இது 2017, மற்றும் ஒரு வி.பி.என் பயன்படுத்துவது ஒரு மூளையாக இல்லை. வெளிப்புற தனியுரிமை கவலைகள் மற்றும் உங்கள் சொந்த ஐஎஸ்பி உங்கள் உலாவல் வரலாற்றை விற்க முடிந்ததற்கு இடையில், ஒன்றைப் பயன்படுத்தாததை நியாயப்படுத்த முடியாது.
நிச்சயமாக, நீங்கள் அங்கு நூற்றுக்கணக்கான VPN சேவைகளில் ஒன்றை செலுத்தலாம், ஆனால் மீண்டும், உங்கள் தரவைக் கொண்டு வேறொருவரை நம்பியிருக்கிறீர்கள். பெரும்பாலானவை மிகச் சிறந்தவை, ஆனால் நீங்கள் முழுமையான கட்டுப்பாட்டை விரும்பினால், உங்கள் சொந்த VPN ஐ V irtual P rivate S erver (VPS) இல் உருவாக்கலாம் அல்லது உங்கள் சொந்த சேவையகத்தை வாடகைக்கு எடுக்கலாம், நீங்கள் உண்மையிலேயே ஹார்ட்கோர் என்று நினைத்தால்.
நீங்கள் ஒரு VPN ஐ உருவாக்க வேண்டியது திறந்த மூல OpenVPN மென்பொருள் மற்றும் லினக்ஸ் (அல்லது BSD) ஆகும். உள்ளமைவு சம்பந்தப்பட்டிருக்கலாம், ஆனால் உபுண்டு போன்ற ஒரு விநியோகத்தை இழுக்க அடிப்படை லினக்ஸ் திறன்களைக் கொண்ட ஒருவரிடம் இது சாத்தியமில்லை.
இந்த வழிகாட்டிக்கு, உபுண்டு இயங்கும் வி.பி.எஸ் தேவை. டிஜிட்டல் ஓஷன் அல்லது லினோட் போன்ற ஒருவரிடமிருந்து மிக எளிதாக ஒன்றை நீங்கள் எடுக்கலாம் . அமைப்பதற்கு அவர்களின் அடிப்படை பாதுகாப்பு வழிகாட்டிகளைப் பின்பற்றவும். SSH வழியாக ரூட் அணுகலை அனுமதிப்பது போன்ற அடிப்படை தவறுகளை நீங்கள் செய்யவில்லை என்பதை உறுதிப்படுத்திக் கொள்ளுங்கள்.
மேலும், இந்த முழு அமைப்பையும் SSH வழியாக உங்கள் VPS க்கு கட்டளை வரியில் செய்யப் போகிறீர்கள் என்பதை நினைவில் கொள்ளுங்கள். லினக்ஸ் அறிவில் ஒரு பைத்தியம் அளவு தேவைப்படும் எதுவும் இல்லை, ஆனால் கிளிக் செய்வதற்கு பதிலாக தட்டச்சு செய்ய தயாராக இருங்கள்.
உங்களுக்குத் தேவையானதைப் பெறுதல்
விரைவு இணைப்புகள்
- உங்களுக்குத் தேவையானதைப் பெறுதல்
- ஃபயர்வாலை அமைக்கவும்
- இடைமுகத்தைக் கண்டறியவும்
- ஐப்டேபிள்ஸ் அடிப்படைகள்
- உங்கள் விதிகளை அமைக்கவும்
- மீள்சுழற்சி
- பிங்
- எஸ்எஸ்ஹெச்சில்
- OpenVPN
- டிஎன்எஸ்
- , HTTP / எஸ்
- என்டிபி
- TUN
- பதிவு
- எல்லாவற்றையும் நிராகரிக்கவும்
- NAT முகமூடி
- முன்னோக்கி IPv4 போக்குவரத்து
- அனைத்து IPv6 இணைப்புகளையும் நிறுத்துங்கள்
- Iptables இல் இறக்குமதி செய்து சேமிக்கவும்
உபுண்டு அதன் களஞ்சியங்களில் OpenVPN ஐ தொகுத்து விநியோகிக்கிறது. அதை நிறுவ நீங்கள் மட்டுமே பொருத்தமாக பயன்படுத்த வேண்டும். குறியாக்க விசைகளை உருவாக்குவதற்கான கருவியும் உங்களுக்குத் தேவைப்படும். இரண்டையும் நிறுவவும்.
