iptablesés una potent eina que s'utilitza per configurar el tallafoc integrat del nucli Linux. Ve preinstal·lat a la majoria de distribucions d'Ubuntu, però si utilitzeu una versió personalitzada d'Ubuntu o s'executeu dins d'un contenidor, probablement l'haureu d'instal·lar manualment.
sudo apt-get install iptables iptables-persistent
Després de la instal·lació, si se us demana si voleu desar les vostres regles actuals, no importa en aquest moment perquè eliminareu o creareu noves regles més endavant.
Podeu utilitzar l' netcatordre (en un ordinador diferent del vostre servidor) per provar quins dels vostres ports estan oberts o tancats.
nc -z -w5 -v SERVER_IP PORT
nc és l'ordre netcat.-z només cal enviar un paquet sense càrrega útil.-w5 espereu fins a 5 segons per rebre una resposta.-v mode detallat.SERVER_IP-la per l'adreça del vostre servidor.PORT-lo pel port que voleu provar si està obert (p 22. ex . ).Al vostre servidor podeu utilitzar l' netstatordre per veure quins ports estan escoltant les connexions.
sudo netstat -tulpn
Nota: tot i que netstatés útil trobar els ports amb els quals voleu treballar, hauríeu de tenir en compte les aplicacions que teniu instal·lades actualment al vostre servidor i quins ports escolten, no cal que permeteu tots els ports que trobeu a la netstatsortida .
sudo iptables -A INPUT -p tcp -m tcp --dport 22 --m geoip --src-cc PE -j ACCEPT
-A INPUTafegeix una regla a la INPUTcadena, una cadena és un grup de regles, les que més fem servir en aquesta guia seran INPUT, OUTPUTi PREROUTING.-p tcpdefiniu tcpcom el protocol al qual s'aplicarà aquesta regla, també podeu utilitzar altres protocols com ara udp, icmpo all.-m tcputilitzar el tcpmòdul. iptablesAdmet funcions addicionals mitjançant mòduls, alguns dels quals ja estan preinstal·lats iptablesi d'altres, com ara el geoipmòdul.--dport 22les ordres que comencen per --indiquen opcions addicionals per al mòdul utilitzat anteriorment, en aquest cas direm al tcpmòdul que només s'apliqui al port 22.-m geoiputilitzar el geoipmòdul. Limitarà els paquets per país (més informació al pas 5).--src-cc PEdigueu al geoipmòdul que limiti els paquets entrants als que provenen del Perú. Per obtenir més codis de país, cerqueu ISO 3166 country codesa Internet.-j ACCEPTl' -jargument indica iptablesquè fer si un paquet coincideix amb les restriccions especificades als arguments anteriors. En aquest cas seran ACCEPTaquests paquets, altres opcions són REJECT, DROPi més. Podeu trobar més opcions cercant iptables jump targetsa Internet.Llista totes les regles.
sudo iptables -L
Llista totes les ordres que s'han utilitzat per crear les regles utilitzades actualment, útils per editar o eliminar regles.
sudo iptables -S
Per suprimir una regla específica, trieu una regla sudo iptables -Si substituïu-la -Aper -D.
# -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
sudo iptables -D INPUT -p tcp -m tcp --dport 22 -j ACCEPT
Enumereu totes les regles numerades de la INPUTcadena.
sudo iptables -L INPUT --line-numbers
Suprimeix una regla numerada.
sudo iptables -D INPUT 2
Per esborrar totes les regles.
sudo iptables -F
Avís: podeu perdre la connexió si us connecteu per SSH .
Esborra només les regles de la OUTPUTcadena.
sudo iptables -F OUTPUT
Permet SSHa la eth0interfície
sudo iptables -A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-i eth0 aplicar la regla a una interfície específica, per permetre eliminar aquesta ordre des de qualsevol interfície.Per limitar els paquets entrants a una IP específica (és a dir, 10.0.3.1/32).
sudo iptables -A INPUT -i eth0 -s 10.0.3.1/32 -p tcp -m tcp --dport 22 -j ACCEPT
-s 10.0.3.1/32 especifica una IP/subxarxa per permetre connexions.Estableix regles de cadena predeterminades.
