شرح مفصل وطريقة تركيب GIPTables الجدار النارى
السلام عليكم
الاول بقول يا ريت كل واحد يدخل يستفيد يا رب :) واى شخص يريد اى شىء فى الحماية يعطينى خبر وداه شرح مفصل للجدار النارى المعروف GIPTables ------------------------------------------------------------------------------------------------- اهم مميزات GIPTables : - سهل التثبيت والاعداد - يحتاج فقط الى IPTables ولا يحتاج الى برامج اخرى - يضمن حماية جيده ضد هجوم TCP-SYN Flood (احد انواع Dos attack) - حماية فعالة ضد IP Spoofing , بالاضافة الى توفر ميزات NAT و MASQ طبعا يشترط ان يكون الكرنل يدعم ال Netfilter وهذا الوضع الطبيعي للكيرنل في انظمة ريدهات وفيدورا اما اذا كان الكرنل بتاعك لا يدعم ال Netfilter وهذه حاله نادرة ناتجه مثلا عند تثبيت كيرنل جديد مع عدم دعم ال Netfilter به , فسيتطلب منك عمل Recompile للكيرنل ولكن مع اتباع الخطوات التالية: * Networking options * Packet socket (CONFIG_PACKET) ? Y Packet socket: mmapped IO (CONFIG_PACKET_MMAP) ? Y Netlink device emulation (CONFIG_NETLINK_DEV) ? Y Network packet filtering (replaces ipchains) (CONFIG_NETFILTER) ? Y Network packet filtering debugging (CONFIG_NETFILTER_DEBUG) ? Y Socket Filtering (CONFIG_FILTER) ? N Unix domain sockets (CONFIG_UNIX) ? Y TCP/IP networking (CONFIG_INET) ? Y IP: multicasting (CONFIG_IP_MULTICAST) ? N IP: advanced router (CONFIG_IP_ADVANCED_ROUTER) ? N IP: kernel level autoconfiguration (CONFIG_IP_PNP) ? N IP: tunneling (CONFIG_NET_IPIP) ? Answer N here IP: GRE tunnels over IP (CONFIG_NET_IPGRE) ? N IP: TCP Explicit Congestion Notification support (CONFIG_INET_ECN) ? N IP: TCP syncookie support (disabled per default) (CONFIG_SYN_COOKIES) ? Y * * IP: Netfilter Configuration * Connection tracking (required for masq/NAT) (CONFIG_IP_NF_CONNTRACK) ? Y FTP protocol support (CONFIG_IP_NF_FTP) ? Y IRC protocol support (CONFIG_IP_NF_IRC) ? N IP tables support (required for filtering/masq/NAT) (CONFIG_IP_NF_IPTABLES) ? Y limit match support (CONFIG_IP_NF_MATCH_LIMIT) ? Y MAC address match support (CONFIG_IP_NF_MATCH_MAC) ? Y netfilter MARK match support (CONFIG_IP_NF_MATCH_MARK) ? Y Multiple port match support (CONFIG_IP_NF_MATCH_MULTIPORT) ? Y TOS match support (CONFIG_IP_NF_MATCH_TOS) ? Y LENGTH match support (CONFIG_IP_NF_MATCH_LENGTH) ? Y TTL match support (CONFIG_IP_NF_MATCH_TTL) ? Y tcpmss match support (CONFIG_IP_NF_MATCH_TCPMSS) ? Y Connection state match support (CONFIG_IP_NF_MATCH_STATE) ? Y Packet filtering (CONFIG_IP_NF_FILTER) ? Y REJECT target support (CONFIG_IP_NF_TARGET_REJECT) ? Y Full NAT (CONFIG_IP_NF_NAT) ? Y Packet mangling (CONFIG_IP_NF_MANGLE) ? Y TOS target support (CONFIG_IP_NF_TARGET_TOS) ? Y MARK target support (CONFIG_IP_NF_TARGET_MARK) ? Y LOG target support (CONFIG_IP_NF_TARGET_LOG) ? Y TCPMSS target support (CONFIG_IP_NF_TARGET_TCPMSS) ? Y Here are the required kernel setups for a Gateway/Proxy server: * Networking options * Packet socket (CONFIG_PACKET) ? Y Packet socket: mmapped IO (CONFIG_PACKET_MMAP) ? Y Netlink device emulation (CONFIG_NETLINK_DEV) ? Y Network packet filtering (replaces ipchains) (CONFIG_NETFILTER) ? Y Network packet filtering debugging (CONFIG_NETFILTER_DEBUG) ? Y Socket Filtering (CONFIG_FILTER) ? Y Unix domain sockets (CONFIG_UNIX) ? Y TCP/IP networking (CONFIG_INET) ? Y IP: multicasting (CONFIG_IP_MULTICAST) ? Y IP: advanced router (CONFIG_IP_ADVANCED_ROUTER) ? Y IP: policy routing (CONFIG_IP_MULTIPLE_TABLES) ? Y IP: use netfilter MARK value as routing key (CONFIG_IP_ROUTE_FWMARK) ? Y IP: fast network address translation (CONFIG_IP_ROUTE_NAT) ? Y IP: equal cost multipath (CONFIG_IP_ROUTE_MULTIPATH) ? Y IP: use TOS value as routing key (CONFIG_IP_ROUTE_TOS) ? Y IP: verbose route monitoring (CONFIG_IP_ROUTE_VERBOSE) ? Y IP: large routing tables (CONFIG_IP_ROUTE_LARGE_TABLES) ? Y IP: kernel level autoconfiguration (CONFIG_IP_PNP) ? N IP: tunneling (CONFIG_NET_IPIP) ? Y IP: GRE tunnels