13 Linux iptables Firewall-da söhbetdeşlik soraglary

Tecmint-a ýygy-ýygydan gelýän myhman Nişita Agarwal, Hindistanyň Pune şäherinde hususy eýeçilikdäki hosting kompaniýasynda ýaňy beren iş söhbetdeşligi barada öz tejribesi (Sorag-jogap) bilen paýlaşdy. Oňa dürli mowzuklarda köp sorag berildi, ýöne iptable-da ökde we bu soraglary we iptable bilen baglanyşykly jogaplaryny ýakyn wagtda söhbetdeşlik geçirjek bolýanlara paýlaşmak isledi.

Thehli soraglar we jogaplar Nişita Agarwalyň hatyrasyna gaýtadan ýazylýar.

\ Salam dostlar! Meniň adym Nişita Agarwal. Tehnologiýa boýunça bakalawr derejesini aldym. Hünärmenligim UNIX we UNIX görnüşleri (BSD, Linux) eşidenimden bäri meni haýran galdyrýar. 1+ ýyllyk tejribäm bar ammarda. Hindistanyň Pune şäherindäki hosting kompaniýasy bilen tamamlanan iş çalşygyny gözledim.

Ine, Söhbetdeşlik wagtynda menden soran zatlarymyň ýygyndysy. Diňe ýadyma esaslanýan iptable bilen baglanyşykly soraglary we olaryň jogaplaryny dokumentleşdirdim. Söhbetdeşligiňizi döwmäge kömek eder diýip umyt edýärin.

Jogap: Iptables-i köp wagt bäri ulanýaryn we iptable-dan hem-de firewall-dan habarly. Iptables, esasan, C programmirleme dilinde ýazylan we GNU General Public License laýyklykda goýberilýän programma. Ulgam dolandyryş nukdaýnazary üçin ýazylan, iptables 1.4.21 bolsa iň soňky durnukly çykarylyşy. Dolandyryjy, öňünden kesgitlenen tablisalara diwar gorag düzgünlerini goşmak we kesgitlemek üçin konsol/GUI öňdäki gurallar arkaly iptables bilen täsirleşýär. Netfilter, süzgüç işini ýerine ýetirýän ýadrosyň içinde gurlan modul.

Firewalld, RHEL/CentOS 7-de süzgüç düzgünleriniň iň soňky ýerine ýetirilişi (meniň bilmän biljek beýleki paýlamalarymda amala aşyrylyp bilner). Iptables interfeýsini çalyşdy we netfilter-e birikdi.

Jogap: GUI-de Webmin ýaly iptable üçin hem-de konsol arkaly iptable-a gönüden-göni giriş üçin GUI esasly öňdäki gurallary ulansam-da. Linux konsolynyň üsti bilen iptables ulanyja has ýokary çeýeligi we başga bir zat bolmasa fonda bolup geçýän zatlara has gowy düşünmek görnüşinde ägirt güýç berýär. GUI täze administrator üçin, konsol bolsa tejribeli.

Jogap: iptables we firewalld şol bir maksada hyzmat edýär (Paket Filtrlemek), ýöne dürli çemeleşme bilen. “iptables” her gezek gorag diwaryndan tapawutlylykda üýtgeşme girizilende kesgitlenen ähli düzgünleri ýuwýar. Adatça, iptables konfigurasiýasynyň ýerleşýän ýeri '/ etc/sysconfig/iptables', firewalld konfigurasiýasy bolsa XML faýllarynyň toplumy bolan '/ etc/firewalld /' -de ýerleşýär. XML esasly firewalld sazlamak. iptables-iň konfigurasiýasy bilen deňeşdirilende has aňsat, ýöne paket süzgüç programmasy, ýagny iptables we firewalld ulanyp, şol bir meselä ýetip bolýar. “Firewalld”, XML esasly we ýokarda aýdylan buýruk setiri interfeýsi we konfigurasiýa faýly bilen birlikde kapotyň aşagyndaky iptable-y işledýär.