ud sudo apt install openvpn easy-rsa
ஃபயர்வாலை அமைக்கவும்
அடுத்து, நீங்கள் ஃபயர்வாலை கவனித்துக் கொள்ள வேண்டும். உங்கள் VPN ஐ பாதுகாப்பாக வைத்திருப்பதிலும், தரவு கசிவு மற்றும் தேவையற்ற அணுகல் இரண்டையும் தடுப்பதிலும் இது ஒரு முக்கியமான பகுதி.
லினக்ஸிற்கான முக்கிய ஃபயர்வால் ஐப்டேபிள்ஸ், உபுண்டுவின் துறைமுகங்களுக்கான அணுகலைக் கட்டுப்படுத்த இது உங்கள் சிறந்த வழி. நீங்கள் ஏற்கனவே அதை நிறுவியிருப்பீர்கள், எனவே உங்கள் ஃபயர்வால் விதிகளை அமைக்கத் தொடங்கலாம்.
இடைமுகத்தைக் கண்டறியவும்
ஐப்டேபிள்களில் விதிகளை எழுதத் தொடங்குவதற்கு முன், உங்கள் சேவையகம் இணையத்துடன் எந்த இடைமுகத்துடன் இணைக்கப்பட்டுள்ளது என்பதைக் கண்டறியவும். உங்கள் பிணைய இடைமுகங்களைக் காட்ட ifconfig ஐ இயக்கவும். ஒரு inet addr ஐக் கொண்ட ஒன்று: நீங்கள் இணைக்கப்பட்டுள்ள ஐபி முகவரியுடன் பொருந்துவது சரியான இடைமுகம்.
ஐப்டேபிள்ஸ் அடிப்படைகள்
இணையத்திலிருந்து தோராயமாக விஷயங்களை முனையத்தில் நகலெடுத்து ஒட்டுவது நல்ல யோசனையல்ல. நீங்கள் பாதுகாப்பு தலைப்புகளுடன் கையாளும் போது இது குறிப்பாக உண்மை. எனவே, ஐப்டேபிள்ஸ் விதிகளை நீங்கள் நுழையத் தொடங்குவதற்கு முன்பு அவற்றைப் பற்றி அறிய சிறிது நேரம் ஒதுக்குங்கள்.
ஒரு iptables விதியின் இந்த எடுத்துக்காட்டைப் பாருங்கள்.
-A INPUT -i eth0 -p tcp -m state -state ESTABLISHED –Sport 443 -j ACCEPT
சரி, எனவே -A என்பது நீங்கள் ஒரு புதிய விதியைச் சேர்க்கப் போகிறீர்கள் என்பதாகும். பின்னர் INPUT என்பது உங்கள் சேவையகத்திற்கான உள்ளீட்டைப் பற்றியது. ஒரு வெளியீடு உள்ளது. -I கொடி இந்த விதி எந்த இடைமுகத்திற்கான iptables ஐக் கூறுகிறது. -P உடன் விதி எந்த நெறிமுறை என்பதை நீங்கள் குறிப்பிடலாம். இந்த விதி tcp ஐ கையாளுகிறது. -m ஒரு இணைப்பு பூர்த்தி செய்ய வேண்டிய ஒரு நிபந்தனையை குறிப்பிடுகிறது. இந்த வழக்கில் அது குறிப்பிடப்பட்ட நிலைக்கு பொருந்த வேண்டும். நிச்சயமாக, பின்னர்-நிலை ஒரு மாநிலத்தைக் குறிப்பிடுகிறது, இந்த விஷயத்தில் நிறுவப்பட்ட இணைப்பு. இந்த விதி எந்த துறைமுகத்திற்கானது என்பதை அடுத்த பகுதி iptables க்கு சொல்கிறது. இது போர்ட் 443, HTTPS போர்ட், இங்கே. கடைசி கொடி -j. இது “ஜம்ப்” என்பதைக் குறிக்கிறது, மேலும் இது இணைப்புடன் என்ன செய்ய வேண்டும் என்பதை iptables க்கு சொல்கிறது. இந்த இணைப்பு விதியின் அனைத்து தேவைகளையும் பூர்த்திசெய்தால், iptables அதை ஏற்றுக் கொள்ளும்.
