Hướng dẫn tạo access list linux iptables - tạo danh sách truy cập iptables linux

ACL

Danh sách truy cập (ACL) là một tập hợp các quy tắc được xác định để kiểm soát lưu lượng mạng và giảm tấn công mạng. ACL được sử dụng để lọc lưu lượng dựa trên tập hợp các quy tắc được xác định cho việc đến hoặc gửi đi của mạng.

Các tính năng ACL

1. Tập hợp các quy tắc được xác định là phù hợp với sự kết hợp của WISE bắt đầu với dòng đầu tiên, sau đó là thứ 2, sau đó là thứ 3, v.v.
2. Các gói chỉ được khớp cho đến khi nó phù hợp với quy tắc. Khi một quy tắc được khớp, không có sự so sánh nào xảy ra và quy tắc đó sẽ được thực hiện.
3. Có một sự từ chối ngầm ở cuối mỗi ACL, tức là, nếu không có điều kiện hoặc quy tắc nào khớp với gói thì gói sẽ bị loại bỏ.

Khi danh sách truy cập được xây dựng, thì nó sẽ được áp dụng cho giao diện trong hoặc ngoài của giao diện:

• Danh sách truy cập trong nước - Khi một danh sách truy cập được áp dụng trên các gói trong giao diện, trước tiên, các gói sẽ được xử lý theo danh sách truy cập và sau đó được chuyển đến giao diện bên ngoài. When an access list is applied on inbound packets of the interface, first the packets will be processed according to the access list and then routed to the outbound interface.
• Danh sách truy cập bên ngoài - Khi một danh sách truy cập được áp dụng trên các gói bên ngoài của giao diện, trước tiên, gói sẽ được định tuyến và sau đó được xử lý tại giao diện bên ngoài. When an access list is applied on outbound packets of the interface, first the packet will be routed and then processed at the outbound interface.

Các loại ACL Có hai loại danh sách truy cập chính khác nhau, cụ thể là:
There are two main different types of access-list, namely:

1. Danh sách truy cập tiêu chuẩn-Đây là danh sách truy cập chỉ được tạo bằng địa chỉ IP nguồn. Các ACL này cho phép hoặc từ chối toàn bộ bộ giao thức. Họ không phân biệt giữa lưu lượng IP như TCP, UDP, HTTPS, v.v. Bằng cách sử dụng các số 1-99 hoặc 1300-1999, một bộ định tuyến sẽ hiểu nó như một ACL tiêu chuẩn và địa chỉ được chỉ định làm địa chỉ IP nguồn. These are the access-lists which are made using the source IP address only. These ACLs permit or deny the entire protocol suite. They don’t distinguish between the IP traffic such as TCP, UDP, Https etc. By using numbers 1-99 or 1300-1999, a router will understand it as a standard ACL and the specified address as source IP address.
2. Danh sách truy cập mở rộng-Đây là các ACL sử dụng cả địa chỉ IP nguồn và đích. Trong các loại ACL này, chúng ta cũng có thể đề cập đến lưu lượng IP nào nên được cho phép hoặc bị từ chối. Chúng sử dụng phạm vi 100-199 và 2000-2699. These are the ACLs which uses both source and destination IP address. In these type of ACLs, we can also mention which IP traffic should be allowed or denied. These use the range 100-199 and 2000-2699.

Ngoài ra, có hai loại danh sách truy cập:

1. Danh sách truy cập được đánh số-Đây là danh sách truy cập không thể xóa cụ thể sau khi được tạo, nếu chúng tôi muốn xóa bất kỳ quy tắc nào khỏi danh sách truy cập thì điều này không được phép trong trường hợp danh sách truy cập được đánh số. Nếu chúng ta cố gắng xóa một quy tắc khỏi danh sách truy cập thì toàn bộ truy cập -ist sẽ bị xóa. Danh sách truy cập được đánh số có thể được sử dụng với cả danh sách truy cập tiêu chuẩn và mở rộng. These are the access-lists which cannot be deleted specifically once created i.e., if we want to remove any rule from an access-list then this is not permitted in the case of numbered access list. If we try to delete a rule from the access-list then the whole access -ist will be deleted. The numbered access-list can be used with both standard and extended access-list.
2. Danh sách truy cập được đặt tên-Trong loại danh sách truy cập này, một tên được gán để xác định danh sách truy cập. Nó được phép xóa một danh sách truy cập được đặt tên không giống như danh sách truy cập được đánh số. Giống như danh sách truy cập được đánh số, chúng có thể được sử dụng với cả danh sách truy cập tiêu chuẩn và mở rộng. In this type of access-list, a name is assigned to identify an access-list. It is allowed to delete a named access-list unlike numbered access-lists. Like numbered access-lists, these can be used with both standard and extended access-lists.