Avís: abans de continuar, assegureu-vos que heu aplicat les regles SSH correctes si treballeu en un servidor remot .
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT ACCEPT
-P INPUT DROP nega tots els paquets entrants (és a dir, ningú es podrà connectar als vostres servidors en execució, com ara Apache, SQL, etc.).-P FORWARD DROP denega tots els paquets reenviats (és a dir, quan utilitzeu el vostre sistema com a encaminador).-P OUTPUT ACCEPTpermet tots els paquets de sortida (és a dir, quan realitzeu una HTTPsol·licitud).Permet tot el trànsit a la interfície de loopback ( recomanat ).
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT
Deseu les iptablesregles actuals .
sudo netfilter-persistent save
sudo netfilter-persistent reload
Si esteu executant dins d'un contenidor, netfilter-persistentés probable que l' ordre no funcioni, de manera que haureu de reconfigurar el iptables-persistentpaquet.
sudo dpkg-reconfigure iptables-persistent
Permet consultes DNS.
sudo iptables -A OUTPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT
sudo iptables -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
Utilitzeu el statemòdul per permetre RELATEDi ESTABLISHEDsortir paquets.
sudo iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Permet els ports desitjats; en aquest cas, els HTTPports.
sudo iptables -A OUTPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
Més ports que vulgueu utilitzar.
FTP: tcp al port 21HTTPS: tcp al port 443DHCP: udp al port 67NTP: udp al port 123Nota: si voleu permetre apt-get, pot ser que calgui permetre FTPiHTTPS .
Permeteu el trànsit retornat només per a connexions RELATEDi ja ESTABLISHED( recomanat perquè de vegades es requereix una comunicació bidireccional).
sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Permet sol·licituds de ping des de l'exterior.
sudo iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
sudo iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
Reenvia el trànsit al eth0port 2200a 10.0.3.21:22(útil si vols exposar un servidor SSH que s'està executant dins d'un contenidor).
sudo iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 2200 -j DNAT --to-destination 10.0.3.21:22
Si inicieu sessió correctament al vostre servidor mitjançant SSH, es crearà una connexió persistent (és a dir, no hi ha connexions noves encara que esteu connectat durant més d'1 hora). Si falla i intenteu iniciar sessió de nou, es crearà una nova connexió. Això bloquejarà els intents continus d'inici de sessió SSH limitant les connexions noves per hora.
sudo iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
sudo iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 3600 --hitcount 4 -j DROP
Redirigeix totes les sol·licituds de port 443a port 4430(útil si vols vincular-te a port 443sense root).
sudo iptables -t nat -A PREROUTING -i ens3 -p tcp --dport 443 -j REDIRECT --to-port 4430
sudo iptables -A INPUT -p tcp -m tcp --dport 4430 -m geoip --src-cc PE -j ACCEPT
ens3 la interfície de xarxa.-m geoip mòdul de bloc de països (vegeu el pas 5).Avís: no utilitzeu lo, el sistema operatiu descartarà tots els paquets redirigits a la interfície de loopback .
xtables-addonsPodeu instal·lar el xtables-addonsmòdul mitjançant diversos mètodes, no dubteu a utilitzar el mètode d'instal·lació que us funcioni millor.
Instal·leu amb apt-get.
sudo apt-get install xtables-addons-common
Instal·leu amb module-assistant.
sudo apt-get install module-assistant xtables-addons-source
sudo module-assistant --verbose --text-mode auto-install xtables-addons
Instal·lar des de la font.
sudo apt-get install git bc libncurses5-dev libtext-csv-xs-perl autoconf automake libtool xutils-dev iptables-dev
git clone git://git.code.sf.net/p/xtables-addons/xtables-addons
cd xtables-addons
./autogen.sh
./configure
make
sudo make install
Construir una base de dades de "països".
sudo apt-get install libtext-csv-xs-perl unzip
sudo mkdir /usr/share/xt_geoip
sudo /usr/lib/xtables-addons/xt_geoip_dl
sudo /usr/lib/xtables-addons/xt_geoip_build -D /usr/share/xt_geoip *.csv
sudo rm GeoIPCountryCSV.zip GeoIPCountryWhois.csv GeoIPv6.csv
Reinicieu el vostre sistema.
sudo reboot
Un cop xtables-addonss'ha instal·lat correctament, després del primer reinici, executeu-lo, en depmodcas contrari, el bloqueig del país no funcionarà correctament (només és necessari per primera vegada).
sudo depmod
Creeu un script a /etc/cron.monthly/geoip-updaterper actualitzar la geoipbase de dades mensualment.