உங்கள் விதிகளை அமைக்கவும்
எனவே, ஐப்டேபிள்ஸ் விதிகள் இப்போது எவ்வாறு செயல்படுகின்றன என்பதற்கான பொதுவான யோசனை உங்களுக்கு இருக்க வேண்டும். இந்த பகுதியின் மீதமுள்ளவை உங்கள் விதிகளை எவ்வாறு துண்டு துண்டாக அமைப்பது என்று உங்களுக்குத் தெரிவிக்கும்.
ஐப்டேபிள் விதிகளின் தொகுப்பை உருவாக்குவதற்கான சிறந்த வழி, அவை அனைத்தையும் கொண்ட கோப்பை உருவாக்குவது. பின்னர், நீங்கள் அனைத்தையும் ஒரே நேரத்தில் iptables இல் இறக்குமதி செய்யலாம். விதிகளை ஒவ்வொன்றாக அமைப்பது குழப்பத்தை ஏற்படுத்தும், குறிப்பாக நீங்கள் புதிதாக ஒரு புதிய விதிகளைத் தொடங்கினால்.
உங்கள் விதிகளை உருவாக்க / tmp கோப்பகத்தில் ஒரு கோப்பை உருவாக்கவும்.
$ vim / tmp / ipv4
* வடிப்பான் மூலம் அந்தக் கோப்பைத் தொடங்கவும். பின்வருபவை பாக்கெட் வடிகட்டலுக்கான விதிகளாக இருக்கும் என்று இது iptables க்கு சொல்கிறது.
மீள்சுழற்சி
விதிகளின் முதல் பிரிவு லூப் பேக் இடைமுகத்தை பூட்டுகிறது. லூப் பேக் இடைமுகத்தில் சேவையகம் தன்னிடமிருந்து போக்குவரத்தை ஏற்க வேண்டும் என்று அவர்கள் iptables க்குச் சொல்கிறார்கள். லூப் பேக்கிலிருந்து வருவதில்லை என்று தானே வரும் போக்குவரத்தையும் அது நிராகரிக்க வேண்டும்.
-A INPUT -i lo -j ACCEPT -A INPUT! -i lo -s 127.0.0.0/8 -j நிராகரிக்க -A OUTPUT -o lo -j ACCEPT
பிங்
அடுத்து, பிங்கை அனுமதிக்கவும். உங்கள் சேவையகத்தை ஆன்லைனில் அணுக முடியாவிட்டால் அது ஆன்லைனில் இருப்பதை உறுதிசெய்ய நீங்கள் பிங் செய்ய முடியும். இந்த வழக்கில், எதிரொலி கோரிக்கைகள் மட்டுமே அனுமதிக்கப்படுகின்றன, மேலும் சேவையகம் தன்னை ICMP வெளியீட்டை அனுப்ப அனுமதிக்கும்.
-A INPUT -p icmp -m state --state NEW --icmp-type 8 -j ACCEPT -A INPUT -p icmp -m state --state ESTABLISHED, RELATED -j ACCEPT -A OUTPUT -p icmp -j ACCEPT
எஸ்எஸ்ஹெச்சில்
உங்களுக்கு SSH தேவை. உங்கள் சேவையகத்தை நீங்கள் அடையக்கூடிய ஒரே வழி இதுதான். SSH விதிகள் உங்கள் இணைய இடைமுகத்திற்கு குறிப்பிட்டவை, எனவே உங்கள் சேவையகம் உண்மையில் பயன்படுத்தும் எந்த இடைமுகத்திற்கும் eth0 ஐ மாற்றுவதை உறுதிசெய்க.
உங்கள் SSH இணைப்புகளை போர்ட் 22 க்கு வெளியே மாற்றுவதும் நல்ல யோசனையாக இருக்கலாம், ஏனெனில் இது இயல்பான தாக்குதல் செய்பவர்கள் முயற்சிக்கும். நீங்கள் அவ்வாறு செய்தால், அதை உங்கள் iptables விதிகளிலும் மாற்றுவதை உறுதிசெய்க.
