Search Preview
IPTables – pierwsza linia obrony Twojego serwera, p2 | wnuk.me
wnuk.mewnuk.me Personal Blog Blog Kontakt wnuk.me > HowTo > IPTables – pierwsza linia obrony Twojego serwera, p2 IPTables &nda
.me > wnuk.me
SEO audit: Content analysis
Language | Error! No language localisation is found. | ||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Title | IPTables – pierwsza linia obrony Twojego serwera, p2 | wnuk.me | ||||||||||||||||||||||||||||||||||||
Text / HTML ratio | 34 % | ||||||||||||||||||||||||||||||||||||
Frame | Excellent! The website does not use iFrame solutions. | ||||||||||||||||||||||||||||||||||||
Flash | Excellent! The website does not have any flash contents. | ||||||||||||||||||||||||||||||||||||
Keywords cloud | – na się ACCEPT iptables INPUT tcp reguł że nie jest DROP firewalla ruch jak IPTables reguły konfiguracji pakietów LOGOWANIE | ||||||||||||||||||||||||||||||||||||
Keywords consistency |
|
||||||||||||||||||||||||||||||||||||
Headings |
|
||||||||||||||||||||||||||||||||||||
Images | We found 8 images on this web page. |
SEO Keywords (Single)
Keyword | Occurrence | Density |
---|---|---|
– | 22 | 1.10 % |
na | 22 | 1.10 % |
się | 22 | 1.10 % |
ACCEPT | 20 | 1.00 % |
iptables | 20 | 1.00 % |
INPUT | 19 | 0.95 % |
tcp | 16 | 0.80 % |
reguł | 15 | 0.75 % |
że | 13 | 0.65 % |
nie | 12 | 0.60 % |
jest | 11 | 0.55 % |
DROP | 11 | 0.55 % |
firewalla | 10 | 0.50 % |
ruch | 9 | 0.45 % |
jak | 9 | 0.45 % |
IPTables | 8 | 0.40 % |
reguły | 8 | 0.40 % |
konfiguracji | 8 | 0.40 % |
pakietów | 7 | 0.35 % |
LOGOWANIE | 7 | 0.35 % |
SEO Keywords (Two Word)
Keyword | Occurrence | Density |
---|---|---|
anywhere anywhere | 17 | 0.85 % |
anywhere tcp | 8 | 0.40 % |
ACCEPT tcp | 8 | 0.40 % |
all anywhere | 7 | 0.35 % |
w łańcuchu | 6 | 0.30 % |
pierwsza linia | 5 | 0.25 % |
tcp anywhere | 5 | 0.25 % |
ACCEPT all | 5 | 0.25 % |
IPTables – | 5 | 0.25 % |
– pierwsza | 5 | 0.25 % |
linia obrony | 5 | 0.25 % |
obrony Twojego | 5 | 0.25 % |
Twojego serwera | 5 | 0.25 % |
any anywhere | 5 | 0.25 % |
ruch do | 4 | 0.20 % |
any any | 4 | 0.20 % |
prot opt | 4 | 0.20 % |
tej pory | 4 | 0.20 % |
INPUT 1 | 4 | 0.20 % |
source destination | 4 | 0.20 % |
SEO Keywords (Three Word)
Keyword | Occurrence | Density | Possible Spam |
---|---|---|---|
anywhere anywhere tcp | 8 | 0.40 % | No |
all anywhere anywhere | 7 | 0.35 % | No |
tcp anywhere anywhere | 5 | 0.25 % | No |
pierwsza linia obrony | 5 | 0.25 % | No |
ACCEPT tcp anywhere | 5 | 0.25 % | No |
any anywhere anywhere | 5 | 0.25 % | No |
obrony Twojego serwera | 5 | 0.25 % | No |
linia obrony Twojego | 5 | 0.25 % | No |
IPTables – pierwsza | 5 | 0.25 % | No |
– pierwsza linia | 5 | 0.25 % | No |
ACCEPT all anywhere | 4 | 0.20 % | No |
target prot opt | 4 | 0.20 % | No |
any any anywhere | 4 | 0.20 % | No |
w łańcuchu INPUT | 3 | 0.15 % | No |
prot opt source | 3 | 0.15 % | No |
połączeń w łańcuchu | 3 | 0.15 % | No |
Chain INPUT policy | 3 | 0.15 % | No |
ACCEPT tcp any | 3 | 0.15 % | No |
lo j ACCEPT | 3 | 0.15 % | No |
source destination ACCEPT | 3 | 0.15 % | No |
SEO Keywords (Four Word)
Keyword | Occurrence | Density | Possible Spam |
---|---|---|---|
