nftables ile güvenlik duvarlarını ve ayarlarını nasıl yönetirsiniz: Eksiksiz ve pratik bir rehber
آموزش فایروال و nftables برای مدیران سرور و کسانی که به امنیت شبکه اهمیت می‌دهند.

nftables ile güvenlik duvarlarını ve ayarlarını nasıl yönetirsiniz: Eksiksiz ve pratik bir rehber

Bu makale, nftables'ı yeni bir Linux güvenlik duvarı ve ağ güvenliği yönetim aracı olarak nasıl kullanacağınıza dair pratik talimatlar ve örnekler sunmaktadır.
0 Hisse senetleri
0
0
0
0

Güvenlik duvarlarını ve nftable'ları temelden ileri seviyeye kadar nasıl yönetirsiniz?

Güvenlik duvarı yönetimi ve ayarları nftables Bu kılavuz, her sistem yöneticisi, DevOps uzmanı veya sunucu sahibi için olmazsa olmazdır. Bu kılavuzda, temelden ileri düzey senaryolara kadar teknik ve operasyonel terminolojiyi, uygulanabilir örnekler ve yapılandırma dosyalarıyla birlikte ele alıyoruz.

nftables'ın temel kavramları

nftables Bir kural seti tasarlamak için bilmeniz gereken bazı bileşenler vardır:

  • aile: Protokol ailesi (ör. internet Eş zamanlı IPv4 ve IPv6 için (ip, ip6, arp, bridge).
  • masaKurallar kabı (örneğin: internet filtresi).
  • zincir: Kanca, tür (giriş, iletme, çıkış) ve öncelik içeren kurallar zinciri.
  • kuralKoşullar ve eylemler (kabul et, bırak, reddet, karşı koy, kaydet).
  • set / harita: Hızlı eşleştirme için IP adreslerini, portları veya değerleri tutacak koleksiyonlar.
  • bağlantı yoluBağlantı durumunu takip edin (kurulmuş, ilişkili, yeni, geçersiz).

Nftables neden?

Seçimin temel nedenleri nftables Bunlar arasında şunlar yer almaktadır:

  • Eş zamanlı IPv4 ve IPv6 desteği Aileyi kullanarak internet.
  • Daha iyi performans Ve olasılık atomik değiştirme Kurallar kümesini güvenli bir şekilde yüklemek için.
  • Destek Zaman aşımı olan setler Ve haritalar Gelişmiş NAT için.
  • Yeni dağıtımlarda uyumluluk katmanı aracılığıyla iptables ile uyumluluk.

Hızlı Başlangıç: Kuralları Yükleme, İnceleme ve Kaydetme

Kural kümelerini kontrol etme, yükleme ve kaydetme için temel komutlar:

nft --version
nft list ruleset
nft -f /etc/nftables.conf
nft list ruleset > /etc/nftables.conf
systemctl enable --now nftables

Pratik örnek: Temel bir kural seti (Linux sunucusu için)

Aileyi kullanan önerilen /etc/nftables.conf dosyası internet Hem IPv4 hem de IPv6'yı kapsayacak şekilde:

table inet filter {
    set allowed_ssh {
        type ipv4_addr; flags timeout;
    }

    chain input {
        type filter hook input priority 0;
        policy drop;

        # loopback
        iif "lo" accept

        # established/related
        ct state established,related accept

        # ICMP/ICMPv6
        ip protocol icmp accept
        ip6 nexthdr ipv6-icmp accept

        # Allow SSH with rate limit & whitelist
        tcp dport 22 ct state new limit rate 3/minute accept
        ip saddr @allowed_ssh accept

        # HTTP/HTTPS
        tcp dport { 80, 443 } ct state new accept

        # DNS
        udp dport 53 accept
        tcp dport 53 accept

        # log and drop others
        counter log prefix "nft-drop: " flags all drop
    }

    chain forward {
        type filter hook forward priority 0; policy drop;
    }

    chain output {
        type filter hook output priority 0; policy accept;
    }
}

Açıklama: Bu temel kurallar kümesi, geri döngüye, mevcut bağlantılara, SSH'ye (hız sınırlamasıyla), HTTP/HTTPS'ye ve DNS'ye izin verir ve geri kalan trafiği kaydeder ve engeller. set allowed_ssh Zaman aşımı süresiyle IP adreslerini beyaz listeye almak için uygundur.

