Tűzfal beállítása a iptables öt percig, programozó jegyzetek
Többször szembesültem azzal a ténnyel, hogy még egy meglehetősen okos általában az emberek nem elég megbocsáthatatlan hibákat. Például, nyissa az egész internet port, amelyen az adatbázis forog. Így gyakran előfordul a kezdők DevOps, aki azt írta a kódot az élet, de most az a feladata, hogy is beállíthatja szervereket. A hálózat vannak jó útmutatók az alapbeállítás tűzfal a Linux és más Unix, de gyakran ez a lemez egy több képernyőkön. Így remélhetőleg a tömörebb bemutató hasznos valakinek.
Fontos! Ez könnyű összetéveszteni így zafaervolit gép, amit fel akkor már nem megy le. Ez különösen igaz a cloud tárhely. Például, ha bezárja az AWS összes port 1024-65536, a gép újraindítása után valamilyen okból, általában zárva az összes port. Ha otthont a felhők, hogy jobban alkalmazkodjanak a tűzfalon keresztül a megosztott tárhely web felületen.
Egy kis megjegyzés a terminológiát. A tűzfal beépített Linux kernel hívják Netfiltert és iptables - egy segédprogram kezelni a tűzfalat. Sokan tévesen úgy vélik, hogy a tűzfal nevű iptables. Ez nem így van. Mond valamit, mint a „szűrni a csomagokat iptables», akkor mutatni másoknak, hogy nem ismerik.
Tulajdonképpen mi a probléma megoldható a Netfilterhez:
Megjegyzem, hogy az iptables közüzemi személyesen nekem először úgy tűnt, nagyon kényelmetlen, mint a ipfw FreeBSD alatt. Szerencsére, miután dolgozik vele egy darabig, mindez zászlók beállítását, mint -A, -D, -j és a többi szokássá válik, hogy legyen türelemmel. Tekintsük az alapvető parancsokat.
Itt található az összes szabályt:
Talán észrevetted, hogy a Netfilter bármilyen „lánc» (láncok) - minimum bemeneti, kimeneti és előre. Én személy szerint van egy autó is van egy lánc DOCKER. Ez az első alkalom, hogy lehetséges, hogy úgy gondolja, az első két, mint az összes bejövő és kimenő forgalmat volt, míg a többi átmenetileg feledésbe merült. Jó esély van, hogy soha nem akkor nem kell.
Ahhoz, hogy törölje az összes szabályok:
Változási politika (alapértelmezett) láncok:
iptables -P INPUT DROP
iptables -P INPUT ACCEPT
iptables-restore
Most tekintsünk néhány gyakorlati példa. Így például, úgy néz ki emulációs netsplits tesztelésére, érvényesítésére és az alkalmazások viselkedését, amely felhasználja Akka Cluster:
futás # 40; Node1, s "iptables -A INPUT -s $ node2 -j DROP" # 41;
futás # 40; Node1, s "iptables -A INPUT -s $ node3 -j DROP" # 41;
futás # 40; Node1, s "iptables -A OUTPUT -d $ node2 -j DROP" # 41;
futás # 40; Node1, s "iptables -A OUTPUT -d $ node3 -j DROP" # 41;
Recovery történik ugyanúgy, csak a -A kapcsolót cserélni a -d.
Egy másik példa. Ez szükséges, hogy mely portok hallgat az autó, és zárja be a szükségtelen. Mi megy a kocsi, és azt mondják:
Aktív internet kapcsolat (csak szerver)
Proto Recv-Q-Q küldése Helyi cím Idegen cím Állami PID / Prog neve
tcp 0 0 0.0.0.0:80 0.0.0.0:* MEGHALLGAT 3210 / nginx
tcp 0 0 0.0.0.0:4369 0.0.0.0:* MEGHALLGAT 1789 / EPMD
tcp 0 0 0.0.0.0:22 0.0.0.0:* MEGHALLGAT 797 / sshd
tcp 0 0 127.0.0.1:5432 0.0.0.0:* MEGHALLGAT 990 / postgres
Nginx és sshd néz az interneten, minden rendben. PostgreSQL hallgat csak a helyi interfész, ezért is nincs gond vele. De EPMD kilóg (ellenőrizheti telnet egy másik gépre), és ez nem jó. Bezárhatja az egyetlen kikötő 4369. Hogyan kell csinálni, azt már fentebb látható. Vagy mehetsz is tovább, és tilt minden külső kapcsolat a port 81 és idősebb:
iptables -A INPUT -m multiport \
-p TCP --dports 81. 65535 -s 127.0.0.0 / 8 -j DROP
Ez használ egy multiport bővítése, lehetővé teszi, hogy add meg a port tartományokat.
Ellenőrizzük, hogy minden működik. Ha OK, fenntartja magának a jogot, hogy:
iptables-save> / etc / iptables.rules
Hogy uralkodjanak felvette az induláskor, hozzon létre egy új fájlt /etc/network/if-pre-up.d/iptables:
iptables-restore exit 0
chmod + x / etc / network / ha-pre-up.d / iptables
Igazolta, hogy ez a módszer működik az Ubuntu 14.04 LTS. A Debian is működnie kell. Ismertesse alternatív módon helyreállítani a tűzfal szabályok induláskor megtalálható a már említett a cikket OpenVPN.
Kiegészítő anyagok azok számára, akik szeretnének többet megtudni a Netfilternek:
Hogyan konfigurálja tűzfalak a saját szerverek?