2017. је година, а коришћење ВПН-а постало је непромишљено. Између гомиле спољних брига о приватности и вашег ИСП-а који је у стању да продаје историју прегледавања, заиста нема оправдања да је не користите.
Свакако, можете платити неку од стотина ВПН услуга вани, али опет, са својим подацима се ослањате на некога другог. Већина је у ствари сјајна, али ако желите потпуну контролу, можете изградити властити ВПН на В иртуал П ривате С ерверу (ВПС) или унајмити властити приватни сервер, ако сматрате да сте стварно хардцоре с њим.
Све што вам је потребно за изградњу ВПН-а су ОпенВПН софтвер отвореног кода и Линук (или БСД). Конфигурација може да буде укључена, али није немогуће да неко са чак и основним Линук вештинама изађе из дистрибуције попут Убунту-а.
За овај водич, требат ће вам ВПС који покреће Убунту. Можете га врло лако покупити од некога попут ДигиталОцеан-а или Линоде-а . Пратите њихове основне безбедносне водиче за подешавање. Обавезно направите грешке попут омогућавања роот приступа преко ССХ-а.
Такође имајте на уму да ћете то радити током целог подешавања у командној линији преко ССХ-а вашем ВПС-у. Не постоји ништа што захтева луду количину знања о Линуку, али будите спремни да куцате уместо да кликнете.
Добијање онога што вам треба
Брзи линкови
- Добијање онога што вам треба
- Постављање заштитног зида
- Пронађите интерфејс
- Основе Иптаблес
- Поставите своја правила
- Лоопбацк
- Пинг
- ССХ
- ОпенВПН
- ДНС
- ХТТП / С
- НТП
- ТУН
- Логгинг
- Одбаците све остало
- НАТ Маскарење
- Проследи ИПв4 саобраћај
- Зауставите све ИПв6 везе
- Увези и спреми у иптаблес
Убунту пакује и дистрибуира ОпенВПН у својим спремиштима. Да бисте га инсталирали, требате користити само апт. Такође ће вам требати алат за генерисање кључева за шифровање. Инсталирајте их обоје.
$ судо апт инсталација опенвпн еаси-рса
Постављање заштитног зида
Затим морате водити рачуна о заштитном зиду. То је важан део заштите безбедности ваше ВПН и спречавања цурења података и нежељеног приступа.
Иптаблес је главни фиревалл за Линук и ваша је најбоља опција за контролу приступа Убунту портовима. Већ ћете га инсталирати, тако да можете почети са постављањем правила заштитног зида.
Пронађите интерфејс
Пре него што започнете са писањем правила у иптаблес, сазнајте са којим интерфејсом је ваш сервер повезан на Интернет. Покрените ифцонфиг да бисте приказали мрежне интерфејсе. Она која има инет аддр: подударање са ИП адресом са којом сте повезани је прави интерфејс.
Основе Иптаблес
Обично није добра идеја насумично копирати и залијепити ствари на терминал са Интернета. Ово је нарочито тачно када се бавите сигурносним темама. Дакле, одвојите мало времена да научите мало о правилима иптаблес пре него што их почнете уносити.
Погледајте овај пример правила иптаблес.
-А УЛАЗ -и етх0 -п тцп -м стање –стање УТВРЂЕНО –спорт 443 -ј ПРИХВАТ
У реду, значи - значи да ћете додавати ново правило. Тада ИНПУТ значи да ће се то односити на улаз на ваш сервер. Ту је и излаз. Застава -и каже иптаблес за који интерфејс је ово правило. Можете одредити за који протокол је правило за -п. Ово правило рукује тцп. -м одређује услов који веза мора бити испуњена. У овом случају мора одговарати наведеном стању. Наравно, тада –стате специфицира стање, у овом случају Установљена веза. Следећи део говори иптаблес за који порт је ово правило. Овде је порт 443, ХТТПС порт. Последња застава је -ј. То је "скок", и говори иптаблесима шта треба учинити са везом. Ако ова веза испуњава све захтеве у правилу, иптаблес би је прихватили.
Поставите своја правила
Дакле, требали бисте имати општу идеју како правила иптаблес тренутно раде. У остатку овог одељка наћи ћете упуте како да поставите своја правила појединачно.
Најбољи начин за креирање скупа правила за иптаблес је креирање датотеке која садржи све њих. Затим их можете увести све у иптаблес одједном. Постављање правила појединачно може постати збуњујуће, посебно ако започињете нови сет правила од почетка.
Креирајте датотеку у / тмп директоријуму да бисте саставили своја правила.
$ вим / тмп / ипв4
Започните ту датотеку помоћу * филтра. Ово говори иптаблес да ће оно што следи бити правила за филтрирање пакета.
Лоопбацк
Први одељак правила закључава интерфејс повратне петље. Кажу иптаблес да би сервер требало да прихвати промет од себе на интерфејсу петље. Такође би требало да одбаци саобраћај који долази сам од себе и да не долази из петље.
