ეს 2017 წელია და VPN- ის გამოყენებით გახდა ნიავი. მრავალი კონფიდენციალურობის შესახებ და მრავალი ფაქტის გათვალისწინებით, რომ თქვენს საკუთარ ISP- ს შეუძლია გაყიდოს თქვენი ბრაუზერის ისტორია, არ არსებობს გამართლება, რომ არ გამოიყენოთ.

რა თქმა უნდა, შეგიძლიათ გადაიხადოთ ერთი ასეული VPN მომსახურება, მაგრამ ისევ თქვენს მონაცემებს ეყრდნობით. სინამდვილეში უმეტესობა შესანიშნავია, მაგრამ თუ გსურთ სრული კონტროლი, შეგიძლიათ შექმნათ თქვენი საკუთარი VPN ვირტუალურ პირად სერვერზე (VPS) ან საკუთარი კერძო სერვერზე დაქირავება, თუ გრძნობთ, რომ ნამდვილად რთულია .

VPN- ის შექმნისათვის საჭიროა მხოლოდ ღია წყარო OpenVPN პროგრამა და Linux (ან BSD). კონფიგურაციაში შეიძლება იყოს ჩართული, მაგრამ Linux– ს ძირითადი უნარების მქონე ადამიანი შეუძლებელია Ubuntu– ს მსგავსი განაწილების გაშვება.

ამ სახელმძღვანელოსთვის, გჭირდებათ UPS, რომელიც მუშაობს Ubuntu. შეგიძლიათ მარტივად აირჩიოთ ის ადამიანი, როგორიცაა DigitalOcean ან Linode. გაეცანით უსაფრთხოების ძირითადი ინსტრუქციებს. დარწმუნდით, რომ თქვენ არ დაუშვებთ რაიმე ფუნდამენტურ შეცდომას, როგორიცაა SSH– ის საშუალებით ფესვის დაშვების საშუალება.

გაითვალისწინეთ, რომ თქვენ დაასრულებთ ბრძანების მთელ კონფიგურაციას SSH– ის საშუალებით თქვენს VPS– ზე. არაფერია საჭირო Linux Linux- ის ცოდნის მისაღწევად, მაგრამ მზად იყავით დაწკაპუნების ნაცვლად აკრიფოთ.

მიიღეთ ის, რაც გჭირდებათ

Ubuntu შეფუთავს და ანაწილებს OpenVPN- ს თავის საცავებში. თქვენ უბრალოდ უნდა გამოიყენოთ აპარატი, რომ დააინსტალიროთ. ასევე დაგჭირდებათ დაშიფვრის ძირითადი თაობის ინსტრუმენტი. დააინსტალირეთ ორივე.

$ sudo apt ინსტალაცია openvpn მარტივად

დააყენეთ ბუხარი

შემდეგი თქვენ უნდა იზრუნოს firewall. ეს მნიშვნელოვანი წვლილია თქვენი VPN- ის უზრუნველსაყოფად და მონაცემთა გაჟონვისა და არასასურველი წვდომის თავიდან ასაცილებლად.

Iptables არის Linux- ის მთავარი ბუხარი და თქვენი საუკეთესო ვარიანტია Ubuntu პორტების შესასვლელად. თქვენ უკვე დააინსტალირეთ, ასე რომ თქვენ შეგიძლიათ დაიწყოთ თქვენი firewall- ის წესების დაყენება.

იპოვნეთ ინტერფეისი

სანამ iptables– ში წესების დაწერა დაიწყებთ, უნდა გაარკვიოთ, რომელი ინტერფეისი იყენებს თქვენს სერვერს ინტერნეტთან დასაკავშირებლად. Ifconfig გაუშვით თქვენი ქსელის ინტერფეისების სანახავად. საწყისი მისამართი, რომელიც შეესაბამება IP მისამართს, რომელსაც თქვენ უკავშირდებით, სწორი ინტერფეისია.

Iptables საფუძვლები

ჩვეულებრივ, კარგი იდეა არ არის შემთხვევითი კოპირება და ჩასმა ინტერნეტიდან ტერმინალში. ეს განსაკუთრებით ეხება იმ შემთხვევაში, თუ უსაფრთხოების საკითხებს ეხმიანებით. გარკვეული დრო გაატარეთ აქ, რომ გაეცნოთ iptables წესებს მათ შესვლამდე.

