[セキュリティ情報]ネットワークセキュリティの攻撃と防御:Linuxシステムのセキュリティiptables構成

その他 2021-03-31 15:38:40 訪問数: null

ここに画像の説明を挿入
iptablesは、LinuxカーネルのIPパケットフィルタリングルールを設定、維持、およびチェックするために使用されます。Linuxのファイアウォールとして、その機能は非常に強力です。3つのテーブルがあり、各テーブルにはルールチェーンがあります。

  1. filterは、組み込みのチェーンINPUT(着信パケットの処理)、FORWARD(渡されたパケットの処理)、およびOUTPUT(ローカルで生成されたパケットの処理)を含むデフォルトのテーブルです。
  2. NATテーブルが照会されると、新しい接続グループが検出されたことが示されます。これは、PREROUTING(着信グループを変更)、OUTPUT(ルーティング前にローカルグループを変更)、POSTROUTING(準備されたグループを変更)の3つの組み込みチェーンで構成されます。グループ)。
  3. マングルテーブルは、指定されたグループを変更するために使用されます。これには、PREROUTING(ルートの前に入力されたグループを変更する)とOUTPUT(ルートの前にローカルグループを変更する)の2つの組み込みルールがあります。以下に、iptablesの一般的な構成を簡単に紹介します。

iptablesルールを表示する

現在のiptablesポリシーを表示するには、iptables-Lコマンドを使用します。デフォルトのビューは、次のようにフィルターテーブルのコンテンツです。

root@kali:~# iptables-L  
Chain INPUT(policy ACCEPT)  
target prot opt source destination  
f2b-sshd tcp – anywhere anywhere multiport dports ssh 
Chain FORWARD(policy ACCEPT)  
target prot opt source destination  
Chain OUTPUT(policy ACCEPT)  
target prot opt source destination  
Chain f2b-sshd(1 references)  
target prot opt source destination  
RETURNall-anywhere anywhere

チェーン戦略を設定する

フィルタテーブルの場合、デフォルトのチェーンポリシーはACCEPTです。次のコマンドを使用してチェーンポリシーを変更できます。

root@kali:~# iptables-P INPUT DROP  
root@kali:~# iptables-P FORWARD DROP  
root@kali:~# iptbales-P OUTPUT DROP

上記のコマンド設定は、受信、転送、送信されたパケットを破棄し、厳密なパケット管理を実装します。受信パケットと送信パケットの両方が破棄されるように設定されているため、他のルールをさらに構成するときは、INPUTとOUTPUTの個別の構成に注意する必要があります。もちろん、このマシンがパケットを送信することを信頼している場合は、上記の3番目のルールを構成する必要はありません。

既存のルールをクリアする

次のルールを使用して、既存のルールをクリアできます。

root@kali:~# iptables-F

ネットワークポート転送ルール

ファイアウォールまたはゲートウェイとして使用されるサーバーの場合、1つのネットワークポートがパブリックネットワークに接続され、他のネットワークポートからのパケットがこのネットワークポートに転送されて、内部ネットワークからパブリックネットワークへの通信が実現されます。内部ネットワークとeth1がパブリックネットワークに接続されている場合、構成ルールは次のとおりです。

root@kali:~# iptables-A FORWARD-i eth0-o eth1-j ACCEPT

ポート転送ルール

このコマンドは、ポート888のパケットをポート22に転送するため、SSH接続はポート888を介して行うこともできます。

root@kali:~# iptables-t nat-A PREROUTING-p tcp-d 192.168.1.1 –dport 888-j DNAT--to 192.168.1.1:22

DoS攻撃の防止

以下に示すように、拡張モジュールの制限を使用して、DoS攻撃を防ぐためにiptablesルールを構成することもできます。

root@kali:~# iptables-A INPUT-p tcp –dport 80-m limit –limit 25/minute--limit-burst 100-j ACCEPT
  • -1分あたり25の点灯は、1分あたりの最大接続数が25に制限されていることを示します。
  • --Litmit-burst 100は、接続の総数が100を超えると、litmit / minute制限がアクティブになることを示します。

ここに画像の説明を挿入

おすすめ

転載: blog.csdn.net/YiAnSociety/article/details/114393490
おすすめ
TIOBE 5 月リスト: Fortran がトップ 10 に「復活」
GCC 14.1 发布
ランキング
Linuxの一般的なコマンドの緊急対応
FPGAの設計者は、5つの基本的なスキルです
Javaの研究では、2019年6月12日ノート
Golang底层原理剖析之内存逃逸
VIM - Viは、プログラマーのテキストエディタを改善しました
魔法書(MagicTable)入門チュートリアルは、CADの一括転送複数のテーブルExcelをExcelを回し--CAD
mockitoとの望ましくないモック
EVE-NG MPLS L2VPN BGP pw -- スタティック ルート、スタティック mpls lsp
抵抗性タッチスクリーンドライバ(II)
PHP 安装扩展 Api Version 和扩展extensions路径不匹配的问题
アーカイブ
もっと
2024-05-08(18)
2024-05-07(34)
2024-05-06(6)
2024-05-05(0)
2024-05-04(18)
2024-05-03(8)
2024-05-02(0)
2024-05-01(4)
2024-04-30(35)
2024-04-29(5)

コードワールド

© 2018 codetd.com