linia obrony Twojego serwera | 5 | 0.25 % | No |
ACCEPT tcp anywhere anywhere | 5 | 0.25 % | No |
IPTables – pierwsza linia | 5 | 0.25 % | No |
– pierwsza linia obrony | 5 | 0.25 % | No |
pierwsza linia obrony Twojego | 5 | 0.25 % | No |
tcp anywhere anywhere tcp | 5 | 0.25 % | No |
ACCEPT all anywhere anywhere | 4 | 0.20 % | No |
any any anywhere anywhere | 4 | 0.20 % | No |
anywhere anywhere tcp dpthttp | 3 | 0.15 % | No |
tcp dptssh ACCEPT tcp | 3 | 0.15 % | No |
anywhere tcp dptssh ACCEPT | 3 | 0.15 % | No |
target prot opt source | 3 | 0.15 % | No |
prot opt source destination | 3 | 0.15 % | No |
anywhere anywhere tcp dptssh | 3 | 0.15 % | No |
obrony Twojego serwera p2 | 3 | 0.15 % | No |
any anywhere anywhere tcp | 3 | 0.15 % | No |
tcp any any anywhere | 3 | 0.15 % | No |
ACCEPT tcp any any | 3 | 0.15 % | No |
source destination ACCEPT all | 3 | 0.15 % | No |
opt source destination ACCEPT | 2 | 0.10 % | No |
Internal links in - wnuk.me
Kontakt | wnuk.me
Paweł, Autor o wnuk.me
Alternatywne serwery DNS - czyli dbamy o prywatność|wnuk.me
Archiwa: Security | wnuk.me
Archiwa: Sieci | wnuk.me
Archiwa: DNS | wnuk.me
Archiwa: public DNS | wnuk.me
Zmiana adresu DNS w systemie windows / linux | wnuk.me
Archiwa: HowTo | wnuk.me
Archiwa: Linux | wnuk.me
Archiwa: Windows | wnuk.me
Wyłącz aktualizację do systemu Windows 10 | wnuk.me
Archiwa: never10 | wnuk.me
Archiwa: windows | wnuk.me
IPTables – pierwsza linia obrony Twojego serwera, p2 | wnuk.me
Archiwa: iptables | wnuk.me
Archiwa: linux | wnuk.me
IPTables - pierwsza linia obrony Twojego serwera, p1 | wnuk.me
Windows 7 USB | wnuk.me
Archiwa: usb | wnuk.me
Problem Komiwojażera [C++] | wnuk.me
Archiwa: c++ | wnuk.me
Archiwa: Programowanie | wnuk.me
Archiwa: c++ | wnuk.me
Archiwa: problem komiwojażera | wnuk.me
Archiwa: firefox | wnuk.me
Kompilacja kernela metodą "na Debiana" | wnuk.me
Archiwa: Debian | wnuk.me
Archiwa: kernel | wnuk.me
Archiwa: kompilacja | wnuk.me
SSH bez hasła przy użyciu puttygen i putty | wnuk.me
Archiwa: putty | wnuk.me
Archiwa: ssh | wnuk.me
wnuk.me | Strona 2 z 2 | Personal Blog
Wnuk.me Spined HTML
IPTables – pierwsza linia obrony Twojego serwera, p2 | wnuk.me wnuk.me Personal Blog Blog Kontakt wnuk.me > HowTo > IPTables – pierwsza linia obrony Twojego serwera, p2 IPTables – pierwsza linia obrony Twojego serwera, p2 Autor: Paweł 14 czerwca 2016 0 Komentarzy HowTo, Linux firewall, iptables, linux Wczoraj było o podstawach działania linuksowego firewalla i pakietu IPTables dzisiaj będzie ciąg dalszy. Mam nadzieję, że do tej pory wszystkie (albo przynajmniej większość) rzeczy przez mnie przedstawionych jest jasna i zrozumiała. Wiesz już jak dodawać reguły i w jakiej kolejności powinny być one ułożone . W dalszej części będzie między innymi o kasowaniu wybranych reguł z łańcucha i zapisywaniu / odzyskiwaniu konfiguracji firewalla. Zapraszam do lektury i dzielenia się swoim i uwagami w komentarzach. Dodawanie reguł cd. Zaczniemy spokojnie czy od małej powtórki z poprzedniego wpisu. Przy konfiguracji firewalla należy pamiętać, że niektóre aplikacje komunikują się na interfejsie lokalnym tak zwanym loopback interface. Co za tym idzie powinniśmy zezwolić a cały ruch na tym interfejsie – odbywa się on tylko lokalnie więc nie będzie zagrożeniem. Regułę dodajemy w podobny sposób jak poprzednio: iptables -I INPUT 1 -i lo -j ACCEPT Jak widzisz pojawił się jeden nowy „przełącznik” (-i lo) określający do jakiego interfejsu odnosi się dana reguła. -I INPUT 1 – wstawiamy regułę na początku łańcucha INPUT (-I) na pozycji pierwszej -i lo – wskazujemy że reguła będzie dotyczyła interfejsu lokalnego tzw. loopback (lo) -j ACCEPT – określamy, że dopasowany ruch powinien być akceptowany Sprawdźmy teraz jak teraz wygląda nasz firewall (będę używał zapisanej konfiguracji z poprzedniego wpisu – jeśli zaczynasz od początku polecam użycie poleceń z TEGO pliku i wklejenie ich kolejno w konsoli). iptables -L -v Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- lo any anywhere anywhere 320 18032 ACCEPT tcp -- any any anywhere anywhere tcp dpt:ssh 0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:http 0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:https 14 1720 DROP all -- any any anywhere anywhere Jak widać nasza reguła wylądowała na samej górze łańcucha i od tej pory interfejs loopback akceptuje każdy rodzaj ruchu sieciowego. Poświęć chwile na analizę powyższego listingu. Pierwszą rzeczą jaka powinna ci się rzucić w oczy jest fakt, że użyłem dodatkowego przełącznika przy wyświetleniu aktualnych reguł: iptables -L -v . Przełącznik -v wyświetla więcej statystyk dla naszego firewalla – ilość i wielkość (w bajtach) pakietów jakie „wpadły” do danej reguły. Widać, że nasz firewall przetworzył ruch dla reguły zezwalającej na ruch ssh – stało się tak ponieważ testy wykonywałem na maszynie będąc podłączonym do niej właśnie przez protokół ssh. Kilka pakietów „złapało” się również na ostatnią regułę DROP – przypominam, że są to pakiety, które nie pasowały to reguł wcześniejszych w tym łańcuchu. Ustanowione połączenia Nie napisałem o tym wcześniej ale dobrym nawykiem jak i zalecaną akcją przy konfiguracji firewalla jest ustawienie w pierwszej kolejności (może być też w drugiej 🙂 ) akceptowania połączeń już istniejących i powiązanych do już istniejących – zabezpieczmy się w ten sposób przed np. przypadkowym dodaniem reguły blokującym nam np. dostęp do konsoli lub podczas testowania reguł nie odetniemy dostępu klientom już podłączonym. iptables -I INPUT 1 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT Poza dobrze znanymi Ci już przełącznikami (jak np. -I INPUT 1) pojaiwły się 2 nowe: -m conntrack oraz –ctstate. -m conntrack – pozwala na dopasowanie reguły do aktualnego stanu połączenia, należy go używać z przełącznikiem –ctstate. –ctstate – definiuje stan w jakim pakiem powinien się znajdować aby mógł być dopasowany. Możliwe stany to: NEW – połączenie nowe (nie widziane do tej pory). RELATED – połączenie nowe ale odnoszące się do innego, które było wcześniej zaakceptowane. ESTABLISHED – połączenie już istniejące. INVALID – połączenie, które nie zostało z jakiś powodów dopasowane do żadnego innego stanu. Kasowanie reguł Wiesz już jak dodawać różnego rodzaju reguły ale co w przypadku kiedy reguła przestała być potrzebna lub jest błędna ? Usuwanie reguł w iptables jest bardzo proste i odbywa się poprzez przełącznik -D. Kasowanie