-A INPUT -i eth0 -p tcp -m state --state NEW, ESTABLISHED --dport 22 -j ACCEPT -A OUTPUT -o eth0 -p tcp -m state --state ESTABLISHED --sport 22 -j ACCEPT
OpenVPN
இந்த அடுத்த பகுதி UDP வழியாக OpenVPN சேவையகத்திலிருந்து மற்றும் போக்குவரத்தை அனுமதிக்கிறது.
-A INPUT -i eth0 -p udp -m state --state NEW, ESTABLISHED --dport 1194 -j ACCEPT -A OUTPUT -o eth0 -p udp -m state --state ESTABLISHED --sport 1194 -j ACCEPT
டிஎன்எஸ்
இப்போது, யுடிபி மற்றும் டிசிபி வழியாக டிஎன்எஸ் இணைப்புகளை அனுமதிக்கவும். உங்கள் விபிஎன் டிஎன்எஸ் கையாள வேண்டும், உங்கள் ஐஎஸ்பி அல்ல. நீங்கள் முதலில் VPN ஐ அமைப்பதற்கான காரணத்தின் ஒரு பகுதியாகும்.
-A INPUT -i eth0 -p udp -m state --state ESTABLISHED --sport 53 -j ACCEPT -A OUTPUT -o eth0 -p udp -m state --state NEW, ESTABLISHED --dport 53 -j ACCEPT -A INPUT -i eth0 -p tcp -m state --state ESTABLISHED --sport 53 -j ACCEPT -A OUTPUT -o eth0 -p tcp -m state --state NEW, ESTABLISHED --dport 53 -j ACCEPT
, HTTP / எஸ்
உபுண்டு தன்னை புதுப்பித்துக் கொள்ள, HTTP மற்றும் HTTPS இன் வெளிச்செல்லும் இணைப்பை அனுமதிக்க நீங்கள் ஒரு சில விதிகளைச் சேர்க்க வேண்டும். இந்த விதிகள் சேவையகத்தை HTTP இணைப்புகளைத் தொடங்க மட்டுமே அனுமதிக்கின்றன என்பதை நினைவில் கொள்க, எனவே நீங்கள் இதை ஒரு வலை சேவையகமாகப் பயன்படுத்தவோ அல்லது போர்ட் 80 அல்லது போர்ட் 443 வழியாக இணைக்கவோ முடியாது
-A INPUT -i eth0 -p tcp -m state --state ESTABLISHED --sport 80 -j ACCEPT -A INPUT -i eth0 -p tcp -m state --state ESTABLISHED --sport 443 -j ACCEPT -A OUTPUT - o eth0 -p tcp -m state --state NEW, ESTABLISHED --dport 80 -j ACCEPT -A OUTPUT -o eth0 -p tcp -m state --state NEW, ESTABLISHED --dport 443 -j ACCEPT
என்டிபி
உங்கள் சேவையக கடிகாரத்தை சரியாக இயக்க, உங்களுக்கு என்டிபி தேவைப்படும். உலகெங்கிலும் உள்ள டைம்சர்வர்களுடன் உங்கள் சேவையகத்தை ஒத்திசைக்க என்.டி.பி அனுமதிக்கிறது. உங்கள் சேவையகத்தில் தவறான கடிகாரத்தை வைத்திருப்பது இணைப்பு சிக்கல்களை ஏற்படுத்தக்கூடும், எனவே என்டிபி இயங்குவது நல்ல யோசனையாகும். மீண்டும், நீங்கள் வெளிச்செல்லும் மற்றும் ஏற்கனவே நிறுவப்பட்ட இணைப்புகளை மட்டுமே ஏற்க வேண்டும்.
-A INPUT -i eth0 -p udp -m state --state ESTABLISHED --sport 123 -j ACCEPT -A OUTPUT -o eth0 -p udp -m state --state NEW, ESTABLISHED --dport 123 -j ACCEPT
TUN
சுரங்கப்பாதைக்கு ஓபன்விபிஎன் பயன்படுத்தும் TUN இடைமுகத்தைத் தடுக்கவும்.