-А УЛАЗ -и ло -ј ПРИХВАТАК -А УЛАЗ! -и ло -с 127.0.0.0/8 -ј РЕЈЕЦТ -А ИЗЛАЗИ -о ло -ј ПРИХВАТ
Пинг
Затим дозволите пинг. Требали бисте бити у могућности да пингујете свој сервер да бисте били сигурни да је на мрежи у случају да је у супротном недоступан. У овом случају су дозвољени само захтеви за ехо, а сервер ће себи дозволити да пошаље ИЦМП излаз.
-А УЛАЗ -п ицмп -м стање - дрзава НОВО - симбол типа 8 -ј ПРИХВАТАК -А УЛАЗ -п ицмп -м стање - дрзава УТВРЂЕНО, ПОВЕЗАНО -ј АЦЦЕПТ -А ИЗЛАЗИ -п ицмп -ј АЦЦЕПТ
ССХ
Треба вам ССХ. То је једини начин да дођете до вашег сервера. ССХ правила су специфична за ваше интернетско сучеље, па провјерите да ли замените етх0 оним интерфејсом који ваш послужитељ стварно користи.
Такође би могла бити добра идеја да промените своје ССХ везе са порта 22, јер је то задаћа коју би потенцијални нападачи покушали. Ако то учините, обавезно то промените и у иптаблес правилима.
-А УЛАЗ -и етх0 -п тцп -м стање - држава НОВО, УТВРЂЕНО --портпорт 22 -ј ПРИХВАТАК -А ИЗЛАЗИ -о етх0 -п тцп -м држава - држава УСТАНОВЉЕН --спорт 22 -ј ПРИХВАТАК
ОпенВПН
Следећи део омогућава саобраћај на и са ОпенВПН сервера преко УДП-а.
-А УЛАЗ -и етх0 -п удп -м стање - дрзава НОВО, ОСНОВНО --портпорт 1194 -ј ПРИХВАТАК -А ИЗЛАЗИ -о етх0 -п удп -м стање - дрзава УСТАНОВЉЕН --спорт 1194 -ј ПРИХВАТ
ДНС
Сада, дозволите ДНС везе преко УДП и ТЦП. Желите да ваш ВПН обрађује ДНС, а не ИСП. То је део разлога зашто постављате ВПН.
-А УЛАЗ -и етх0 -п удп -м стање - држава УТВРЂЕН --спорт 53 -ј ПРИХВАТАК -А ИЗЛАЗИ -о етх0 -п удп -м стање - држава НОВО, УТВРЂЕНО --портпорт 53 -ј ПРИХВАТ -А ИНПУТ -и етх0 -п тцп -м стање - дрзава УСТАНОВЉЕН --спорт 53 -ј ПРИХВАТАК -А ИЗЛАЗИ -о етх0 -п тцп -м стање - дрзава НОВО, ОСНОВНО --портпорт 53 -ј ПРИХВАТ
ХТТП / С
Да би Убунту могао да се ажурира, морате да додате скуп правила која омогућавају одлазну везу ХТТП-а и ХТТПС-а. Имајте на уму да ова правила омогућавају серверу да покрене ХТТП везе, тако да га не можете користити као веб сервер или се повезати с њим преко порта 80 или порта 443
-А УЛАЗ -и етх0 -п тцп -м стање - држава УТВРЂЕНО --порт 80 -ј ПРИХВАТЉИВО - УЛАЗ -и етх0 -п тцп -м стање - држава УТВРЂЕН --спорт 443 -ј ПРИХВАТАК -А ИЗЛАЗ - о етх0 -п тцп -м стање - дрзава НОВО, УСТАВЉЕНО --портпорт 80 -ј ПРИХВАТАК -А ИЗЛАЗИ -о етх0 -п тцп -м стање - дрзава НОВО, ОСНОВНО --портпорт 443 -ј ПРИХВАТ
НТП
Да бисте правилно одржавали сат вашег сервера, требат ће вам НТП. НТП омогућава вашем серверу да се синхронизује са часовницима широм света. Погрешан сат на вашем серверу може проузроковати проблеме веза, па је покретање НТП-а добра идеја. Још једном, требали бисте прихватити само одлазне и већ успостављене везе.
-А УЛАЗ -и етх0 -п удп -м стање - дрзава УСТАНОВЉЕН --спорт 123 -ј ПРИХВАТАК -А ИЗЛАЗИ -о етх0 -п удп -м стање - дрзава НОВО, УСТАНОВЉЕНО --портпорт 123 -ј ПРИХВАТ
ТУН
Деблокирајте ТУН интерфејс који ОпенВПН користи за тунелски саобраћај.
-А УЛАЗ -и тун0 -ј ПРИХВАТАК -А ФОРВАРД -и тун0 -ј АЦЦЕПТ -А ИЗЛАЗ -о тун0 -ј АЦЦЕПТ
Морате дозволити ТУН-у да прослеђује саобраћај на свој уобичајени интерфејс за ВПН. Пронаћи ћете ту ИП адресу у ОпенВПН конфигурацији. Ако је промените у конфигурацији, промените је и у својим правилима.