გადახედეთ iptables წესის ამ მაგალითს.

- INPUT - i eth0 - p tcp - m სახელმწიფო - სახელმწიფო დაფუძნებულია - სპორტი 443 - j ACCEPT

კარგი, ასე რომ - A ნიშნავს, რომ თქვენ დაამატებთ ახალ წესს. შემდეგ INPUT ნიშნავს, რომ ეს არის ჩანაწერი თქვენს სერვერზე. ასევე არსებობს გამოსავალი. დროშა გვიყვება iptables რომელ ინტერფეისს ეხება ეს წესი. შეგიძლიათ გამოიყენოთ –p, რომ მიუთითოთ, რომელ ოქმს ეხება წესი. ეს წესი ეხება TCP- ს. -m განსაზღვრავს პირობას, რომ კავშირი უნდა აკმაყოფილებდეს. ამ შემთხვევაში, ის უნდა შეესაბამებოდეს მითითებულ სტატუსს. რა თქმა უნდა, მაშინ სტატუსი მიუთითებს სტატუსზე, ამ შემთხვევაში დამყარებული კავშირი. შემდეგი ნაწილი მოგვითხრობს iptables რომელ პორტს ეხება ეს წესი. აქ არის პორტალი 443, HTTPS პორტი. ბოლო დროშა არის -j. ის დგას "ნახტომი" და აცნობებს iptables, რა უნდა გააკეთოს კავშირთან. თუ ეს კავშირი აკმაყოფილებს წესის ყველა მოთხოვნას, iptables მიიღებს მას.

შექმენით თქვენი წესები

თქვენ უნდა გქონდეთ ზოგადი წარმოდგენა იმაზე, თუ როგორ მუშაობს iptables წესები ახლა. ამ სექციის დანარჩენი ნაწილები განმარტავს, თუ როგორ უნდა ჩამოაყალიბოთ თქვენი წესები bit.

Iptables– ის წესების შექმნის საუკეთესო საშუალებაა ფაილის შექმნა, რომელიც შეიცავს ყველა წესს. შემდეგ თქვენ შეგიძლიათ იმპორტი ყველაფერ ერთდროულად. წესების დაცვა სათითაოდ შეიძლება დამაბნეველი იყოს, მით უმეტეს, თუ ახალი წესების დაცვას ნულიდან დაიწყებთ.

თქვენი წესების შესაქმნელად შექმენით ფაილი / tmp დირექტორია.

$ vim / tmp / ipv4

დაიწყეთ ეს ფაილი * ფილტრით. ეს iptables- ს უყვება, რომ პაკეტის ფილტრაციის შემდეგი წესები გამოიყენება.

მარყუჟი

წესების პირველი განყოფილება ჩაკეტავს loopback ინტერფეისს. ისინი iptables აცხადებენ, რომ loopback ინტერფეის სერვერმა უნდა მიიღოს ტრეფიკი თავისთავად. მან ასევე უნდა უარყოს ტრეფიკი, რომელიც არ მოდის მარყუჟისგან.

-შეერთებული -i lo -j მიღება-ჩაწერა! -i lo -s 127.0.0.0/8 -j REJECT-OUTPUT -o lo -j ACCEPT

ზარის რეკვა

შემდეგი, დაუშვებს პინგს. თქვენ უნდა შეძლოთ თქვენი სერვერის პინგინგი, რომ დარწმუნდეთ, რომ ის ინტერნეტშია, თუ სხვაგვარად მიუწვდომელია. ამ შემთხვევაში, მხოლოდ ექოს მოთხოვნაა დაშვებული და სერვერს შეუძლია თავად გაგზავნოს ICMP გამომავალი.

- INPUT -p icmp –m სახელმწიფო - სახელმწიფო NEW --icmp-ტიპის 8 -j ACCEPT - INPUT - p icmp - m სახელმწიფო - სახელმწიფო დაფუძნებული, დაკავშირებული - j ACCEPT -A OUTPUT -p icmp -j ACCEPT

SSH

თქვენ გჭირდებათ SSH. ეს ერთადერთი გზაა თქვენს სერვერზე მისასვლელად. SSH წესები სპეციფიკურია თქვენი ინტერფეისისთვის. ასე რომ, დარწმუნდით, რომ იყენებთ eth0 ინტერფეისს, რომელსაც თქვენი სერვერი იყენებს.