#!/usr/bin/env bash
# this script is intended to run with sudo privileges
echo 'Removing old database---------------------------------------------------'
rm -rf /usr/share/xt_geoip/*
mkdir -p /usr/share/xt_geoip
echo 'Downloading country databases-------------------------------------------'
mkdir /tmp/geoip-updater
cd /tmp/geoip-updater
/usr/lib/xtables-addons/xt_geoip_dl
echo 'Building geoip database-------------------------------------------------'
/usr/lib/xtables-addons/xt_geoip_build -D /usr/share/xt_geoip *.csv
echo 'Removing temporary files------------------------------------------------'
cd /tmp
rm -rf /tmp/geoip-updater
Fer /etc/cron.monthly/geoip-updaterexecutable.
sudo chmod +x /etc/cron.monthly/geoip-updater
_Nota: si rebeu un iptables: No chain/target/match by that nameerror quan intenteu aplicar una geoipregla, és possible que xtables-addonsno s'hagi instal·lat correctament. Proveu un altre mètode d'instal·lació.
Bloqueja tots els paquets entrants de la Xina, Hong Kong, Rússia i Corea.
sudo iptables -A INPUT -m geoip --src-cc CN,HK,RU,KR -j DROP
Permet paquets entrants al port 80des de qualsevol lloc excepte dels països anteriors.
sudo iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
Permet els paquets entrants a la ens3interfície del port 22només des del Perú (no dubteu a triar el codi de país des del qual voleu acceptar paquets, per exemple, USper als Estats Units).
sudo iptables -A INPUT -i ens3 -p tcp -m tcp --dport 22 -m geoip --src-cc PE -j ACCEPT
Permet paquets entrants al port 443només des del Perú.
sudo iptables -A INPUT -p tcp -m tcp --dport 443 -m geoip --src-cc PE -j ACCEPT
La Intel·ligència Artificial no està en el futur, és aquí mateix en el present. En aquest bloc Llegiu com les aplicacions d'Intel·ligència Artificial han afectat diversos sectors.
També ets víctima d'atacs DDOS i estàs confós sobre els mètodes de prevenció? Llegiu aquest article per resoldre les vostres consultes.
Potser haureu sentit que els pirates informàtics guanyen molts diners, però us heu preguntat mai com guanyen aquest tipus de diners? anem a discutir.
Vols veure els invents revolucionaris de Google i com aquests invents van canviar la vida de tots els éssers humans actuals? A continuació, llegiu al bloc per veure els invents de Google.
El concepte de cotxes autònoms per sortir a les carreteres amb l'ajuda de la intel·ligència artificial és un somni que tenim des de fa temps. Però malgrat les diverses promeses, no es veuen enlloc. Llegeix aquest blog per saber-ne més...
A mesura que la ciència evoluciona a un ritme ràpid, fent-se càrrec de molts dels nostres esforços, també augmenten els riscos de sotmetre'ns a una singularitat inexplicable. Llegeix, què pot significar per a nosaltres la singularitat.
Llegeix el blog per conèixer de la manera més senzilla les diferents capes de l'Arquitectura Big Data i les seves funcionalitats.
Els mètodes d'emmagatzematge de les dades que han anat evolucionant poden ser des del naixement de les dades. Aquest bloc tracta l'evolució de l'emmagatzematge de dades a partir d'una infografia.
En aquest món digital, els dispositius domèstics intel·ligents s'han convertit en una part crucial de les vides. A continuació, es mostren alguns avantatges sorprenents dels dispositius domèstics intel·ligents sobre com fan que la nostra vida valgui la pena i sigui més senzilla.
Recentment, Apple va llançar macOS Catalina 10.15.4, una actualització de suplements per solucionar problemes, però sembla que l'actualització està causant més problemes que provoquen el bloqueig de les màquines Mac. Llegiu aquest article per obtenir més informació
