مقالات

مقالات (47)

قوانین در زنجیر های مختلف ترکیب می شوند. کرنل از زنجیرها برای مدیریت بسته هایی که دریافت می کند و می فرستد ، استفاده می نماید. یک زنجیر ، به طور ساده یک فهرست از قوانین است. این قوانین ، مشخص می کنند که چه عملی برای بسته هایی که شامل عناوین خاص می باشند ، انجام گیرد. قوانین با یک ساختار if-then-else عمل می کنند. اگر بسته با قانون اول مطابقت نکرد ، سپس قانون بعدی بررسی می شود و همین طور الی آخر. اگر بسته با هیچکدام از قوانین مطابقت نداشت ، کرنل با خط مشی زنجیر مشورت می کند. معمولا در این مرحله بسته رو می شود. اگر بسته ، با یک قانون مطابقت نداشته باشد ، به هدفش انتقال می یابد که تعیین می کندبا بسته چه کاری انجام دهد. هدفهای استاندارد ، در جدول 2 لیست شده اند. اگر یک بسته ، با هیچکدام از این قوانین مطابقت نداشت ، به هدف پیش فرض زنجیر فرستاده می شود. 

جدول 2 : هدفهای iptables

هدف

عملکرد

ACCEPT

اجازه می دهد تا بسته از طریق فایروال عبور کند.

DROP

دسترسی توسط بسته را محدود می کند.

REJECT

دسترسی را مسدود می کند و به فرستنده اطلاع می دهد.

QUEUE

بسته را به فضای کاربر می فرستد.

RETURN

به انتهای زنجیر پرش می کند و به هدف پیش فرض اجازه می دهد تا آن را پردازش کند.

Netfilter ضرورتاً یک چهار چوب کاری برای مدیریت بسته است که می تواند بسته ها را برای پروتکل های خاص شبکه بررسی می کند  و به بخشهای کرنل که به آنها گوش می دهند ، اطلاع دهد. در چهار چوب کاری Netfilter ، سیستم انتخاب بسته است که توسط جداول IP پیاده سازی می شود. با جداول IP ، جدولهای مختلفی از قوانین می توانند بنا شوند تا بسته ها را طبق معیار های مختلف ، انتخاب کنند. Netfilter اکنون سه جدول را پشتیبانی می کند : filter ، nat و mangle. فیلتر کردن بسته با استفاده از یک جدول filter پیاده سازی می شود که قوانینی برای قبول یا رد بسته ها را نگه می دارد. عملیات ترجمه آدرس شبکه ، مثل IP ماسک ، با استفاده از جدول NAT پیاده سازی می شوند که قوانین ماسک IP را نگه می دارد. جدول mangle برای تغییرات خاص بسته استفاده می شود. تغییرات می توانند در بسته ها قبل از ارسال آنها ، هنگام دریافت آنها ، یا هنگام انتقال آنها اعمال شوند. این ساختار از این نظر قابل گسترش است که ماژول های جدید می توانند جداول خودشان را با قوانین مربوط به خود تعریف کنند و همچنین به طور وسیعی کارآیی را افزایش می دهد. به جای اینکه تمام بسته ، یک جدول را بررسی کند ، آنها فقط به یک جدول قوانینی که نیاز دارند دسترسی می یابند. 

 

قوانین جدول IP با استفاده از دستور iptables مدیریت می شوند. برای این دستور ، باید جدولی که می خواهید آن را مدیریت کنید ، مشخص نمایید. پیش فرض جدول filter می باشد که نیاز به مشخص کردن ندارد. می توانید با سوئیچ های –L و –t که در اینجا نشان داده شده است ، قوانینی را که اضافه کرده اید در هر زمان لیست بگیرید. سوئیچ –n می گوید که تنها از خروجی عددی برای آدرسهای IP و در گاه ها استفاده شود که باعث جلوگیری از یک جستجوی DNS برای نام میزبانها می گردد. به هر حال می توانید از سوئیچ –L استفاده نمایید تا برچسبهای درگاه و نامهای میزبان را ببینید : 

iptables –L –n

 

نکته : در دستورات iptables ، نام زنجیرها باید با حرف بزرگ وارد شود. همانند نام زنجیرهای INPUT ، OUTPUT و FORWARD . 

 

یک کار اساسی برای امنیت شبکه خود ، قرار دادن یک سیستم  لینوکس به عنوان یک فایروال در شبکه خود می باشد تا از تا از دستیابی غیر مجاز محافظت کند . می توانید از یک فایروال برای پیاده سازی فیلتر کردن بسته یا پراکسی استفاده نمایید. به طورساده به عمل تصمیم گیری در مورد فرستادن یک بسته دریافتی میزبان فایروال به شبکه محلی فیلترکردن بسته می گویند. نرم افزار فیلتر کردن بسته ، آدرس های مبدأ و مقصد را بررسی می کند و بسته را در صورت مجاز بودن می فرستد. حتی اگر سیستم شما بخشی از یک شبکه نباشد اما به طور مستقیم به اینترنت متصل باشد ، باز می توانید از ویژگی هاب فایروال برای کنترل دستیابی به سیستم خود استفاده کنید. البته این کار امنیت بیشتری را برای شما فراهم می کند. 

