شرح مفصل وطريقة تركيب GIPTables الجدار النارى

Litconnected · #1 09-07-2005, 04:57 PM

السلام عليكم

الاول بقول يا ريت كل واحد يدخل يستفيد يا رب

واى شخص يريد اى شىء فى الحماية يعطينى خبر

وداه شرح مفصل للجدار النارى المعروف GIPTables

-------------------------------------------------------------------------------------------------

اهم مميزات GIPTables :
- سهل التثبيت والاعداد
- يحتاج فقط الى IPTables ولا يحتاج الى برامج اخرى
- يضمن حماية جيده ضد هجوم TCP-SYN Flood (احد انواع Dos attack)
- حماية فعالة ضد IP Spoofing , بالاضافة الى توفر ميزات NAT و MASQ

طبعا يشترط ان يكون الكرنل يدعم ال Netfilter وهذا الوضع الطبيعي للكيرنل في انظمة ريدهات وفيدورا
اما اذا كان الكرنل بتاعك لا يدعم ال Netfilter وهذه حاله نادرة ناتجه مثلا عند تثبيت كيرنل جديد مع عدم دعم ال Netfilter به , فسيتطلب
منك عمل Recompile للكيرنل ولكن مع اتباع الخطوات التالية:

* Networking options
*
Packet socket (CONFIG_PACKET) ? Y
Packet socket: mmapped IO (CONFIG_PACKET_MMAP) ? Y
Netlink device emulation (CONFIG_NETLINK_DEV) ? Y
Network packet filtering (replaces ipchains) (CONFIG_NETFILTER) ? Y
Network packet filtering debugging (CONFIG_NETFILTER_DEBUG) ? Y
Socket Filtering (CONFIG_FILTER) ? N
Unix domain sockets (CONFIG_UNIX) ? Y
TCP/IP networking (CONFIG_INET) ? Y
IP: multicasting (CONFIG_IP_MULTICAST) ? N
IP: advanced router (CONFIG_IP_ADVANCED_ROUTER) ? N
IP: kernel level autoconfiguration (CONFIG_IP_PNP) ? N
IP: tunneling (CONFIG_NET_IPIP) ? Answer N here
IP: GRE tunnels over IP (CONFIG_NET_IPGRE) ? N
IP: TCP Explicit Congestion Notification support (CONFIG_INET_ECN) ? N
IP: TCP syncookie support (disabled per default) (CONFIG_SYN_COOKIES) ? Y
*
* IP: Netfilter Configuration
*
Connection tracking (required for masq/NAT) (CONFIG_IP_NF_CONNTRACK) ? Y
FTP protocol support (CONFIG_IP_NF_FTP) ? Y
IRC protocol support (CONFIG_IP_NF_IRC) ? N
IP tables support (required for filtering/masq/NAT) (CONFIG_IP_NF_IPTABLES) ? Y
limit match support (CONFIG_IP_NF_MATCH_LIMIT) ? Y
MAC address match support (CONFIG_IP_NF_MATCH_MAC) ? Y
netfilter MARK match support (CONFIG_IP_NF_MATCH_MARK) ? Y
Multiple port match support (CONFIG_IP_NF_MATCH_MULTIPORT) ? Y
TOS match support (CONFIG_IP_NF_MATCH_TOS) ? Y
LENGTH match support (CONFIG_IP_NF_MATCH_LENGTH) ? Y
TTL match support (CONFIG_IP_NF_MATCH_TTL) ? Y
tcpmss match support (CONFIG_IP_NF_MATCH_TCPMSS) ? Y
Connection state match support (CONFIG_IP_NF_MATCH_STATE) ? Y
Packet filtering (CONFIG_IP_NF_FILTER) ? Y
REJECT target support (CONFIG_IP_NF_TARGET_REJECT) ? Y
Full NAT (CONFIG_IP_NF_NAT) ? Y
Packet mangling (CONFIG_IP_NF_MANGLE) ? Y
TOS target support (CONFIG_IP_NF_TARGET_TOS) ? Y
MARK target support (CONFIG_IP_NF_TARGET_MARK) ? Y
LOG target support (CONFIG_IP_NF_TARGET_LOG) ? Y
TCPMSS target support (CONFIG_IP_NF_TARGET_TCPMSS) ? Y

