IPTables per fillestaret ( pjesa II)
Kjo eshte pjesa e II e tutorialit rreth IPTables.
Tani ju duhet ti riktheheni skriptit te meparshem ( ate qe krijuam ne pjesen e I ) dhe te shtoni rregullin e meposhtem:</p>
Iptables A OUTPUT p icmp j REJECT –reject-with KY VEPRIM NUK ESHTE I LEJUAR </p>
Ruani ndryshimet e bera dhe ekzekutoni skriptin tuaj. Provoni te beni ping google.com perseri. Ju do te merrni kete mesazh pas cdo perpjekje “KY VEPRIM NUK ESHTE I LEJUAR”. Cfare keni bere ju ? Ju praktikisht keni bllokuar daljen e paketave ICMP nga kumpjuteri juaj. Nese dikush ben ping PC/serverin tuaj, ping do te lejohet te vij brenda por nuk do te kete pergjigje nga ana juaj. Nese ndryshojme rregullin qe sapo krijuam nga INPUT ne OUTPUT dhe ekzekutojme skriptin perseri, kur dikush te na bej ping do dali i nejti mesazh.</p>
-A do te endosi rregullin e ri te tablea/zinxhiri i percaktuar ( ne kete rast ne zgjodhem OUTPUT). Pasi percaktohet zinxhiri ne i tregojme iptables te kontrolloj per nje protokoll specifik qe te ti pershtatet rregullit i cili perdor -p. Protokolli qe ne duam te gjejme eshte ICMP.</p>
-j ky opsion specifikon nje kercim, qe do te thote kur plotesohet nje rregull do te bej cdo gje qe eshte e specifikuar pas opsionit -j.</p>
–reject-with sherben per te vendosur mesazhe. Ne rastin tone mund te kishim perdorur direkte DROP pas opsionit -j por ne perdorem REJECT dhe –reject-with per ti bere te ditur perdoruesit qe administratori i sistemit nuk lejon qe te behet ping duke dhene mesazhin “KY VEPRIM NUK ESHTE I LEJUAR”.</p>
Nderfaqja loopback duhet te jete gjithmone e lejuar nepermjet iptables sepse iptables do te bllokojne trafikon nese rregulli fillestar eshte vendosur te DROP. Per shkak se loopback eshte i nevojshem ne shume sherbime te linux eshte e rendesishme te lejohet ne kompjuterin tuaj. Shkruani rregullin e meposhtem:</p>
Iptables A INPUT -i lo j ACCEPT
Iptables A OUTPUT -o lo j ACCEPT</p>
-i eshte shkurtimi per –in-interface, kurse -o eshte per –out-interface. Opsioni i perkuar ‘lo’ do te thote nderfaqja e quajtur loopback, e cila ne duam te pranojme ( ACCEPT ). Ky rregulli do te thote se, nese rregulli fillestar eshte vendosur te bej DROP atehere nderfaqja loopback do te lejohet te komunikoje.</p>
Kur konfigurini iptables duhet te mendoni ne kete menyre. Ju ne fillim do te vendosni nje rregull fillestar per te bllokuar cdo gje, dhe me pas do vendosni nje seri rregullash per te lejuar vetem ato veprimi te cilat nevoijten. Kjo u demonstrua ne skripitn qe ju shkruajtet. Ne fillim cdo gje ishte vendosur te bllokohej ( DROP ), dhe asgje nuk mund te hynte apo te dilte. Sidoqofte, cdo rregull qe ju shtoni ( duke perdorur -A ) ne nje zinxhir do te krahasohet me cdo pakete qe do qarkulloje. Kjo gje ndodh perpara se te aktivizohet rregulli fillestar. Per shembull nese rregulli fillestar per OUTPUT eshte vendosur DROP dhe ne provojme te bejme ping, nuk do te punoje sigurisht. Megjithate, nese ne vendosim rregullin:</p>
Iptables A OUTPUT p icmp j ACCEPT</p>
Ping do te punoje pasi iptables do te kontrolloj cdo rregull perpara se te aplikoj rregullin fillestar.</p>
Qe skripti te aktivizohet ne menyre automatike sa here qe ndezim kompjuterin ne duhet ta vendosim ate te /etc/rc.d/firewall
Mos harroni te nderoni permissions ne menyre qe vetem ju te mund ta ndryshoni ate.</p>
Kaq ishte persa i perket iptables, nje veshtrim i pergjitshem, pasi iptables do e trajtoj ne nje teme tjeter ne menyre me te detaujar. Do sjell shembuj konkret per konfigurimin e serverave. Ky tutorial ishte thjesht qe ju te keni nje ide te pergjithshme.</p>
Ky artikull eshte marre nga: http://www.albseo.com/?p=803. Per me shume artikuj te ngjashem vizitoni: http://www.albseo.com/?p=803
Kjo eshte pjesa e II e tutorialit rreth IPTables.