ასევე კარგი იქნება იდეა შეცვალოთ თქვენი SSH კავშირები პორტი 22 – დან, რადგან ეს არის ნაგულისხმევი პარამეტრი, რომელსაც პოტენციური თავდამსხმელები შეეცდებიან. თუ ამას აკეთებთ, დარწმუნდით, რომ ამას შეცვლით თქვენს iptables წესებსაც.

- INPUT - i eth0 - p tcp - m სახელმწიფო - სახელმწიფო NEW, SET - პორტი 22 - j ACCEPT -A OUTPUT - o eth0 -p tcp -m სახელმწიფო - სახელმწიფო დაფუძნებული - ავტორი 22 -j ACCEPT

OpenVPN

შემდეგი შემდეგი განზომილებით, მონაცემთა ტრეფიკი OpenVPN სერვერზე და მის გარშემო ჩართულია UDP საშუალებით.

- INPUT - i eth0 - p udp - m სახელმწიფო - სახელმწიფო NEW, SET - პორტი 1194 - j ACCEPT -A OUTPUT -o eth0 -p udp -m სახელმწიფო - სახელმწიფო დაფუძნებული - ავტორი 1194 -j მიღება

DNS

ახლა დაუშვან DNS კავშირები UDP– სა და TCP– ზე. გსურთ თქვენი VPN დამუშავდეს DNS და არა თქვენი ISP. ეს არის ერთ-ერთი მიზეზი, რის გამოც პირველ რიგში VPN შექმნით.

- INPUT - i eth0 - p udp - m სახელმწიფო - სახელმწიფო დაფუძნებული - სპორტი 53 - j ACCEPT -A OUTPUT -o eth0 -p udp -m სახელმწიფო - სახელმწიფო ახალი, დამყარება --dport 53 -j ACCEPT - INPUT - i eth0 - p tcp - m სახელმწიფო - სახელმწიფო დადგენილი - სპორტი 53 - j ACCEPT -A OUTPUT -o eth0 -p tcp -m სახელმწიფო - სახელმწიფო NEW, დადგენილი - პორტი 53 -j ACCEPT

HTTP / S

იმისათვის, რომ Ubuntu- მა განაახლოს თავად, თქვენ უნდა დაამატოთ მთელი რიგი წესები, რათა HTTP- სა და HTTPS- დან გადმოსასვლელი კავშირები დაუშვას. გაითვალისწინეთ, რომ ეს წესები მხოლოდ სერვერს საშუალებას აძლევს დაიწყოს HTTP კავშირები. ამიტომ, თქვენ არ შეგიძლიათ გამოიყენოთ იგი ვებ სერვერზე, ან დაკავშირება პორტის 80 ან პორტში 443

- INPUT - i eth0 - p tcp - m სახელმწიფო - სახელმწიფო დადგენილი - სპორტი 80 - j ACCEPT - INPUT - i eth0 - p tcp - m სახელმწიფო - სახელმწიფო დაფუძნებული - სპორტი 443 - j ACCEPT -A OUTPUT -o eth0 -p tcp - m სახელმწიფო - ახალი, დამყარებული --dort 80 -j ACCEPT -A OUTPUT -o eth0 -p tpp -m სახელმწიფო - სახელმწიფო NEW, დადგენილი --d 443 -j ACCEPT

NTP

თქვენ გჭირდებათ NTP, რომ სერვერის საათმა სწორად იმუშაოს. NTP- ს საშუალებით თქვენს სერვერს შეუძლია სინქრონიზაცია მოახდინოს დროის სერვერებთან მთელ მსოფლიოში. თქვენს სერვერზე არასწორმა საათმა შეიძლება გამოიწვიოს კავშირთან დაკავშირებული პრობლემები. ასე რომ, კარგი იდეაა NTP– ის გაშვება. კვლავ უნდა მიიღოთ მხოლოდ გამავალი და არსებული კავშირები.