może być przeprowadzone w dwojaki sposób. Można usunąć regułę podając jej wartość np. : iptables -D INPUT 1 -i lo -j ACCEPT Polecenie usunie dokładnie taką regułę z łańcucha – jeśli zrobisz literówkę lub reguł nie będzie w łańcuchu system powiadomi Cię, że nie może znaleźć dopasowania. Zakładam, że po jakimś czasie nie będziesz pamiętał jak dokładnie wyglądała składania dodawanych przez Ciebie reguł – w tym wypadku można wyświetlić składnie wszystkich reguł zapisanych w twoim firewallu poprzez polecenie: iptables -S Otrzymasz w ten sposób listę aktualnie zapisanych reguł. Wszystko co należy zrobić to skopiować interesującą nasz linię i zamienić przełącznik -A, -I na -D. Drugim sposobem na usunięcie interesujacej nas reguły jest podanie numeru lini, która ma być skasowana: iptables -D INPUT 3 Powyższa komenda skasuje regułę w łańcuchu INPUT, która znajduje się na pozycji nr. 3. Przy rozbudowanej konfiguracji może się to okazać dość nieporęczne a skasowanie nie tej reguł dość bolesne 🙂 Iptables – dwa podejścia Pisałem w pierwszej części tego artykułu, że istnieją dwa podejścia do zarządzania regułami firewalla. Pierwsze kiedy pozwalamy na cały ruch a blokujemy / ograniczamy ruch do niektórych usług, lub blokujemy domyślnie cały ruch do naszej maszyny a zezwalamy tylko na określone usługi. Do tej pory mieliśmy ustawione domyślne polityki dla łańcuchów INPUT, OUTPUT i FORWARD na akceptowanie (ACCEPT). Spróbujemy teraz zastosować drugie podejście – zmienimy domyślną politykę na odrzucanie połączeń. iptables -P INPUT DROP Po wykonaniu powyższego polecenia możemy usunąć nasz ostatni zapis w łańcuchu INPUT, który odrzucał pakiety nie dopasowane do wcześniejszych reguł (http, https, ssh): iptables -D INPUT -j DROP Wyświetlmy teraz aktualną konfigurację firewalla i zobaczmy co się zmieniło: iptables -L Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere ACCEPT tcp -- anywhere anywhere tcp dpt:ssh ACCEPT tcp -- anywhere anywhere tcp dpt:http ACCEPT tcp -- anywhere anywhere tcp dpt:https Po analizie powyższego listingu powinieneś zauważyć, że domyślna polityka dla łańcucha INPUT jest ustawiona na DROP czyli wszystkie pakiety są domyślnie odrzucane – chyba że istnieją na liście dopuszczonych tak jak protokoły http, https, oraz ssh. Generalnie dobrą zasadą jest ustawienie domyślnych reguł na: Domyślne ODRZUCANIE połączeń w łańcuchu INPUT (iptables -P INPUT DROP) Domyślne ODRZUCANIE połączeń w łańcuchu FORWARD (iptables -P FORWARD DROP) Domyślne AKCEPTOWANIE połączeń w łańcuchu OUTPUT (iptables -P OUTPUT ACCEPT) Zapisanie / odczyt konfiguracji Dodawane przez Ciebie reguły są zapisywane w pamięci operacyjnej – po restarcie maszyny utracisz wszystkie zmiany jakie wprowadziłeś w ustawieniach swojego firewalla. Aby zapisać konfigurację należy użyć poniższego polecenia: iptables-save > /etc/iptables/iptables.rules Spowoduje ona zapisane istniejącej konfiguracji w pliku w lokalizacji /etc/iptables pod nazwą iptables.rules. Do przywrócenia konfiguracji służy polecenie: iptables-restore < /etc/iptables/iptables.rules Logowanie odrzuconych pakietów Być może w ramach edukacji, ciekawości lub z innych pobudek przyda Ci się funkcja logowania