Quy tắc cho ACL

1. Danh sách truy cập tiêu chuẩn thường được áp dụng gần với đích (nhưng không phải luôn luôn).
2. Danh sách truy cập mở rộng thường được áp dụng gần với nguồn (nhưng không phải luôn luôn).
3. Chúng ta chỉ có thể gán một ACL cho mỗi giao diện cho mỗi giao thức cho mỗi hướng, tức là, chỉ được phép một ACL trong nước và nước ngoài được cho phép trên mỗi giao diện.
4. Chúng tôi có thể xóa một quy tắc từ danh sách truy cập nếu chúng tôi đang sử dụng danh sách truy cập được đánh số. Nếu chúng ta cố gắng loại bỏ một quy tắc thì toàn bộ ACL sẽ bị xóa. Nếu chúng tôi đang sử dụng danh sách truy cập được đặt tên thì chúng tôi có thể xóa một quy tắc cụ thể.
5. Mỗi quy tắc mới được thêm vào danh sách truy cập sẽ được đặt ở cuối danh sách truy cập, do đó trước khi thực hiện danh sách truy cập, phân tích toàn bộ kịch bản một cách cẩn thận.
6. Vì có một sự phủ nhận ngầm ở cuối mỗi danh sách truy cập, chúng ta nên có ít nhất một tuyên bố giấy phép trong danh sách truy cập của chúng tôi, nếu không tất cả lưu lượng truy cập sẽ bị từ chối.
7. Danh sách truy cập tiêu chuẩn và danh sách truy cập mở rộng không thể có cùng tên.

Ưu điểm của ACL

• Cải thiện hiệu suất mạng.
• Cung cấp bảo mật vì quản trị viên có thể định cấu hình danh sách truy cập theo nhu cầu và từ chối các gói không mong muốn vào mạng.
• Cung cấp quyền kiểm soát lưu lượng truy cập vì nó có thể cho phép hoặc từ chối theo nhu cầu của mạng.

iptables

Một phương pháp đơn giản để thêm bảo mật là sử dụng iptables. Video sau đây giới thiệu khái niệm này.

Iptables được sử dụng để kiểm tra, sửa đổi, chuyển tiếp, chuyển hướng và/hoặc thả các gói IP. Mã để lọc các gói IP đã được tích hợp vào kernel và được tổ chức thành một tập hợp các bảng, mỗi bảng có một mục đích cụ thể. Các bảng được tạo thành từ một tập hợp các chuỗi được xác định trước và các chuỗi chứa các quy tắc được đi qua theo thứ tự. Mỗi quy tắc bao gồm một vị từ của các trận đấu tiềm năng và một hành động tương ứng (được gọi là mục tiêu) được thực thi nếu vị ngữ là đúng; tức là, các điều kiện được khớp. Nếu gói IP đi đến cuối chuỗi tích hợp, bao gồm cả chuỗi trống, thì mục tiêu chính sách của chuỗi sẽ xác định đích cuối cùng của gói IP. Iptables là tiện ích người dùng cho phép bạn làm việc với các chuỗi/quy tắc này. Hầu hết người dùng mới tìm thấy sự phức tạp của định tuyến IP Linux khá khó khăn, nhưng, trong thực tế, các trường hợp sử dụng phổ biến nhất (NAT và/hoặc tường lửa internet cơ bản) ít phức tạp hơn đáng kể. is used to inspect, modify, forward, redirect, and/or drop IP packets. The code for filtering IP packets is already built into the kernel and is organized into a collection of tables, each with a specific purpose. The tables are made up of a set of predefined chains, and the chains contain rules which are traversed in order. Each rule consists of a predicate of potential matches and a corresponding action (called a target) which is executed if the predicate is true; i.e., the conditions are matched. If the IP packet reaches the end of a built-in chain, including an empty chain, then the chain's policy target determines the final destination of the IP packet. iptables is the user utility which allows you to work with these chains/rules. Most new users find the complexities of Linux IP routing quite daunting, but, in practice, the most common use cases (NAT and/or basic Internet firewall) are considerably less complex.