- INPUT - i eth0 - p udp - m სახელმწიფო - სახელმწიფო დაფუძნებულია - სპორტი 123 - j ACCEPT -A OUTPUT -o eth0 -p udp -m სახელმწიფო - სახელმწიფო ახალი, დამყარება --dd 123 -j ACCEPT

გააკეთე

გახსენით TUN ინტერფეისი, რომელსაც OpenVPN იყენებს გვირაბის ტრაფიკისთვის.

INPUT -i tun0 -j ACCEPT -A FORWARD -i tun0 -j ACCEPT -A OUTPUT -o tun0 -j ACCEPT

თქვენ უნდა დაუშვათ TUN გადასახადი VPN თქვენს რეგულარულ ინტერფეისამდე. თქვენ შეგიძლიათ იპოვოთ ეს IP მისამართი OpenVPN კონფიგურაციაში. თუ თქვენ შეცვლით მას კონფიგურაციაში, ასევე შეცვლით მას თქვენს წესებში.

FORWARD -i tun0 -o eth0 -s 10.8.0.0/24 -j ACCEPT -A FORWARD -m state --statstyle, RELATED -j ACCEPT

ხეები

კარგი იდეაა, რომ შევინარჩუნოთ ჟურნალი ყველაფერი, რაც iptables უარყოფს. ამ შემთხვევაში, ყველაფერი იგულისხმება, რაც არ ჯდება რომელიმე ამ წესში. ჟურნალის დახმარებით შეგიძლიათ დაადგინოთ აქვს თუ არა მავნე მოქმედება, ან ცდილობს თუ არა რაიმე სირცხვილის გაკეთებას თქვენი სერვერის წინააღმდეგ.

-INPUT -m ლიმიტი - ზღვარი 3 / წთ -j LOG –გვიწერთ წინასასვლელი "iptables_INPUT_denied:" –log დონე 4-A FORWARD -m limit - limit 3 / min -j LOG– ლოგო პრეფიქსი "iptables_FORWARD_denied:" - ჟურნალი -level 4-A OUTPUT -m ლიმიტი – ზღვრული 3 / წთ -j LOG– ლოგის პრეფიქსი „iptables_OUTPUT_denied:” –log-დონე 4

უარყავით ყველაფერი

ყოველივე ამის შემდეგ, თქვენ უნდა დაბლოკოს ყველაფერი, რაც არ შეესაბამება თქვენს წესებს. ეს არის ფაქტობრივად firewall- ის დანიშნულება.

-INPUT -j უარი -J REJECT -J REJECT-OUTPUT -j REJECT

დახურეთ ფაილი კომიტეტთან, რათა აცნობოს iptables ყველა წესის შესრულებას.

OpenVPN iptables წესები

ბუნების მასკარადი

თქვენ უნდა ჩამოაყალიბოთ კავშირი VPN– სთან, ისე, თითქოს ისინი თავად სერვერისგან იყვნენ. ეს ნაწილი არ შეიძლება შეიტანოთ iptables– ის რეგულარულ ფაილში, რადგან გამოიყენება სხვა ცხრილი. მაგრამ ეს კარგია, ეს მხოლოდ ერთი ხაზია.

$ sudo iptables ჩვენთვის ნავარაუდევია –s 10.8.0.0/24 –o eth0 –j MASQUERADE

წინ გადის IPv4 ტრაფიკი

თქვენ უნდა ჩართოთ IPv4 ტრეფიკის გადაცემა ისე, რომ ის შეიძლება გადაეცეს VPN და თქვენი სერვერის რეალურ ქსელურ ინტერფეისს შორის. გახსენით /etc/sysctl.d/99-sysctl.conf ერთად sudo.

იპოვნეთ ქვემოთ მოცემული ხაზი და ამოიღეთ # კომენტარის პერსონაჟის მოსაშორებლად.

net.ipv4.ip_forward = 1

შეწყვიტეთ IPv6 ყველა კავშირი

სამწუხაროდ, თქვენ ჯერ არ ხართ გაკეთებული iptables. თქვენ უნდა დაბლოკოს IPv6 მთელი ტრაფიკი. ეს OpenVPN სერვერი მხოლოდ IPv4- ს უჭერს მხარს, ეს შესანიშნავია, რადგან ვერ შეხვდებით სიტუაციას, სადაც IPv6 გჭირდებათ. შედეგად, ინფორმაცია შეიძლება დაიკარგოს IPv6 კავშირებზე. ეს არის საპირისპირო, რაც გსურთ VPN გამოყენებისას.

