Hướng dẫn tạo access list linux iptables - tạo danh sách truy cập iptables linux
Danh sách truy cập (ACL) là một tập hợp các quy tắc được xác định để kiểm soát lưu lượng mạng và giảm tấn công mạng. ACL được sử dụng để lọc lưu lượng dựa trên tập hợp các quy tắc được xác định cho việc đến hoặc gửi đi của mạng. Các tính năng ACL Khi danh sách truy cập được xây dựng, thì nó sẽ được áp dụng cho giao diện trong hoặc ngoài của giao diện: Các loại ACL Có hai loại danh sách truy cập chính khác nhau, cụ thể là: Ngoài ra, có hai loại danh sách truy cập: Quy tắc cho ACL Ưu điểm của ACL
iptablesMột phương pháp đơn giản để thêm bảo mật là sử dụng iptables. Video sau đây giới thiệu khái niệm này. Iptables được sử dụng để kiểm tra, sửa đổi, chuyển tiếp, chuyển hướng và/hoặc thả các gói IP. Mã để lọc các gói IP đã được tích hợp vào kernel và được tổ chức thành một tập hợp các bảng, mỗi bảng có một mục đích cụ thể. Các bảng được tạo thành từ một tập hợp các chuỗi được xác định trước và các chuỗi chứa các quy tắc được đi qua theo thứ tự. Mỗi quy tắc bao gồm một vị từ của các trận đấu tiềm năng và một hành động tương ứng (được gọi là mục tiêu) được thực thi nếu vị ngữ là đúng; tức là, các điều kiện được khớp. Nếu gói IP đi đến cuối chuỗi tích hợp, bao gồm cả chuỗi trống, thì mục tiêu chính sách của chuỗi sẽ xác định đích cuối cùng của gói IP. Iptables là tiện ích người dùng cho phép bạn làm việc với các chuỗi/quy tắc này. Hầu hết người dùng mới tìm thấy sự phức tạp của định tuyến IP Linux khá khó khăn, nhưng, trong thực tế, các trường hợp sử dụng phổ biến nhất (NAT và/hoặc tường lửa internet cơ bản) ít phức tạp hơn đáng kể. is used to inspect, modify, forward, redirect, and/or drop IP packets. The code for filtering IP packets is already built into the kernel and is organized into a collection of tables, each with a specific purpose. The tables are made up of a set of predefined chains, and the chains contain rules which are traversed in order. Each rule consists of a predicate of potential matches and a corresponding action (called a target) which is executed if the predicate is true; i.e., the conditions are matched. If the IP packet reaches the end of a built-in chain, including an empty chain, then the chain's policy target determines the final destination of the IP packet. iptables is the user utility which allows you to work with these chains/rules. Most new users find the complexities of Linux IP routing quite daunting, but, in practice, the most common use cases (NAT and/or basic Internet firewall) are considerably less complex. Những cái bànIptables chứa năm bảng: contains five tables: RAW chỉ được sử dụng để định cấu hình các gói để chúng được miễn theo dõi kết nối.Filter là bảng mặc định và là nơi tất cả các hành động thường được liên kết với tường lửa diễn ra. Không được sử dụng để dịch địa chỉ mạng (ví dụ: chuyển tiếp cổng). Mangle được sử dụng cho các thay đổi gói chuyên dụng. Security được sử dụng cho các quy tắc mạng kiểm soát truy cập bắt buộc (ví dụ: SELINUX - xem bài viết này để biết thêm chi tiết). is used only for configuring packets so that they are exempt from connection tracking. Trong hầu hết các trường hợp sử dụng phổ biến, bạn sẽ chỉ sử dụng hai trong số này: Filter và NAT. Các bảng khác nhằm vào các cấu hình phức tạp liên quan đến nhiều bộ định tuyến và quyết định định tuyến và trong mọi trường hợp ngoài phạm vi của các nhận xét giới thiệu này. ChuỗiCác bảng bao gồm các chuỗi, là danh sách các quy tắc được tuân thủ theo thứ tự. Bảng mặc định, bộ lọc, chứa ba chuỗi tích hợp: đầu vào, đầu ra và chuyển tiếp được kích hoạt tại các điểm khác nhau của quy trình lọc gói. Xem iptables (8) để biết mô tả các chuỗi tích hợp trong các bảng khác. Theo mặc định, không có chuỗi nào chứa bất kỳ quy tắc nào. Tùy thuộc vào bạn để nối các quy tắc vào các chuỗi mà bạn muốn sử dụng. Các chuỗi có chính sách mặc định, thường được đặt để chấp nhận, nhưng có thể được đặt lại để giảm, nếu bạn muốn chắc chắn rằng không có gì trượt qua quy tắc của bạn. Chính sách mặc định luôn chỉ áp dụng ở cuối chuỗi. Do đó, gói phải thông qua tất cả các quy tắc hiện có trong chuỗi trước khi chính sách mặc định được áp dụng. Các chuỗi do người dùng xác định có thể được thêm vào để làm cho các quy tắc hiệu quả hơn hoặc dễ dàng sửa đổi hơn. Ghi nhật ký iptables LOGGINGĐể cho phép đăng nhập Iptables:iptables: pbmac@pbmac-server $ iptables -A INPUT -j LOG
Xác định IP & NBSP; hoặc phạm vi mà nhật ký sẽ được tạo: pbmac@pbmac-server $ iptables -A INPUT -s 192.168.10.0/24 -j LOG
Để xác định mức nhật ký được tạo bởi Iptables sử dụng cấp độ theo sau là số cấp:iptables use –log-level followed by level number: pbmac@pbmac-server $ iptables -A INPUT -s 192.168.10.0/24 -j LOG --log-level 4
Thêm một số tiền tố trong nhật ký được tạo, do đó sẽ dễ dàng tìm kiếm nhật ký trong một tệp lớn: pbmac@pbmac-server $ iptables -A INPUT -s 192.168.10.0/24 -j LOG --log-prefix '** SUSPECT **'
Sau khi bật nhật ký iptables, & nbsp; kiểm tra các tệp nhật ký sau để xem nhật ký được tạo bởi iptables theo hệ điều hành của bạn -& nbsp; iptables đăng nhập vào một trong hai /var/log/kern.log hoặc/var/log/tin nhắn.iptables logs, check following log files to view logs generated by iptables as per your operating system - iptables log to either /var/log/kern.log or /var/log/messages. Được điều chỉnh từ: "Danh sách truy cập (ACL)" bởi Saurabhsharma56, Geek for Geek được cấp phép theo CC By-SA 4.0 " Người đóng góp, Arch Linux Wiki nằm trong phạm vi công cộng, CC0 |