Những cái bàn

Iptables chứa năm bảng: contains five tables:

RAW chỉ được sử dụng để định cấu hình các gói để chúng được miễn theo dõi kết nối.Filter là bảng mặc định và là nơi tất cả các hành động thường được liên kết với tường lửa diễn ra. Không được sử dụng để dịch địa chỉ mạng (ví dụ: chuyển tiếp cổng). Mangle được sử dụng cho các thay đổi gói chuyên dụng. Security được sử dụng cho các quy tắc mạng kiểm soát truy cập bắt buộc (ví dụ: SELINUX - xem bài viết này để biết thêm chi tiết). is used only for configuring packets so that they are exempt from connection tracking.
Filter is the default table, and is where all the actions typically associated with a firewall take place.
Nat is used for network address translation (e.g., port forwarding).
Mangle is used for specialized packet alterations.
Security is used for Mandatory Access Control networking rules (e.g., SELinux -- see this article for more details).

Trong hầu hết các trường hợp sử dụng phổ biến, bạn sẽ chỉ sử dụng hai trong số này: Filter và NAT. Các bảng khác nhằm vào các cấu hình phức tạp liên quan đến nhiều bộ định tuyến và quyết định định tuyến và trong mọi trường hợp ngoài phạm vi của các nhận xét giới thiệu này.

Chuỗi

Các bảng bao gồm các chuỗi, là danh sách các quy tắc được tuân thủ theo thứ tự. Bảng mặc định, bộ lọc, chứa ba chuỗi tích hợp: đầu vào, đầu ra và chuyển tiếp được kích hoạt tại các điểm khác nhau của quy trình lọc gói.

Xem iptables (8) để biết mô tả các chuỗi tích hợp trong các bảng khác.

Theo mặc định, không có chuỗi nào chứa bất kỳ quy tắc nào. Tùy thuộc vào bạn để nối các quy tắc vào các chuỗi mà bạn muốn sử dụng. Các chuỗi có chính sách mặc định, thường được đặt để chấp nhận, nhưng có thể được đặt lại để giảm, nếu bạn muốn chắc chắn rằng không có gì trượt qua quy tắc của bạn. Chính sách mặc định luôn chỉ áp dụng ở cuối chuỗi. Do đó, gói phải thông qua tất cả các quy tắc hiện có trong chuỗi trước khi chính sách mặc định được áp dụng.

Các chuỗi do người dùng xác định có thể được thêm vào để làm cho các quy tắc hiệu quả hơn hoặc dễ dàng sửa đổi hơn.

Ghi nhật ký iptables LOGGING

Để cho phép đăng nhập Iptables:iptables:

pbmac@pbmac-server $ iptables -A INPUT -j LOG

Xác định IP & NBSP; hoặc phạm vi mà nhật ký sẽ được tạo:

pbmac@pbmac-server $ iptables -A INPUT -s 192.168.10.0/24 -j LOG

Để xác định mức nhật ký được tạo bởi Iptables sử dụng cấp độ theo sau là số cấp:iptables use –log-level followed by level number:

pbmac@pbmac-server $ iptables -A INPUT -s 192.168.10.0/24 -j LOG --log-level 4

Thêm một số tiền tố trong nhật ký được tạo, do đó sẽ dễ dàng tìm kiếm nhật ký trong một tệp lớn:

pbmac@pbmac-server $ iptables -A INPUT -s 192.168.10.0/24 -j LOG --log-prefix '** SUSPECT **'

Sau khi bật nhật ký iptables, & nbsp; kiểm tra các tệp nhật ký sau để xem nhật ký được tạo bởi iptables theo hệ điều hành của bạn -& nbsp; iptables đăng nhập vào một trong hai /var/log/kern.log hoặc/var/log/tin nhắn.iptables logs, check following log files to view logs generated by iptables as per your operating system - iptables log to either /var/log/kern.log or /var/log/messages.

Được điều chỉnh từ: "Danh sách truy cập (ACL)" bởi Saurabhsharma56, Geek for Geek được cấp phép theo CC By-SA 4.0 " Người đóng góp, Arch Linux Wiki nằm trong phạm vi công cộng, CC0
"Access-Lists (ACL)" by saurabhsharma56, Geeks for Geeks is licensed under CC BY-SA 4.0
"Iptables How To" by Gunnar Hjalmarsson, Ubuntu Community Wiki is licensed under CC BY-SA 4.0
"iptables" by Multiple COntributors, Arch Linux Wiki is in the Public Domain, CC0