Tani ju duhet ti riktheheni skriptit te meparshem ( ate qe krijuam ne pjesen e I ) dhe te shtoni rregullin e meposhtem:</p>
Iptables A OUTPUT p icmp j REJECT –reject-with KY VEPRIM NUK ESHTE I LEJUAR </p>
Ruani ndryshimet e bera dhe ekzekutoni skriptin tuaj. Provoni te beni ping google.com perseri. Ju do te merrni kete mesazh pas cdo perpjekje “KY VEPRIM NUK ESHTE I LEJUAR”. Cfare keni bere ju ? Ju praktikisht keni bllokuar daljen e paketave ICMP nga kumpjuteri juaj. Nese dikush ben ping PC/serverin tuaj, ping do te lejohet te vij brenda por nuk do te kete pergjigje nga ana juaj. Nese ndryshojme rregullin qe sapo krijuam nga INPUT ne OUTPUT dhe ekzekutojme skriptin perseri, kur dikush te na bej ping do dali i nejti mesazh.</p>
-A do te endosi rregullin e ri te tablea/zinxhiri i percaktuar ( ne kete rast ne zgjodhem OUTPUT). Pasi percaktohet zinxhiri ne i tregojme iptables te kontrolloj per nje protokoll specifik qe te ti pershtatet rregullit i cili perdor -p. Protokolli qe ne duam te gjejme eshte ICMP.</p>
-j ky opsion specifikon nje kercim, qe do te thote kur plotesohet nje rregull do te bej cdo gje qe eshte e specifikuar pas opsionit -j.</p>
–reject-with sherben per te vendosur mesazhe. Ne rastin tone mund te kishim perdorur direkte DROP pas opsionit -j por ne perdorem REJECT dhe –reject-with per ti bere te ditur perdoruesit qe administratori i sistemit nuk lejon qe te behet ping duke dhene mesazhin “KY VEPRIM NUK ESHTE I LEJUAR”.</p>
Nderfaqja loopback duhet te jete gjithmone e lejuar nepermjet iptables sepse iptables do te bllokojne trafikon nese rregulli fillestar eshte vendosur te DROP. Per shkak se loopback eshte i nevojshem ne shume sherbime te linux eshte e rendesishme te lejohet ne kompjuterin tuaj. Shkruani rregullin e meposhtem:</p>
Iptables A INPUT -i lo j ACCEPT
Iptables A OUTPUT -o lo j ACCEPT</p>
-i eshte shkurtimi per –in-interface, kurse -o eshte per –out-interface. Opsioni i perkuar ‘lo’ do te thote nderfaqja e quajtur loopback, e cila ne duam te pranojme ( ACCEPT ). Ky rregulli do te thote se, nese rregulli fillestar eshte vendosur te bej DROP atehere nderfaqja loopback do te lejohet te komunikoje.</p>
Kur konfigurini iptables duhet te mendoni ne kete menyre. Ju ne fillim do te vendosni nje rregull fillestar per te bllokuar cdo gje, dhe me pas do vendosni nje seri rregullash per te lejuar vetem ato veprimi te cilat nevoijten. Kjo u demonstrua ne skripitn qe ju shkruajtet. Ne fillim cdo gje ishte vendosur te bllokohej ( DROP ), dhe asgje nuk mund te hynte apo te dilte. Sidoqofte, cdo rregull qe ju shtoni ( duke perdorur -A ) ne nje zinxhir do te krahasohet me cdo pakete qe do qarkulloje. Kjo gje ndodh perpara se te aktivizohet rregulli fillestar. Per shembull nese rregulli fillestar per OUTPUT eshte vendosur DROP dhe ne provojme te bejme ping, nuk do te punoje sigurisht. Megjithate, nese ne vendosim rregullin:</p>
Iptables A OUTPUT p icmp j ACCEPT</p>
Ping do te punoje pasi iptables do te kontrolloj cdo rregull perpara se te aplikoj rregullin fillestar.</p>
Qe skripti te aktivizohet ne menyre automatike sa here qe ndezim kompjuterin ne duhet ta vendosim ate te /etc/rc.d/firewall
Mos harroni te nderoni permissions ne menyre qe vetem ju te mund ta ndryshoni ate.</p>
Kaq ishte persa i perket iptables, nje veshtrim i pergjitshem, pasi iptables do e trajtoj ne nje teme tjeter ne menyre me te detaujar. Do sjell shembuj konkret per konfigurimin e serverave. Ky tutorial ishte thjesht qe ju te keni nje ide te pergjithshme.</p>
Ky artikull eshte marre nga: http://www.albseo.com/?p=803. Per me shume artikuj te ngjashem vizitoni: http://www.albseo.com/?p=803