-A INPUT -i tun0 -j ACCEPT -A FORWARD -i tun0 -j ACCEPT -A OUTPUT -o tun0 -j ACCEPT
VPN க்கான உங்கள் வழக்கமான இடைமுகத்திற்கு போக்குவரத்தை அனுப்ப TUN ஐ அனுமதிக்க வேண்டும். OpenVPN உள்ளமைவில் அந்த ஐபி முகவரியைக் காண்பீர்கள். நீங்கள் அதை உள்ளமைவில் மாற்றினால், அதை உங்கள் விதிகளிலும் மாற்றவும்.
-A FORWARD -i tun0 -o eth0 -s 10.8.0.0/24 -j ACCEPT -A FORWARD -m state --state ESTABLISHED, RELATED -j ACCEPT
பதிவு
ஐப்டேபிள்களால் நிராகரிக்கப்படும் எல்லாவற்றின் பதிவுகளையும் வைத்திருப்பது நல்லது. இந்த வழக்கில், இந்த விதிகளில் எதுவுமே பொருந்தாத எதையும் இது குறிக்கிறது. ஏதேனும் தீங்கிழைக்கும் செயல்பாடு அல்லது உங்கள் சேவையகத்திற்கு எதிராக தீங்கு விளைவிக்கும் எதையும் செய்ய முயற்சிகள் உள்ளதா என்பதைப் பார்க்க பதிவுகள் உங்களை அனுமதிக்கின்றன.
-A INPUT -m limit –limit 3 / min -j LOG –log-prefix “iptables_INPUT_denied:” –லாக்-நிலை 4
-A FORWARD -m limit –limit 3 / min -j LOG –log-prefix “iptables_FORWARD_denied:” –லாக்-நிலை 4
-A OUTPUT -m limit –limit 3 / min -j LOG –log-prefix “iptables_OUTPUT_denied:” –லாக்-நிலை 4
எல்லாவற்றையும் நிராகரிக்கவும்
இறுதியாக, உங்கள் விதிகளுக்கு பொருந்தாத எதையும் நீங்கள் தடுக்க வேண்டும். முதலில் ஃபயர்வால் வைத்திருப்பதன் நோக்கம் அதுதான்.
-A INPUT -j REJECT -A FORWARD -j REJECT -A OUTPUT -j REJECT
அனைத்து விதிகளையும் செய்ய iptables க்கு கோப்பை COMMIT உடன் மூடு.
NAT முகமூடி
சேவையகத்திலிருந்தே வருவதைப் போல தோற்றமளிக்க உங்களுக்கு VPN இலிருந்து இணைப்புகள் தேவை. இந்த துண்டு வழக்கமான iptables கோப்பில் சேர்க்க முடியாது, ஏனெனில் இது வேறு அட்டவணையைப் பயன்படுத்துகிறது. அது சரி, இருப்பினும், இது ஒரு வரி மட்டுமே.
$ sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
முன்னோக்கி IPv4 போக்குவரத்து
நீங்கள் IPv4 ட்ராஃபிக்கை அனுப்புவதை இயக்க வேண்டும், எனவே இது VPN க்கும் உங்கள் சேவையகத்தின் உண்மையான பிணைய இடைமுகத்திற்கும் இடையில் செல்ல முடியும். சூடோவுடன் /etc/sysctl.d/99-sysctl.conf ஐ திறக்கவும்.
கீழேயுள்ள வரியைக் கண்டுபிடித்து # ஐ அகற்றுவதன் மூலம் அதைக் கட்டுப்படுத்தவும்.
அனைத்து IPv6 இணைப்புகளையும் நிறுத்துங்கள்
மன்னிக்கவும், நீங்கள் இன்னும் iptables உடன் முடிக்கவில்லை. நீங்கள் அனைத்து IPv6 போக்குவரத்தையும் தடுக்க வேண்டும். இந்த ஓபன்விபிஎன் சேவையகம் ஐபிவி 4 ஐ மட்டுமே ஆதரிக்கும், இது நல்லது, ஏனென்றால் உங்களுக்கு ஐபிவி 6 தேவைப்படும் சூழ்நிலைக்கு நீங்கள் ஓடப்போவதில்லை. இதன் விளைவாக, எந்த ஐபிவி 6 இணைப்புகளும் தகவல்களை கசியக்கூடும், இது ஒரு விபிஎன் பயன்படுத்தும் போது நீங்கள் விரும்புவதற்கு நேர்மாறாகும்.