over IP (CONFIG_NET_IPGRE) ? Y IP: TCP Explicit Congestion Notification support (CONFIG_INET_ECN) ? N IP: TCP syncookie support (disabled per default) (CONFIG_SYN_COOKIES) ? Y * * IP: Netfilter Configuration * Connection tracking (required for masq/NAT) (CONFIG_IP_NF_CONNTRACK) ? Y FTP protocol support (CONFIG_IP_NF_FTP) ? Y IRC protocol support (CONFIG_IP_NF_IRC) ? Y IP tables support (required for filtering/masq/NAT) (CONFIG_IP_NF_IPTABLES) ? Y limit match support (CONFIG_IP_NF_MATCH_LIMIT) ? Y MAC address match support (CONFIG_IP_NF_MATCH_MAC) ? Y netfilter MARK match support (CONFIG_IP_NF_MATCH_MARK) ? Y Multiple port match support (CONFIG_IP_NF_MATCH_MULTIPORT) ? Y TOS match support (CONFIG_IP_NF_MATCH_TOS) ? Y LENGTH match support (CONFIG_IP_NF_MATCH_LENGTH) ? Y TTL match support (CONFIG_IP_NF_MATCH_TTL) ? Y tcpmss match support (CONFIG_IP_NF_MATCH_TCPMSS) ? Y Connection state match support (CONFIG_IP_NF_MATCH_STATE) ? Y Packet filtering (CONFIG_IP_NF_FILTER) ? Y REJECT target support (CONFIG_IP_NF_TARGET_REJECT) ? Y Full NAT (CONFIG_IP_NF_NAT) ? Y MASQUERADE target support (CONFIG_IP_NF_TARGET_MASQUERADE) ? Y REDIRECT target support (CONFIG_IP_NF_TARGET_REDIRECT) ? Y Packet mangling (CONFIG_IP_NF_MANGLE) ? Y TOS target support (CONFIG_IP_NF_TARGET_TOS) ? Y MARK target support (CONFIG_IP_NF_TARGET_MARK) ? Y LOG target support (CONFIG_IP_NF_TARGET_LOG) ? Y TCPMSS target support (CONFIG_IP_NF_TARGET_TCPMSS) ? Y ipchains (2.2-style) support (CONFIG_IP_NF_COMPAT_IPCHAINS) ? N طريقة التثبيت : wget http://www.giptables.org/downloads/giptables-1.1.tar.gz gunzip giptables-1.1.tar.gz | tar xfv - cd giptables-1.1 ./install.sh cd .. rm -f giptables-1.1.tar.gz بعد الانتهاء من التثبيت سيتكون مجلدين هما /lib/giptables/modules/ وبه modules الخاصة بالفايروول /lib/giptables/conf وبه ملفات الاعداد و ملف /etc/rc.d/rc.giptables.blocked وبه العناوين المحظروة الاعدادات : يحتوي مجلد /lib/giptables/conf على عدة ملفات الاعداد وهي giptables.conf.dns1 الاعدادات الخاصه بـ Master DNS Server giptables.conf.dns2 الاعدادات الخاصه بـ Slave DNS Server giptables.conf.ftpserver الاعدادات الخاصه بـ FTP Server giptables.conf.gateway الاعدادات الخاصه بـ Gateway Server giptables.conf.mailserver الاعدادات الخاصه بـ Mail Server giptables.conf.ppp الاعدادات الخاصه بـ PPP gateway server giptables.conf.webserver الاعدادات الخاصه بـ Web Server ولكننا سنقوم بأستخدام ملف واحد فقط والذي يكون مناسب للسيرفر , وبما ان معظم سيرفراتكم هي Web Server فسنستخدم ملف giptables.conf.webserver كالاتي cd /lib/giptables/conf/ cp giptables.conf.webserver giptables.conf.mybox ln -sf /lib/giptables/conf/giptables.conf.mybox /etc/giptables.conf بعد ذلك سنقوم بفتح ملف الاعدادت وتعديله حسب حاجتنا : vi /etc/giptables.conf وملف الاعداد سهل وعند كل option في الملف شرح بسيط له للمساعده ولان ملف الاعداد سيتطلب وقتا كبير في شرحه فلن استطيع شرحه بعض الملاحظات في ملف الاعداد: لا تنسو اسم interface و IP السيرفر كالاتي مع تغيير القيم INTERFACE0="eth0" INTERFACE0_IPADDR="1.2.3.4" ونفس الحكاية بالنسبة لل name servers كالاتي ISP_PRIMARY_DNS_SERVER="a.a.a.a" ISP_SECONDARY_DNS_SERVER="b.b.b.b" بالنسبة لملف /etc/rc.d/rc.giptables.custom يمكن تحتاجه في كتابة اوامر iptables خاصه ستعمل عند تشغيل giptables ولكي يعمل هذا الملف تأكد من وجود هذه القيمة في ملف الاعداد : LOAD_CUSTOM_RULES="yes" ولو فيه اي مشكله في ملف الاعدادت قابلت اي حد ممكن يطرحها ونحاول نحلها اخر حاجه بالنسبة لملف /etc/rc.d/rc.giptables.blocked قم بتعديله واضافه الايبيهات اللي تريد عمل حظر لها vi /etc/rc.d/rc.giptables.blocked وضع كل IP على سطر لوحده واخيرا وبعد ان انتهينا من الاعدادات قم بتشغيل GIPTables /etc/init.d/giptables start والسلام عليكم منقول عن الاخ : Net Spider |
مشكور اخوي والله يعيطك العافية
|
جميع الأوقات بتوقيت مكة المكرمة. الساعة الآن » 07:31 PM. |
Powered by vBulletin
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © ArabWebTalk.Com 2004-2012