Kümeleri ve geçici blokları yönetme

Beyaz liste veya kara liste için kümeler oluşturmak ve yönetmek çok faydalıdır. Örnekler:

nft add element inet filter allowed_ssh { 203.0.113.5 timeout 1h }
nft list set inet filter allowed_ssh

Saldırganları geçici olarak engellemek için bir bayrak ayarlayın. zaman aşımı Belirli bir süre için IP adresleri oluşturun ve ekleyin.

NAT, Port Yönlendirme ve Maskeleme

Özel bir IP adresinin arkasında birden fazla hizmet yayınlayan bir VPS için örnek NAT:

table ip nat {
    chain prerouting {
        type nat hook prerouting priority 0;
        tcp dport 2222 dnat to 10.0.0.10:22
        tcp dport 8443 dnat to 10.0.0.20:443
    }

    chain postrouting {
        type nat hook postrouting priority 100;
        oif "eth0" masquerade
    }
}

Not: Birden fazla adrese sahip bulut mimarilerinde, çıkış için maskeleme veya kaynak NAT kullanın. IPv6 için uygun DNAT veya CIDR eşlemesi kullanın.

DDoS ve SYN saldırılarına karşı koyma

nftables, saldırıların etkisini azaltmak için kullanılabilecek hız sınırlama ve akış tablosu özelliklerine sahiptir.

# allow limited number of new SYNs per second
tcp flags syn ct state new limit rate 10/second burst 20 accept

# synproxy can be used in extreme cases (kernel feature)
# nftables can match and direct traffic to synproxy or other mitigations

Büyük ölçekli saldırılar için, bir güvenlik duvarı sunucusunu (nftables) ile Ağ DDoS saldırılarına karşı koruma katmanı En iyi yaklaşım, zararlı trafiği sunucuya ulaşmadan önce filtrelemektir.

Kayıt ve izleme kuralları

İzleme için kullanışlı araçlar ve komutlar:

  • Her kural için sayaçları göster: nft liste kuralları seti.
  • Önek ve hız sınırlaması ile günlük kaydını etkinleştirin:
nft add rule inet filter input tcp dport 22 counter log prefix "ssh-drop: " limit rate 10/minute drop

Diğer araçlar: journalctl -f -u nftables, tcpdump, köpekbalığı, Ve nft monitör.

Pratik güvenlik ipuçları

İşte bazı pratik ve önemli tavsiyeler:

  • Her zaman yedekleme yapın: Dağıtımdan önce çıktı nft liste kuralları seti Kaydetmek.
  • Atomik yüklemeyi kullanın: nft -f /etc/nftables.conf Dosyayı atomik olarak yükler.
  • SSH kilitlenmelerini önleyin: IP adresiniz için geçici bir kabul kuralı belirleyin veya harici bir konsol kullanın.
  • Otomatik geri alma komut dosyası: Hassas değişiklikler yaparken, onaylanmadığı takdirde otomatik geri alma seçeneğini ayarlayın.

Farklı uygulamalar için pratik ipuçları

WordPress ve web sitesi yöneticileri için

Yalnızca gerekli portları (80/443/22) açın. Giriş formları ve XML-RPC için hız sınırlamaları kullanın ve kaba kuvvet saldırılarını önlemek için bir dizi ceza IP adresi oluşturun. CDN ve WAF ile birlikte kullanılması önerilir.