Here are the required kernel setups for a Gateway/Proxy server:
* Networking options
*
Packet socket (CONFIG_PACKET) ? Y
Packet socket: mmapped IO (CONFIG_PACKET_MMAP) ? Y
Netlink device emulation (CONFIG_NETLINK_DEV) ? Y
Network packet filtering (replaces ipchains) (CONFIG_NETFILTER) ? Y
Network packet filtering debugging (CONFIG_NETFILTER_DEBUG) ? Y
Socket Filtering (CONFIG_FILTER) ? Y
Unix domain sockets (CONFIG_UNIX) ? Y
TCP/IP networking (CONFIG_INET) ? Y
IP: multicasting (CONFIG_IP_MULTICAST) ? Y
IP: advanced router (CONFIG_IP_ADVANCED_ROUTER) ? Y
IP: policy routing (CONFIG_IP_MULTIPLE_TABLES) ? Y
IP: use netfilter MARK value as routing key (CONFIG_IP_ROUTE_FWMARK) ? Y
IP: fast network address translation (CONFIG_IP_ROUTE_NAT) ? Y
IP: equal cost multipath (CONFIG_IP_ROUTE_MULTIPATH) ? Y
IP: use TOS value as routing key (CONFIG_IP_ROUTE_TOS) ? Y
IP: verbose route monitoring (CONFIG_IP_ROUTE_VERBOSE) ? Y
IP: large routing tables (CONFIG_IP_ROUTE_LARGE_TABLES) ? Y
IP: kernel level autoconfiguration (CONFIG_IP_PNP) ? N
IP: tunneling (CONFIG_NET_IPIP) ? Y
IP: GRE tunnels over IP (CONFIG_NET_IPGRE) ? Y
IP: TCP Explicit Congestion Notification support (CONFIG_INET_ECN) ? N
IP: TCP syncookie support (disabled per default) (CONFIG_SYN_COOKIES) ? Y
*
* IP: Netfilter Configuration
*
Connection tracking (required for masq/NAT) (CONFIG_IP_NF_CONNTRACK) ? Y
FTP protocol support (CONFIG_IP_NF_FTP) ? Y
IRC protocol support (CONFIG_IP_NF_IRC) ? Y
IP tables support (required for filtering/masq/NAT) (CONFIG_IP_NF_IPTABLES) ? Y
limit match support (CONFIG_IP_NF_MATCH_LIMIT) ? Y
MAC address match support (CONFIG_IP_NF_MATCH_MAC) ? Y
netfilter MARK match support (CONFIG_IP_NF_MATCH_MARK) ? Y
Multiple port match support (CONFIG_IP_NF_MATCH_MULTIPORT) ? Y
TOS match support (CONFIG_IP_NF_MATCH_TOS) ? Y
LENGTH match support (CONFIG_IP_NF_MATCH_LENGTH) ? Y
TTL match support (CONFIG_IP_NF_MATCH_TTL) ? Y
tcpmss match support (CONFIG_IP_NF_MATCH_TCPMSS) ? Y
Connection state match support (CONFIG_IP_NF_MATCH_STATE) ? Y
Packet filtering (CONFIG_IP_NF_FILTER) ? Y
REJECT target support (CONFIG_IP_NF_TARGET_REJECT) ? Y
Full NAT (CONFIG_IP_NF_NAT) ? Y
MASQUERADE target support (CONFIG_IP_NF_TARGET_MASQUERADE) ? Y
REDIRECT target support (CONFIG_IP_NF_TARGET_REDIRECT) ? Y
Packet mangling (CONFIG_IP_NF_MANGLE) ? Y
TOS target support (CONFIG_IP_NF_TARGET_TOS) ? Y
MARK target support (CONFIG_IP_NF_TARGET_MARK) ? Y
LOG target support (CONFIG_IP_NF_TARGET_LOG) ? Y
TCPMSS target support (CONFIG_IP_NF_TARGET_TCPMSS) ? Y
ipchains (2.2-style) support (CONFIG_IP_NF_COMPAT_IPCHAINS) ? N