Jogap: Iptables bilen tanyş, ol işleýär we firewalldyň dinamiki tarapyny talap edýän zat ýok bolsa, ähli konfigurasiýalarymy iptables-den firewalld-a göçürmäge hiç hili sebäp ýok. Köplenç şu wagta çenli iptable-yň mesele döredýänini görmedim. Şeýle hem, maglumat tehnologiýasynyň umumy düzgüni\bozulmasa näme üçin düzediň diýilýär. Şeýle-de bolsa, bu meniň şahsy pikirim we Gurama iptable-leri firewalld bilen çalyşjak bolsa, firewalldany durmuşa geçirmäge asla garşy bolmaz.

“Iptables” -de ulanylýan tablisalar haýsylar? Iptables-de ulanylýan tablisalar we goldaýan zynjyrlar barada gysgaça düşündiriş beriň.

Jogap: Tanaýandygyňyz üçin sag boluň. Sorag bölegine geçip, iptable-da ulanylýan dört tablisa bar, ýagny:

Nat tablisasy
Mangle stoly
Süzgüç tablisasy
Çig tablisa

Nat tablisasy: Nat tablisasy, esasan, Tor salgysynyň terjimesi üçin ulanylýar. Maskalanan paketler IP adresini tablisadaky düzgünlere görä üýtgedýärler. Akymdaky paketler Nat Stoly diňe bir gezek geçýär. .agny, Paketleriň uçaryndan bir paket maskaly bolsa, akymdaky galan paketler bu tablisadan geçmez. Bu tablisada süzülmezlik maslahat berilýär. NAT tablisasy tarapyndan goldanýan zynjyrlar PREROUTING zynjyry, POSTROUTING zynjyry we OUTPUT zynjyrydyr.

Mangle Table: Adyndan görnüşi ýaly, bu tablisa paketleri bulaşdyrmak üçin hyzmat edýär. Packageörite bukjany üýtgetmek üçin ulanylýar. Dürli paketleriň mazmunyny we sözbaşylaryny üýtgetmek üçin ulanylyp bilner. Mangle stoly Masquerading üçin ulanyp bolmaýar. Goldaw zynjyrlary PREROUTING zynjyry, OUTPUT zynjyry, öňe zynjyr, INPUT zynjyry, POSTROUTING zynjyry.

Süzgüç tablisasy: Filtr tablisasy iptables-de ulanylýan deslapky tablisadyr. Paketleri süzmek üçin ulanylýar. Hiç hili düzgün kesgitlenmedik bolsa, Filtr tablisasy deslapky tablisa hökmünde kabul edilýär we süzgüç bu tablisanyň esasynda amala aşyrylýar. Goldaw zynjyrlary INPUT zynjyry, OUTPUT zynjyry, FORWARD zynjyry.

Çig tablisa: Öň boşadylan paketleri düzmek islänimizde çig tablisa herekete gelýär. PREROUTING zynjyry we OUTPUT zynjyryny goldaýar.

Jogap: Aşakda iptables-de nyşanda kesgitläp boljak maksat bahalary:

