptables, og disse ordrer til sagen og genoptage tjenesten. nu, vi begynder fælde (grundlæggende og banker scenario),&#iptables - input - p tcp - m - medlemsstat i forbindelse med fast - j acceptere, - - og— – at indsætte den regel, første linje i firewall 'en fælde, - p — – protokol - m — – kampen mod de stater, programmer, i dette tilfælde fastlagt - j — – forhastede aktion, som er accpet her. denne regel siger, at igangværende session - gennem firewallen. /det er afgørende for, at hvis du har currrently taget langt møde på denne computer ved hjælp af ssh, det skal bevares og ikke blive afsluttet med yderligere regler, hvor man kan definere, at blokere ssh eller alle disse tjenesteydelser, bemærke, at vi ikke nævner den tabel, fordi filter er misligholdelse tabel i tilfælde af, hvis du bruger en anden tabel som nat, du er nødt til at nævne den ved hjælp af – t nat mulighed sammen med iptables kommando * /,&#iptables - input - p icmp - j acceptere /* det skal få din maskine ping kan fra maskinen, så du kan tjekke tilgængelighed din maskine (hvad enten det er op og ned) * /,, at banke scenario,&#iptables - en input - p tcp - m tcp - dport 1000 - m de seneste... - navn på – rkilde, - - en, og— - statsråd reglen på sidste af de eksisterende firewall /* denne kontrol til tcp pakker til bestemmelseshavnen 1000 af din maskine, og hvis det finder en pakke, der indeholder en nylig navn "banke på" de seneste tabel.– rsource betyder, at det holder styr på afsidesliggende kilde, hvorfra tcp pakke kom.* /,&#iptables - en input - p tcp - m tcp - dport 22 - m de seneste... rcheck - sekunder 15 - navn banker... rsource - j acceptere /* bemærke, at denne regel er vedlagt, så det er i orden.dvs. efter kontrol af havn 1000 i den foregående artikel.denne kontrol seneste oversigt for "banke på" med – rcheck mulighed og også kontrol i 5 sekunder timeout rekord, hvilket betyder, at stille anmodning skal påbegyndes inden for fem sekunder efter at banke havn 1000 andre ssh - havn, vil blive lukket igen for den maskine, der slog havn nummer 1000 * /,&#iptables – et input – j afviser /* bemærke, at denne regel er knyttet til den sidste linje.her er den fangst, som beviser, hvad vi sagde indledningsvis, at afvise alt og på toppen af, hvilke andre at acceptere regler er der. i tilfælde af, hvis du bruger – jeg i stedet for – i ovennævnte kommando, så hele din fælde er forkælet, da dette ikke vil være den første linje, hvor alt bliver afvist, og ingen kommer igennem det næste artikel.i sådanne tilfælde skal du fjerne særlig regel linje alene af kommandoen.,&#iptables – d input - 1                     /* sletter første linje af input - kæde * /,&#tjeneste iptables redde                     /* for at redde iptables * /,&#tjeneste iptables begynder                    /* at starte firewall * /&#chkconfig iptables på                   /* for at sikre, iptables er startet på yderligere genstarter * /, dette er min, /etc /sysconfig /iptables, fil, se efter udførelsen af ovennævnte foranstaltninger, #, der genereres af iptables redde v1.4.7 med hensyn til sep   2 18:22:24 2013 * filter: input acceptere [0:0]: frem imod [0:0]: produktion acceptere [31:2964] - en input - p tcp - m - medlemsstat i forbindelse med fast -j acceptere - en input - p icmp - j acceptere - en input - p tcp - m tcp - dport 1000 - m de seneste... - navn på... rsource - en input - p tcp - m tcp - dport 22 - m de seneste... rcheck - sekunder 15 - navn banker... rsource - j acceptere - input - j afvise - - afviser med icmp havn uopnåelige forpligte&#afsluttet med hensyn til sep   2 18:22:24 2013 - som nævnt tidligere, i stedet for ovennævnte kommandoer, skal du straks edit sagen i overensstemmelse hermed og genoptage iptables. du skal indeholde en liste over de eksisterende regler:,&#iptables – l og slette alle regler,,&#iptables – f /* bemærker, at du er nødt til at løbe,&#tjeneste iptables redde, at slette det permanent.når du løber iptables redde de ændringer, der er blevet skrevet til /etc /sysconfig /iptables fil * /er nu vores firewall er klar, som er konfigureret til, og– give ping anmodninger, og– mulighed for løbende nuværende mødeperioder, og– at stille efter 5 sekunder af havn 1000 ramt (- scenario), og– afviser alt andet,,,, er den spændende del: (prøvning knoc, k,,,,, så lad os teste det. fra en anden maskine, løb:,&#ssh 192.168.42.132, hvor 192.168.42.132 er maskinen, hvor du har indrettet thefirewall og banke som ovenfor foranstaltninger * /, vil dette også gennem fastsat regler, der ikke opfylder nogen af de accepterede regler.derfor vil det også til bunden, hvor det vil blive forkastet af basen regel, dvs.) - en input - j afviser, løb:,&#telnet 192.168.42.132 1000, shh 192.168.42.132, /* denne kommando rammer 1000 havn - - og så bruger telnet ssh - es umiddelbart * /det matcher med regel - en input - p tcp - m tcp - dport 1000 - m de seneste... - navn på... rsource - en input - p tcp - m tcp - dport 22 - m de seneste... rcheck - sekunder 15 - navn banker... rsource - j acceptere, og derfor vil du har passeret firewallen, med succes at tage fjernbetjeningen. samling, som en chef. her er det.havn, 22 er blevet åbnet for fem sekunder efter at banke havn 1000, kun for den maskine, der slog.hvis nogen forsøger at stille uden at banke på døren, så der ikke åbnes for alle, således at det bliver forkastet,:), vil du se min nye artikel, knockd – detaljerede og enklere. tak for at læse.skål!,

iptables_rules_flow



Previous:
Next Page: