Hướng dẫn chi tiết này sẽ giúp bạn bắt đầu sử dụng iptables, tường lửa đã được thử nghiệm, đáng tin cậy và đúng, trong Linux.
Máy Linux được biết là khá an toàn. Các nghiên cứu đã chỉ ra rằng Linux đã được thiết kế một cách an toàn. Tuy nhiên, mặc dù có tất cả các tính năng bảo mật đi kèm với bản cài đặt Linux, bạn cần phải định cấu hình các tính năng này một cách chính xác để làm cho chúng hoạt động cho bạn. Tôi sẽ hướng dẫn bạn quy trình thiết lập một trong những công cụ giúp bảo mật máy của bạn - tường lửa. Chúng tôi sẽ sử dụng tường lửa iptables trong Linux cho bài tập này. Tôi giả định rằng bạn đang sử dụng một máy chủ chạy Red Hat Enterprise Linux 4 hoặc tương tự. Tuy nhiên, hầu hết các bước cũng sẽ hoạt động tốt trên các bản phân phối Linux khác. Trong bài viết này, chúng tôi sẽ thiết lập tường lửa trên máy chủ Linux chạy Apache Web Server, FTP và SSH.
Trước tiên, chúng ta hãy xem các ứng dụng này sử dụng cổng nào và cổng nào trong số chúng cần phải mở cổng trên tường lửa.
Máy chủ web Apache chạy trên cổng 80 theo mặc định. Apache sẽ lưu trữ tất cả nội dung web của chúng ta trên cổng này, do đó chúng ta cần giữ cho cổng này luôn mở trên tường lửa. Dịch vụ SSH chạy trên cổng 22. Chúng tôi cần có thể kết nối từ xa với máy chủ của mình để hoạt động, vì vậy chúng tôi luôn mở. FTP chạy trên cổng 21 và nó cũng cần cổng đó để mở để giao tiếp.
Tiếp theo, hãy đảm bảo rằng bạn đã cài đặt iptables. Chạy lệnh này với tư cách người dùng gốc:
# rpm -qa | grep iptables
Nếu bạn đã cài đặt iptables, hệ thống sẽ cung cấp cho bạn phiên bản iptables mà bạn đã cài đặt. Trong trường hợp bạn không thể, bạn có thể thử một cái gì đó như sau để lấy nó và bắt đầu nó:
# yum cài đặt iptables
# /etc/init.d/iptables start
Để kiểm tra loại cấu hình iptables hiện đang chạy:
# iptables –list
Chain INPUT (CHẤP NHẬN chính sách)
đích nguồn lựa chọn bảo vệ mục tiêu
Chuỗi FORWARD (CHẤP NHẬN chính sách)
đích nguồn lựa chọn bảo vệ mục tiêu
ĐẦU RA chuỗi (CHẤP NHẬN chính sách)
đích nguồn lựa chọn bảo vệ mục tiêu
Lệnh này sẽ liệt kê tất cả các quy tắc tường lửa đã được thiết lập hiện tại. Tôi sẽ tiếp tục với giả định rằng bạn không có bất kỳ quy tắc tường lửa nào trong cấu hình iptables trên hộp Linux của bạn. Bây giờ chúng ta hãy định cấu hình tường lửa để cho phép giao tiếp mở trên các cổng 80 cho máy chủ web của bạn, 22 cho SSH và cổng 21 cho FTP. Chúng tôi cũng sẽ đảm bảo rằng chúng tôi chặn giao tiếp với bất kỳ cổng nào khác với chỉ định.
Đây là tập lệnh cấu hình tập lệnh tường lửa. Tạo một tệp mới và gọi nó là iptable-firewall.sh . Sao chép văn bản sau vào đó:
#! / bin / sh
ANY =”0/0 ″
OPEN_PORTS =” 21 22 80 ″iptables -P CHẤP NHẬN ĐẦU VÀO
iptables -P CHẤP NHẬN TIỀN LÊN
iptables -P CHẤP NHẬN ĐẦU RA# Xả (-F) tất cả các quy tắc cụ thể
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUTcho cổng trong $ OPEN_PORTS
do
iptables -A INPUT -i eth0 -p tcp -s $ ANY -d $ ANY –destination-port $ port –syn -j CHẤP NHẬN
iptables -A INPUT -i eth1 -p tcp -s $ ANY -d $ ANY –destination-port $ port –syn -j CHẤP NHẬN
xongiptables -A INPUT -i eth1 -p icmp -s $ ANY -d $ BẤT KỲ -j CHẤP NHẬN
# Cho phép mọi kết nối liên quan / đã thiết lập
iptables -A INPUT -i eth0 -m state –state ESTABLISHED, RELATED -j ACCEPT
iptables -A INPUT -i eth1 -m state –state ESTABLISHED, RELATED -j CHẤP NHẬN#Kill mọi thứ khác
iptables -A INPUT -i eth0 -j DROP
iptables -A INPUT -i eth1 -j DROP#write cho khởi động
iptables-save> / etc / sysconfig / iptables
Bây giờ hãy lưu tệp ở trên, cấp cho nó quyền thực thi và sau đó chạy nó:
# chmod + x iptable-firewall.sh
# ./iptable-firewall.sh
Bây giờ hãy kiểm tra các quy tắc tường lửa của bạn:
# iptables –list
Tất cả các quy tắc tường lửa của bạn bây giờ sẽ được thiết lập. Máy chủ của bạn hiện đã được bảo mật. Để thực hiện bất kỳ sửa đổi hoặc bổ sung nào đối với bộ quy tắc này, hãy chỉnh sửa dòng nơi OPEN_PORTS tham số được xác định và thêm hoặc bớt các cổng tạo thành danh sách. Hãy nhớ chạy lại tập lệnh sau khi thực hiện bất kỳ thay đổi nào đối với nó.
Nếu tất cả nội dung dòng lệnh này khiến bạn hơi lắt léo, hãy xem hướng dẫn Cách thiết lập Firestarter - một Tường lửa Linux dễ sử dụng - có giao diện đồ họa dễ sử dụng.