-А НАПРЕДАК -и тун0 -о етх0 -с 10.8.0.0/24 -ј ПРИХВАТАК -А НАПРЕДАК -м стање - држава УТВРЂЕНА, ВЕЗАНА - ј ПРИХВАТ
Логгинг
Добра је идеја водити евиденције о свему што иптаблес одбацује. У овом случају, то значи било шта што се не уклапа ни у једно од ових правила. Дневници вам омогућавају да видите да ли постоји било каква злонамерна активност или било какав покушај да се учини нешто штетно против вашег сервера.
-А УЛАЗ -м граница –ограничи 3 / мин -ј ЛОГ –лог-префикс „иптаблес_ИНПУТ_дениед:” –лог-ниво 4
-А ФОРВАРД -м граница –лимит 3 / мин -ј ЛОГ –лог-префикс „иптаблес_ФОРВАРД_дениед:” –лог-ниво 4
-А ОУТПУТ -м лимит –лимит 3 / мин -ј ЛОГ –лог-префикс “иптаблес_ОУТПУТ_дениед:” –лог-ниво 4
Одбаците све остало
На крају, морате блокирати све што се не уклапа у ваша правила. То је заиста сврха постављања фиревалл-а на првом мјесту.
-А ИНПУТ -ј РЕЈЕЦТ -А ФОРВАРД -Ј РЕЈЕЦТ -А РЕЗУЛТАТ -Ј РЕЈЕЦТ
Затворите датотеку ЦОММИТ-ом да бисте иптаблес-у рекли да испуњавају сва правила.
НАТ Маскарење
Потребне су вам везе са ВПН-а да бисте изгледали као да долазе са самог сервера. Овај комад се не може уврстити у обичну иптаблес датотеку, јер користи другу табелу. То је у реду, ипак, то је само једна линија.
$ судо иптаблес -т нат -А ПОСТРОУТИНГ -с 10.8.0.0/24 -о етх0 -ј МАСКУЕРАДЕ
Проследи ИПв4 саобраћај
Требат ћете омогућити просљеђивање ИПв4 промета како би могао проћи између ВПН-а и стварног мрежног интерфејса вашег сервера. Отворите /етц/сисцтл.д/99-сисцтл.цонф са судо.
Пронађите доњу линију и коментирајте је уклањањем #.
Зауставите све ИПв6 везе
Извините, још нисте завршили са иптаблесима. Морате блокирати сав ИПв6 саобраћај. Овај ОпенВПН сервер ће подржавати само ИПв4, што је у реду, јер нећете наићи на ситуацију у којој вам треба ИПв6. Као резултат, свака ИПв6 веза може потенцијално да процури информације, што је супротно ономе што желите када користите ВПН.
Пре него што поставите правила за иптаблес, морате да онемогућите ИПв6 било где другде на систему.
Следеће редове додајте у /етц/сисцтл.д/99-сисцтл.цонф. Ако сте га затворили из претходног одељка, поново га отворите судом.
нет.ипв6.цонф.алл.дисабле_ипв6 = 1 нет.ипв6.цонф.дефаулт.дисабле_ипв6 = 1 нет.ипв6.цонф.ло.дисабле_ипв6 = 1 нет.ипв6.цонф.етх0.дисабле_ипв6 = 1
Активирајте измене.
$ судо сисцтл -п
Коментирајте све ИПв6 линије у / етц / хостс. И овдје ће вам требати судо.
# :: 1 ип6-лоцалхост ип6-лоопбацк # фе00 :: 0 ип6-лоцалнет # фф00 :: 0 ип6-мцастпрефик # фф02 :: 1 ип6-аллнодес # фф02 :: 2 ип6-аллроутерс
Најзад, можете да напишете ИПв6 иптаблес правила. Направите датотеку за њих на / тмп / ипв6.
* филтер -А ИНПУТ -ј РЕЈЕЦТ -А ФОРВАРД -ј РЕЈЕЦТ -А РЕЗУЛТАТИ -ј РЕЈЕЦТ ЦОММИТ
Видите, једноставни су. Одбаците све.
Увези и спреми у иптаблес
Морате да увезете та правила да би могли нешто да ураде. Дакле, сада је вријеме за то.
Започните рашчишћавањем свега осталог што је ту. Не желите да вам се на путу старе правила.
$ судо иптаблес -Ф && судо иптаблес -Кс
Увозите и своја ИПв4 и ИПв6 правила.
$ судо иптаблес-обнављање </ тмп / ипв4 $ судо ип6таблес-обнављање </ тмп / ипв6
Вероватно никад више не желите то учинити. Дакле, требат ће вам нови пакет да бисте трајно сачували своја правила.
$ судо апт инсталл иптаблес-персистент
Током инсталације пакет ће тражити да сачувате своја постојећа правила. Одговорите „Да“.
Ако касније извршите измене, такође можете да ажурирате сачуване конфигурације.
$ судо услуга нетфилтер трајна уштеда
Прошло је доста времена, али ваш фиревалл је спреман за рад. На следећој страници бавићемо се стварањем потребних кључева за шифровање.
Кликните овде: Следећа страница