სანამ iptables- ს წესებს დაყენებთ, სისტემის გამორთვა უნდა გქონდეთ IPv6.

შემდეგი ხაზები დაამატეთ /etc/sysctl.d/99-sysctl.conf. თუ ეს წინა ნაწილიდან დახურეთ, გახსენით ისევ სუდურით.

net.ipv6.conf.all.disable_ipv6 = 1 net.ipv6.conf.default.disable_ipv6 = 1 net.ipv6.conf.lo.disable_ipv6 = 1 net.ipv6.conf.eth0.disable_ipv6 = 1

გააქტიურეთ თქვენი ცვლილებები.

$ sudo sysctl -p

კომენტარი გაუკეთეთ ყველა IPv6 ხაზს / ა.შ. / მასპინძლებში. აქ დაგჭირდებათ სudo.

# :: 1 ip6-localhost ip6-loopback # fe00 :: 0 ip6-localnet # ff00 :: 0 ip6-mcastprefix # ff02 :: 1 ip6-allnodes # ff02 :: 2 ip6-allrouter

დაბოლოს, შეგიძლიათ დაწეროთ IPv6 iptables წესები. შექმენით ფაილი მათთვის / tmp / ipv6.

* FILTER -INPUT -j REJECT -J REJECT -A Output -j უარი თქვით სავალდებულო

ხედავთ, ისინი მარტივია. უარყავი ყველაფერი

Iptables- ში იმპორტი და შენახვა

თქვენ უნდა შემოიტანოთ ეს წესები, რათა მათ რაღაც გააკეთონ. ახლა დრო მოვიდა.

დაიწყეთ ყველაფერი, რაც აქ არის. თქვენ არ გსურთ ძველი წესების დაცვა.

$ sudo iptables -F && sudo iptables -X

იმპორტი თქვენი IPv4 და IPv6 წესები.

$ sudo iptables- აღდგენა

ალბათ აღარასოდეს მოისურვებ ამის გაკეთებას. ასე რომ, თქვენ გჭირდებათ ახალი პაკეტი, რომ თქვენი წესები სამუდამოდ შეინახოთ.

$ sudo apt ინსტალაცია iptables- მუდმივი

ინსტალაციის დროს მოგეთხოვებათ შეინახოთ არსებული წესები. უპასუხეთ "კი".

თუ მოგვიანებით შეიტანთ ცვლილებებს, შეგიძლიათ განაახლოთ თქვენი შენახული კონფიგურაციები.

დაზოგეთ $ sudo სერვისი netfilter- მუდმივი

გარკვეული დრო დასჭირდა, მაგრამ თქვენი ბუხარი მზად არის. შემდეგ გვერდზე საქმე გვაქვს დაშიფვრის საჭირო კლავიშების შექმნით.

დააჭირეთ აქ: შემდეგი გვერდი

Იხილეთ ასევე

როგორ შეუძლია გააუმჯობესოს ვინმესთან ურთიერთობის პოვნის შანსი, Tinder ან OkCupid– ის პროგრამის გამოყენების გარეშე?ჩემი 15 წლის შვილის ინსტაგრამზე აღმოვაჩინე და მას აქვს სურათები, რომლებსაც სიგარეტით და ალკოჰოლური სასმელებით .რა უნდა გავაკეთო? მინდა დაპირისპირდე მას.როგორ არის Snapchat კარგი მარკეტინგისთვის?რატომ დატოვა ჩემმა ნარცისმა ყოფილმა WhatsApp- ზე განტვირთვის გარეშე ამჯერად?რატომ აკეთებენ Snapchat– ის ხალხი streaks?რატომ არის Instagram ყველაზე სასარგებლო სოციალურ მედიაში?რა ტექნოლოგიით იყენებს ხმოვანი ზარის გამოყენებას? ეს მსგავსია webrtc- ს?საჭიროა თუ არა მინიმალური ინტერნეტ სიჩქარე Whatsapp ზარის ჩასატარებლად?