Hostwinds دروس
نتائج البحث عن:
جدول المحتويات
العلامات: CentOS Web Panel, Firewall, Linux
iptables هي أداة جدار حماية مرنة للغاية في سطر الأوامر تم تصميمها خصيصا ل Distros Linux.يستخدم iPtables سلاسل السياسة للسماح أو حظر حركة المرور.عند إنشاء اتصال على الخادم الخاص بك، ستحدد iPtables قاعدة في قائمتها لتحديد الإجراءات التي يجب اتخاذها.إذا لم تكن هناك قاعدة موجودة للاتصال، فسيتم اللجوء إلى الإجراء الافتراضي المحدد لنظامك.
بشكل عام ، يتم تثبيت IPTables افتراضيًا على معظم أنظمة Linux. لتحديثه أو تثبيته ، يمكنك استرداد حزمة IPTables عن طريق إصدار الأوامر التالية:
ملحوظة: يجب أن تكون IPTables مثبتة مسبقًا على CentOS 6.
أوبونتو
apt-get install iptables-persistent
CentOS 7
systemctl stop firewalld
systemctl mask firewalld
yum install iptables-services
systemctl enable iptables
systemctl start iptables
سيتم الآن تثبيت iptables الآن على نظامك.دعونا نلقي نظرة على كيفية استخدام iptables.
سيتغطي هذا القسم بعض الأوامر والاستخدامات الأساسية الأساسية، مثل إدراج قواعدك الحالية وحظر عنوان IP من إنشاء اتصال.
لسرد القواعد التدريبية النشطة حاليا عن طريق المواصفات، كنت تصدر الأمر التالي:
iptables -S
لعرض القواعد التي يتم تطبيقها حاليا على سلسلة محددة، يمكنك استخدام الأمر التالي. سيعرض هذا المثال جميع مواصفات القاعدة لسلسلة UDP:
iptables -S UDP
يمكنك سرد كافة قواعد IPTables الحالية الموجودة في طريقة عرض جدول باستخدام الأمر التالي الذي يستدعي الخيار -L. سيؤدي ذلك إلى سرد جميع مجموعات القواعد الحالية مرتبة حسب نوع السلسلة.
iptables -L
يمكنك حذف القواعد في iptables باستخدام خيار -d.يمكنك إزالة القائمين بيندز بضع طرق مختلفة.سنغطي قواعد إزالة القواعد من خلال المواصفات.على سبيل المثال، إذا كنت ترغب في إزالة القاعدة التي تسمح لجميع حركة المرور الواردة على المنفذ 443، كنت تستخدم الأمر التالي:
iptables -D INPUT -i eth0 -p tcp --dport 443 -j ACCEPT
باستخدام IPTables ، يمكنك مسح القواعد. يمكن القيام بذلك عن طريق شطف سلسلة واحدة أو شطف كل السلاسل. سنغطي كلا الطريقتين أدناه.
لطرد سلسلة واحدة يمكنك استخدام خيار -f، أو خيار إضافي مكاني، جنبا إلى جنب مع اسم السلسلة الذي ترغب في تدفقه.على سبيل المثال، يمكنك حذف جميع القواعد في سلسلة الإدخال عن طريق الاستفادة من الأمر التالي:
iptables -F INPUT
لمسة جميع السلاسل، كنت تستخدم مرة أخرى الخيار -Flush -Flush مرة أخرى دون أي معلمات إضافية.سيؤدي ذلك بشكل فعال إلى إزالة جميع قواعد جدار الحماية بشكل فعال حاليا نشطا على الخادم.الأمر كما يلي:
iptables -F
توفر iPtables القدرة على حظر اتصالات الشبكة من عنوان IP محدد.على سبيل المثال، لمنع جميع الاتصالات الواردة من 10.10.10.10، كنت تقوم بتشغيل الأمر التالي:
iptables -A INPUT -s 10.10.10.10 -j DROP
يمكنك أيضا رفض الاتصال، والذي سيستجيب مع خطأ "رفض الاتصال".استبدال الانخفاض مع الرفض.
iptables -A INPUT -s 10.10.10.10 -j REJECT
يمكنك أيضا حظر الاتصالات من IP محددة إلى جهاز شبكة معين، مثل ETH1، باستخدام خياري.
iptables -A INPUT -i eth1 -s 10.10.10.10 -j DROP
للسماح لجميع اتصالات SSH الواردة على منفذ SSH الافتراضي (22) ، استخدم الأوامر التالية:
iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT
يمكنك أيضا تحديد اتصالات SSH المسموح بها فقط من عنوان IP أو الشبكة الفرعية المحددة.على سبيل المثال، إذا كنت تريد فقط السماح بعنوان IP 10.10.10.10 للاتصال بالخادم عبر SSH، فستستخدم الأمر التالي:
iptables -A INPUT -p tcp -s 10.10.10.10 --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT
يمكن القيام بذلك أيضًا لشبكة فرعية بأكملها عن طريق إضافة الشبكة الفرعية إلى الأمر ، مثل / 27 كما يوضح الأمر التالي:
iptables -A INPUT -p tcp -s 10.10.10.10/27 --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
قد لا يكون جدار الحماية الخاص بك تعيين سياسة الإخراج لقبوله.إذا كانت هذه هي الحالة، فقد تحتاج إلى السماح باتصالات SSH المنتهية ولايتها إذا كنت ترغب في الاتصال بخادم خارجي من الخادم الخاص بك مباشرة.يمكنك تشغيل الأوامر التالية لتحقيق ذلك على منفذ SSH الافتراضي (22).إذا كنت تستخدم منفذ SSH مختلف، فاستبدل "22" في المثال التالي برقم المنفذ الذي تستخدمه:
iptables -A OUTPUT -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT
بشكل افتراضي، يتم تقديم حركة مرور HTTP بشكل عام على المنفذ 80، ويتم تشغيل حركة مرور HTTPS عادة على المنفذ 443. يمكنك السماح كلا النوعين من الاتصالات بخادم الويب الخاص بك باستخدام الأوامر التالية.
ملحوظة: إذا كنت ترغب فقط في السماح للاحد وليس الآخر، فقم بإزالة رقم المنفذ من الأمر الذي يرتبط بروتوكول ترغب في السماح به.
iptables -A INPUT -p tcp -m multiport --dports 80,443 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --dports 80,443 -m conntrack --ctstate ESTABLISHED -j ACCEPT
يسمح لك iPtables بحظر منافذ محددة، مثل منفذ SMTP الافتراضي (25). على سبيل المثال، قد لا ترغب في السماح بالبريد الصادر على الخادم الخاص بك. لإيقاف هذا باستخدام iptables، يمكنك إصدار الأمر التالي:
iptables -A OUTPUT -p tcp --dport 25 -j REJECT
سيقوم هذا بتكوين IPTables لرفض جميع حركة المرور الصادرة على المنفذ 25. إذا كنت ترغب في رفض حركة المرور على منفذ مختلف، يمكنك استبدال "25" مع رقم المنفذ المعني.
يمكنك السماح لخادمك بالاستجابة لجميع اتصالات SMTP على المنفذ 25 عن طريق تشغيل الأوامر التالية:
iptables -A INPUT -p tcp --dport 25 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 25 -m conntrack --ctstate ESTABLISHED -j ACCEPT
كتب بواسطة Hostwinds Team / ديسمبر 13, 2016