Programcılar ve DevOps uzmanları için

Aileden internet Eş zamanlı dağıtım için IPv4/IPv6 desteğini kullanın. Kuralları sürüm kontrol sisteminde saklayın ve otomatik dağıtım için sürekli entegrasyon/sürekli dağıtım (CI/CD) kullanın. Değişiklikleri test etmek için dosya yükleme ve hızlı geri alma özelliklerini kullanın.

Yatırımcılar için (Alım satım için VPS)

En düşük gecikme süresi için aracı veya değişim sunucularına yakın bir konum seçin. Gelen ve giden trafiği gerekli IP adresleriyle sınırlandırın ve güncellemeler sırasında portların kapatılmasını önlemek için beyaz liste kullanın.

Oyuncular için (oyun VPS'si)

Oyun tarafından gerekli olan UDP portlarını açın ve UDP için conntrack zaman aşımı sürelerini optimize edin. NAT'a ihtiyacınız varsa, daha iyi performans için flowtable kullanın ve düşük ping'li bir konum seçin.

Yapay Zeka ve GPU Bulutu için

Yönetim portlarına (SSH, Kubernetes API) erişime yalnızca belirli IP adreslerinden izin verin. Dağıtılmış ortamlarda, düğümler arasında kurallar tanımlayın ve conntrack performansını kontrol edin. Güvenlik ve yüksek verimlilik için özel ağ ve BGP/Özel VLAN kullanılması önerilir.

Uygulama ve bakım için pratik ipuçları

Bakım süreci için bazı pratik ipuçları:

  • Değişiklik yapmadan önce kurallar kümesinin yedeğini mutlaka alın.
  • Kullanımı atomik değiştirme İle nft -f /etc/nftables.conf.
  • Hassas değişiklikler yapmadan önce yönetim IP adresi için geçici bir kabul kuralı belirleyin.
  • Onay alınmaması durumunda otomatik geri alma işlemi için cron veya systemd zamanlayıcısını ayarlayın.

Araçlar ve hata ayıklama

Hata ayıklama ve izleme için temel araçlar:

  • nft liste kuralları seti
  • nft monitör / nft monitör izi
  • ss -tunlp Bağlantı noktalarını görüntülemek için
  • bağlantı yolu -L conntrack-tools paketinden
  • tcpdump Veya köpekbalığı Paket yakalama için

Sonuç ve pratik öneriler

nftables, güvenlik duvarı yönetimini modern, hızlı ve esnek hale getiren güçlü bir araçtır. Bu araç ailesini kullanarak... internetAyarlar, hız sınırlaması ve bağlantı izleme gibi özelliklerle web sunucuları, VPS ticareti, oyun ve GPU bulutları için uygun, etkili bir koruma katmanı oluşturabilirsiniz.

Sunucu yapılandırmasının yanı sıra, 85'ten fazla küresel lokasyonda sunulan CDN, DDoS saldırılarına karşı koruma ve BGP gibi ağ hizmetleriyle birleşimi, güvenlik ve erişilebilirliği daha güvenilir bir seviyeye getiriyor.

Sıkça Sorulan Sorular

Ayrıca Şunları da Beğenebilirsiniz
Cloudflare Universal SSL'i Etkinleştirme ve Devre Dışı Bırakma — Sunucu Yöneticileri ve Geliştiriciler İçin Pratik ve Güvenli Bir Kılavuz

Cloudflare Universal SSL'i Etkinleştirme ve Devre Dışı Bırakma — Sunucu Yöneticileri ve Geliştiriciler İçin Pratik ve Güvenli Bir Kılavuz

Bu makalede, Cloudflare'da Evrensel SSL'yi nasıl etkinleştireceğinizi ve devre dışı bırakacağınızı ayrıntılı ve teknik olarak açıklayacağız. Bu kılavuz, sitenizi güvence altına almak için bu hizmetten en iyi şekilde yararlanmanıza yardımcı olacaktır. Etkinleştirme ve devre dışı bırakma yöntemlerini öğrenin ve güvenli ayarlara aşina olun.