 

با پراکسی می توانید دستیابی به سرویس های خاصی مثل سرویس دهنده های وب یا FTP را کنترل کنید. برای هر سرویسی که می خواهید کنترل نمایید ، به یک پراکسی نیاز دارید. سرویس دهنده وب ، دارای پراکسی وب خاص خودش می باشد. در حالی که یک سرویس دهنده FTP ، یک پراکسی FTP دارد. پراکسی ها همچنین می توانند برای کش نمودن داده های رایج مورد استفاده ( مثل صفحات وب ) به کار روند ، تا کاربران مدام مجبور نباشند تا به سایت اصلی دسترسی پیدا کنند. نرم افزار پراکسی که معمولا در سیستم های لینوکس استفاده می شود ، Squid است. 

 

یک وظیفه دیگر که توسط فایروال ها انجام می شود ، ترجمه آدرس شبکه ( NAT ) می باشد. NAT ، بسته ها را به مقصد های مناسب می فرستد. NAT وظایفی چون فرستادن بسته ها به میزبانهای خاص ، انتقال بسته به شبکه های دیگر ، و تغییر مبدأ میزبان بسته ها برای پیاده سازی ماسک IP را انجام می دهد. 

 

نکته : توجه کنید که ipchains سر آغاز iptables است که روی سیستم های لینوکس که کرنل 2/2 را اجرا می کردند ، استفاده می شد و اکنون نیز در سیستم های لینوکس بسیاری استفاده می شود. سایت وب لینوکس مر بوط به ipchains که جانشین ipfwadm است و روی نگارشهای قدیمی لینوکس به کار می رفت ، اکنون netfilter.samba.org/ipchains/ می باشد. 

 

بسته نرم افزاری Netfilter دو وظیفه فیلتر کردن بسته و NAT را برای کرنل لینوکس 2/4 به بالا پیاده سازی می کند. نرم افزار Netfilter ، توسط پروژه Netfilter نوشته شده است که اطلاعات بیشتر را می توانید در www.netfilter.org بیابید. دستور مورد استفاده برای اجرای وظایف فیلتر کردن بسته و NAT ، iptables است و نرم افزار را به طور ساده با iptables مورد اشاره قرار می دهیم. به هر حال Netfilter ، وظایف فیلتر کردن بسته و NAT را با استفاده از جداول و دستورات مختلف به طور مجزا پیاده سازی می کند. یک جدول ، مجموعه ای از دستورات را برای برنامه کاربردی خود ، نگه می دارد. این روش ، وظیفه فیلتر کردن بسته را ساده می کند و به iptables اجازه می دهد تا بررسیهای فیلتر کردن بسته را بدون کار اضافی ترجمه های آدرس انجام دهد. عملیات NAT همچنین از ترکیب با برسیهای فیلتر کردن بسته ، آزاد هستند. از دستور iptables برای وظایف هر دو وظیفه فیلتر کردن بسته و NAT استفاده می شود اما برای NAT ، سوئیچ –nat را اضافه می کنید. 

 

نرم افزار iptables می تواند به طور مستقیم در کرنل 4/2 ساخته شود یا به عنوان یک ماژول کرنل ( iptable_filter.o ) بارگذاری شود. برخلاف نسخه قبل آن ( ipchains ) ، Netfilter طراحی شده است تا ماژول هایی مثل وضعیت اضافه شوند که مسیریابی تماس را می افزایند. 

 

نکته : iptables شامل ماژول های سازگار رو به عقب برای ipfwadm و ipchains می باشد. در عمل ، iptables خیل شبیه به ipchains است. هنوز می توانید با بارگذاری ماژول های ipchains.o یا ipfwadm.o که به همراه نرم افزار Netfilter هستند ، از ipchains و دستورات ipfwadm استفاده کنید. اینها قابلیت کامل رو به عقب را فراهم می نمایند. 