1. Kabul et: Paketleri kabul et
2. SORAG: Ulanyjy giňişligine Paas paket (programma we sürüjileriň ýaşaýan ýeri)
3. DROP: Paketleri taşlaň
4. Gaýtarmak: Dolandyryş jaň zynjyryna gaýdyp geliň we zynjyrdaky häzirki paketler üçin indiki düzgünler toplumyny ýerine ýetirmegi bes ediň.
CentOS-da iptables gurmak üçin zerur bolan iptables rpm-i nädip barlap bilersiňiz?
Jogap: iptables rpm standart CentOS gurnamasyna girýär we ony aýratyn gurmak zerurlygy ýok. Aýlawy barlap bileris:
```
# rpm -qa iptables

iptables-1.4.21-13.el7.x86_64
```
Ony gurnamaly bolsaňyz, ony almak üçin ýum edip bilersiňiz.
```
# yum install iptables-services
```
Jogap: iptables-iň ýagdaýyny barlamak üçin terminalda aşakdaky buýrugy işledip bilersiňiz.
```
# service iptables status			[On CentOS 6/5]
# systemctl status iptables			[On CentOS 7]
```
Işlemeýän bolsa, aşakdaky buýruk ýerine ýetirilip bilner.
```
---------------- On CentOS 6/5 ---------------- 
# chkconfig --level 35 iptables on
# service iptables start

---------------- On CentOS 7 ---------------- 
# systemctl enable iptables 
# systemctl start iptables 
```
Şeýle hem, iptables modulynyň ýüklenendigini ýa-da ýokdugyny barlap bileris:
```
# lsmod | grep ip_tables
```
Jogap: iptable-daky häzirki düzgünleri ýönekeý gözden geçirip bolýar:
```
# iptables -L
```
Çykyşyň nusgasy
```
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     icmp --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             state NEW tcp dpt:ssh
REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
```
Jogap: Belli bir iptables zynjyryny ýuwmak üçin aşakdaky buýruklary ulanyp bilersiňiz.
```
 
# iptables --flush OUTPUT
```
Iptable düzgünleriniň hemmesini ýuwmak.
```
# iptables --flush
```
Jogap: aboveokardaky ssenariýany diňe aşakdaky buýrugy işletmek arkaly gazanyp bolar.
```
# iptables -A INPUT -s 192.168.0.7 -j ACCEPT 
```
Çeşmä adaty çyzgy ýa-da subnet maskasyny aşakdaky ýaly goşup bileris:
```
# iptables -A INPUT -s 192.168.0.7/24 -j ACCEPT 
# iptables -A INPUT -s 192.168.0.7/255.255.255.0 -j ACCEPT
```
Jogap: Ssh 22-nji portda işleýär diýip umyt edýän, bu hem ssh üçin esasy port, iptable-a düzgün goşup bileris:
Ssh hyzmaty üçin tcp paketlerini kabul etmek üçin (port 22).
```
# iptables -A INPUT -s -p tcp --dport 22 -j ACCEPT 
```
Ssh hyzmaty üçin tcp paketlerini ret etmek üçin (port 22).
```
# iptables -A INPUT -s -p tcp --dport 22 -j REJECT
```
Ssh hyzmaty üçin DENY tcp paketlerine (22-nji port).
```
 
# iptables -A INPUT -s -p tcp --dport 22 -j DENY
```
Ssh hyzmaty üçin tcp paketlerini DROP etmek üçin (port 22).
```
 
# iptables -A INPUT -s -p tcp --dport 22 -j DROP
```
Jogap: Diňe ulanmaly zadym, iptable bilen köpeltmek opsiýasy, soň bolsa port belgileri blokirlenmeli we ýokardaky ssenariýa bir gezekde ýetip bolýar.
```
# iptables -A INPUT -s 192.168.0.6 -p tcp -m multiport --dport 21,22,23,80 -j DROP
```
Writtenazuw düzgünlerini aşakdaky buýruk bilen barlap bolýar.
```
# iptables -L

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
ACCEPT     icmp --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere             state NEW tcp dpt:ssh
REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited
DROP       tcp  --  192.168.0.6          anywhere             multiport dports ssh,telnet,http,webcache

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  anywhere             anywhere             reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
```
Söhbetdeş: Meniň sorajak bolýan zadym şu. Sen sypdyrmak islemeýän gymmatly işgär. HR-a adyňyzy maslahat bererin. Soragyňyz bar bolsa, menden sorap bilersiňiz.
Dalaşgär hökmünde söhbetdeşligi öldürmek islemeýärin, şonuň üçin saýlanan halatynda durmuşa geçirjek taslamalarym we kompaniýadaky beýleki açyşlar barada soraň. HR tapgyryny aýtmak kyn däldi we pursat tapdym.
Şeýle hem, Awişek bilen Rawä (köpden bäri dostum) söhbetdeşligimi resminamalaşdyrmak üçin wagt sarp edendikleri üçin sag bolsun aýdasym gelýär.
Dostlar! Şeýle söhbetdeşlik beren bolsaňyz we söhbetdeşlik tejribäňizi dünýädäki millionlarça Tecmint okyjylaryna paýlaşmak isleseňiz? soň soraglaryňyzy we jogaplaryňyzy [e-poçta bilen goralan] iberiň ýa-da söhbetdeşlik görnüşini aşakdaky formdan peýdalanyp bilersiňiz.
Sagbol! Birikdiriň. Şeýle hem, bir soraga edenimden has dogry jogap berip biljekdigimi habar beriň.