طريقة التثبيت :

wget http://www.giptables.org/downloads/giptables-1.1.tar.gz

gunzip giptables-1.1.tar.gz | tar xfv -

cd giptables-1.1

./install.sh

cd ..

rm -f giptables-1.1.tar.gz

بعد الانتهاء من التثبيت سيتكون مجلدين هما
/lib/giptables/modules/ وبه modules الخاصة بالفايروول
/lib/giptables/conf وبه ملفات الاعداد

و ملف /etc/rc.d/rc.giptables.blocked وبه العناوين المحظروة

الاعدادات :

يحتوي مجلد /lib/giptables/conf على عدة ملفات الاعداد وهي

giptables.conf.dns1 الاعدادات الخاصه بـ Master DNS Server
giptables.conf.dns2 الاعدادات الخاصه بـ Slave DNS Server
giptables.conf.ftpserver الاعدادات الخاصه بـ FTP Server
giptables.conf.gateway الاعدادات الخاصه بـ Gateway Server
giptables.conf.mailserver الاعدادات الخاصه بـ Mail Server
giptables.conf.ppp الاعدادات الخاصه بـ PPP gateway server
giptables.conf.webserver الاعدادات الخاصه بـ Web Server

ولكننا سنقوم بأستخدام ملف واحد فقط والذي يكون مناسب للسيرفر , وبما ان معظم سيرفراتكم هي Web Server
فسنستخدم ملف giptables.conf.webserver كالاتي

cd /lib/giptables/conf/

cp giptables.conf.webserver giptables.conf.mybox

ln -sf /lib/giptables/conf/giptables.conf.mybox /etc/giptables.conf

بعد ذلك سنقوم بفتح ملف الاعدادت وتعديله حسب حاجتنا :

vi /etc/giptables.conf

وملف الاعداد سهل وعند كل option في الملف شرح بسيط له للمساعده
ولان ملف الاعداد سيتطلب وقتا كبير في شرحه فلن استطيع شرحه

بعض الملاحظات في ملف الاعداد:

لا تنسو اسم interface و IP السيرفر كالاتي مع تغيير القيم

INTERFACE0="eth0"
INTERFACE0_IPADDR="1.2.3.4"

ونفس الحكاية بالنسبة لل name servers كالاتي

ISP_PRIMARY_DNS_SERVER="a.a.a.a"
ISP_SECONDARY_DNS_SERVER="b.b.b.b"

بالنسبة لملف /etc/rc.d/rc.giptables.custom يمكن تحتاجه في كتابة اوامر iptables خاصه ستعمل عند تشغيل giptables
ولكي يعمل هذا الملف تأكد من وجود هذه القيمة في ملف الاعداد :

LOAD_CUSTOM_RULES="yes"

ولو فيه اي مشكله في ملف الاعدادت قابلت اي حد ممكن يطرحها ونحاول نحلها

اخر حاجه بالنسبة لملف /etc/rc.d/rc.giptables.blocked قم بتعديله واضافه الايبيهات اللي تريد عمل حظر لها

vi /etc/rc.d/rc.giptables.blocked

وضع كل IP على سطر لوحده

واخيرا وبعد ان انتهينا من الاعدادات قم بتشغيل GIPTables

/etc/init.d/giptables start

والسلام عليكم

منقول عن الاخ : Net Spider

support · #2 13-07-2005, 12:43 PM

مشكور اخوي والله يعيطك العافية