 

فایروال های شبکه : Netfilter 

اکثر سیستم هایی که اکنون به اینترنت وصل هستند ، برای دستیابی غیر مجاز کاربران از خارج باز هستند. کاربران خارجی با برقراری یک تماس غیر قانونی با قطع ارتباطات مجاز کاربران راه دور که به سیستم متصل هستند ، یا با وانمود کردن خود به عنوان یک کاربر مجاز می توانند دسترسی مستقیم پیدا کنند. فایروال ها ، رمز نگاری ، و عملیات اعتبار سنجی ، راه هایی برا مقابله با این تهاجمات هستند. یک فایروال ، باعث جلوگیری از هر تماس مستقیم غیر مجاز برای دستیابی می شود ، رمز نگاری ، انتقال از کاربران راه دور مجاز را مصون می دارد ، و اعتبار سنجی بررسی می کند که یک کاربر که تقاضای دستیابی می نماید ، حق این کار را دارد یا خیر. کرنل  فعلی لینوکس ، شامل پشتیبانی از فایروال ها با استفاده از بسته فیلتر گذاری Netfilter ( iptable ) می باشد ( نگارش قبلی یعنی ipchains در سیستم های قدیمی استفاده می شود ). برای پیاده سازی یک فایروال ، به سادگی قوانینی را تنظیم می کنید تا مشخص نمایید که چه نوع دسترسی ای می خواهید به سیستم خود بدهید. اگر آن سیستم همچنین یک دروازه برای یک شبکه خصوصی است ، قابلیت فایروال سیستم ، می تواند به طور مؤثر  شبکه را از حملات خارجی محفوظ بدارد. 

 

نکته : می توانید محافظت اساسی فایروال Netfilter را با ابزار redhat-config-security تنظیم کنید ( Security Level روی منو یا پنجره System Setting ) این ابزار ، یکسری قوانین iptable تولید می نماید تا سیستم و شبکه شما را محافظت کند. 
 

برای محافظت از ارتباطات راه دور ، به سادگی می توان انتقال را رمز نگاری کرد. برای سیستم های لینوکس ، می توانید از مجموعه برنامه های لایه امن ( SSH ) جهت رمز نگاری انتقال ها استفاده کنید و از خوانده شدن توسط هر شخص دیگری جلوگیری نمایید. اعتبار سنجی کربروس ، سطح امنیتی دیگری  را فراهم می کند که سرویس های شخصی می توانند محافظت شوند ، و فقط اجازه استفاده به کاربرانی داده می شود که دستیابی به آنها شفاف است. کاربران خارجی ممکن است همچنین از طریق سرویس های اینترتی ای که شما میزبان آنها هستید ( مثل یک سایت وب ) سعی در دسترسی غیر مجاز نمایند. در چنین حالتی ، می توانید یک پراکسی تنظیم کنید تا از سرویس دهنده وب خود محافظت کنید. در جدول 1 چند برنامه کاربردی امنیت شبکه که به طور متداول در لینوکس استفاده می شوند را لیست نموده است.

 

سایت وب                                 برنامه کاربردی امنیتی 

www.netfilter.org                       پروژه Netfilter ، iptables و NAT 

www.netfilter.org/ipchains           فایروال زنجیره های IP 

www.openssh.org                      رمز نگاری لایه امنیتی 

www.squid-cache.org                 سرویس دهنده پراکسی وب Squid 

www.mit.edu/kerberos               اعتبار سنجی شبکه کربروس

 

ریدایرکت چیست؟

ریدارکت به معنای راهنمایی به مکان جدید است. در اینترنت، ریدارکت Redirect مترادف است با انتقال بازدیدکننده به مکان جدید. به عبارت دیگر هر زمان شخص یا نرم افزاری به آدرسی وارد شود که ما نمی خواهیم، آن شخص یا نرم افزار را به آدرس جدید منتقل می کنیم. مدیران سایت به خصوص در ارتباط با ” رعایت اصول سئو ” همواره با ریدایرکت آدرس صفحات مختلف سایت سرو کار دارند از این رو این آموزش با هدف آشنایی کامل شما با مفهوم ریدایرکت و دستورات آن نوشته شده است.

در لینوکس کاربر root بالاترین سطح دسترسی دارد. گاهی فراموش کردن رمز عبور این کاربر مشکل ساز می شود. در لینوکس این قابلیت وجود دارد که به راحتی نسبت به بازیابی پسورد root در لینوکس اقدام کنید و یک رمز عبور جدید جایگزین نمایید.
در صورت فراموش نمودن پسورد ادمین (root) روی سرور لینوکس (CentOS 7.x) ، با اقدامات زیر میتوانید پسورد جدید را تنظیم نمایید.

تغییر پورت SSH بسیار راحت است! سنت او اس (CentOS) بصورت پیشفرض از پورت ۲۲ برای اتصال برای اتصال SSH استفاده میکند. عمومی بودن پورت ۲۲ سرور مجازی یا اختصاصی شما را آسیب پذیر میکند. یکی از قدم های امن کردن سرور تغییر پورت SSH است. در این مطلب قصد داریم به شما آموزش دهیم که چطور پورت SSH سرور خود را تغییر دهید. با سرور ساز همراه باشید.

صفحه3 از3

پربازدیدترین مطالب

"«قیمتی که در هنگام سفارش مشتري در پیش‌فاکتور منظور گرديده است، معتبر مي‌باشد»."