odrzuconych pakietów do pliku. Aby tego dokonać wystarczy kilka prostych kroków: Dodać nowy łańcuch reguł, Dodać regułę, która przekieruje odrzucony ruch do nowego łańcucha Dodać prefix dla tych pakietów, dzięki czemu będzie je łatwiej odfiltrować z logu, Dorzucić niechciane pakiety. Cała operacja nie jest skomplikowana i ogranicza się do poniższych poleceń: # dodajemy nowy łańcuch o nazwie "LOGOWANIE" iptables -N LOGOWANIE # Dodajemy regułę, która przekieruje niechciany ruch do nowego łańcucha iptables -A INPUT -j LOGOWANIE # zapisanie pakietów do pliku z odpowiednim prefiksem iptables -A LOGOWANIE -m limit --limit 2/min -j LOG --log-prefix "IPTables pakiet odrzucony: " --log-level 7 # Odrzucenie pakietów po zalogowaniu iptables -A LOGOWANIE -j DROP Zobaczmy jak teraz wygląda nasz firewall po zastosowaniu nowych reguł: iptables -L Chain INPUT (policy DROP) target prot opt source destination ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere ACCEPT tcp -- anywhere anywhere tcp dpt:ssh ACCEPT tcp -- anywhere anywhere tcp dpt:http LOGOWANIE all -- anywhere anywhere Chain LOGOWANIE (1 references) target prot opt source destination LOG all -- anywhere anywhere limit: avg 2/min splash 5 LOG level debug prefix "IPTables pakiet odrzucony: " DROP all -- anywhere anywhere W systemie Debian domyślny plik logowania znajduje się tutaj: /var/log/messages , w systemie Ubuntu będzie to /var/log/kern.log . Po wyświetleniu tego pliku (poprzez polecenie cat lub tail -f powinny nam się pojawić pakiety, które zostały odrzucone przez nasz firewall. Jun 1014:39:13 localhost kernel: IN=eth0 OUT= MAC=00:22:4d:87:b2:66:00:64:40:3a:fa:c0:08:00 SRC=192.168.10.11 DST=1922.168.10.10 TOS=0x00 PREC=0x00 TTL=41 ID=61889 DF PROTO=TCP SPT=17557 DPT=80 WINDOW=69 RES=0x00 ACK RST URGP=0 Temat firewalla jest rozległy i zależy od indywidualnych potrzeb – w tym krótkim poradniku starałem się opisać absolutne podstawy. Na koniec polecam kilka innych żródeł aby rozszerzyć wiedzę na temat linuxowego firewalla i pakietu iptables. Do poczytania https://help.ubuntu.com/community/IptablesHowTo http://ipset.netfilter.org/iptables.man.html http://www.thegeekstuff.com/2011/06/iptables-rules-examples/ To też może Cię zainteresować:IPTables – pierwsza linia obrony Twojego serwera, p1ProFTPd konfiguracja serwera FTP z szyfrowaniem TLSSSH bez hasła za pomocą ssh-keygen i ssh-copy-id ← Poprzedni post Następny post → Dodaj komentarz Anuluj pisanie odpowiedzi Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem * Najnowsze Wypociny Alternatywne serwery DNS Zmiana adresu DNS w systemie windows / linux Wyłącz aktualizację do systemu Windows 10 IPTables – pierwsza linia obrony Twojego serwera, p2 IPTables – pierwsza linia obrony Twojego serwera, p1 Archiwa Wrzesień 2017 Czerwiec 2016 Styczeń 2016 Czerwiec 2015 Kategorie c++ Debian HowTo Linux Programowanie Security Sieci Windows TeamSpeak3 Przydatne Linki Marta Nowakowska Photographyauto-obsluga.plVLSM CalcIP lookupIP ConversionDynamic DNSfreeisoft.pl Copyright © 2016 wnuk.me. All Rights Reserved This website uses cookiesTa strona korzysta z ciasteczek aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie. OKPrivacy & Cookies Policy