ஐப்டேபிள்களுக்கான விதிகளை அமைப்பதற்கு முன், கணினியில் எல்லா இடங்களிலும் ஐபிவி 6 ஐ முடக்க வேண்டும்.
பின்வரும் வரிகளை /etc/sysctl.d/99-sysctl.conf இல் சேர்க்கவும். முந்தைய பகுதியிலிருந்து அதை மூடிவிட்டால், அதை சூடோவுடன் மீண்டும் திறக்கவும்.
net.ipv6.conf.all.disable_ipv6 = 1 net.ipv6.conf.default.disable_ipv6 = 1 net.ipv6.conf.lo.disable_ipv6 = 1 net.ipv6.conf.eth0.disable_ipv6 = 1
உங்கள் மாற்றங்களைச் செயல்படுத்தவும்.
$ sudo sysctl -p
/ Etv / புரவலன்களில் உள்ள அனைத்து IPv6 வரிகளையும் கருத்து தெரிவிக்கவும். உங்களுக்கும் இங்கே சூடோ தேவைப்படும்.
# :: 1 ip6-localhost ip6-loopback # fe00 :: 0 ip6-localnet # ff00 :: 0 ip6-mcastprefix # ff02 :: 1 ip6-allnodes # ff02 :: 2 ip6-allrouters
கடைசியாக, நீங்கள் IPv6 iptables விதிகளை எழுதலாம். அவர்களுக்காக / tmp / ipv6 இல் ஒரு கோப்பை உருவாக்கவும்.
* வடிகட்டி -A INPUT -j REJECT -A FORWARD -j REJECT -A OUTPUT -j REJECT COMMIT
பார், அவை எளிமையானவை. எல்லாவற்றையும் நிராகரிக்கவும்.
Iptables இல் இறக்குமதி செய்து சேமிக்கவும்
அவர்கள் எதையும் செய்ய அந்த விதிகளை நீங்கள் இறக்குமதி செய்ய வேண்டும். எனவே, இப்போது அதைச் செய்ய வேண்டிய நேரம் வந்துவிட்டது.
அங்குள்ள எல்லாவற்றையும் அழிப்பதன் மூலம் தொடங்கவும். பழைய விதிகள் எதுவும் வர விரும்பவில்லை.
$ sudo iptables -F && sudo iptables -X
உங்கள் IPv4 மற்றும் IPv6 விதிகள் இரண்டையும் இறக்குமதி செய்க.
$ sudo iptables-restore </ tmp / ipv4 $ sudo ip6tables-restore </ tmp / ipv6
நீங்கள் அதை மீண்டும் செய்ய விரும்பவில்லை. எனவே, உங்கள் விதிகளை நிரந்தரமாக சேமிக்க உங்களுக்கு ஒரு புதிய தொகுப்பு தேவைப்படும்.
ud sudo apt install iptables-persistent
நிறுவலின் போது, உங்கள் இருக்கும் விதிகளைச் சேமிக்க தொகுப்பு கேட்கும். “ஆம்” என்று பதில் சொல்லுங்கள்.
நீங்கள் பின்னர் மாற்றங்களைச் செய்தால், உங்கள் சேமித்த உள்ளமைவுகளையும் புதுப்பிக்கலாம்.
ud சூடோ சேவை நெட்ஃபில்டர்-தொடர்ச்சியான சேமிப்பு
சிறிது நேரம் ஆனது, ஆனால் உங்கள் ஃபயர்வால் செல்ல தயாராக உள்ளது. அடுத்த பக்கத்தில், தேவையான குறியாக்க விசைகளை உருவாக்குவதை நாங்கள் சமாளிக்கப் போகிறோம்.
இங்கே கிளிக் செய்க: அடுத்த பக்கம்
