Firewall va Portlarni Boshqarish – Linux va Assemblyda

Firewall va port boshqaruvi tarmoq xavfsizligi uchun juda muhimdir. U orqali kiruvchi va chiquvchi tarmoq trafikini boshqarish, ruxsat berish yoki bloklash amalga oshiriladi. Quyida Linux tizimida va assemblyda firewall va portlarni boshqarish haqida to‘liq qo‘llanma keltirilgan.

Linuxda Firewall va Portlarni Boshqarish

Firewall haqida umumiy ma'lumot

Firewall kiruvchi va chiquvchi trafikni nazorat qiladigan xavfsizlik devori hisoblanadi. Linux tizimlarida asosiy firewall mexanizmi iptables yoki zamonaviyroq nftables hisoblanadi.

iptables yordamida portlarni boshqarish

Portni ochish (masalan, 8080-port)

sudo iptables -A INPUT -p tcp --dport 8080 -j ACCEPT

-A INPUT: Kiruvchi trafik qoidasi qo‘shilmoqda.
-p tcp: TCP protokoli uchun qoida qo‘llaniladi.
--dport 8080: 8080-portda ishlayotgan trafik ruxsat etiladi.
-j ACCEPT: Trafikka ruxsat beriladi.

Portni yopish

sudo iptables -A INPUT -p tcp --dport 8080 -j DROP

Ushbu qoida 8080-port orqali kiruvchi TCP trafikni bloklaydi.

Qo‘llangan qoidalarni ko‘rish

sudo iptables -L

Bu buyruq orqali barcha qoidalar ro‘yxatini ko‘rishingiz mumkin.

Qoida olib tashlash

sudo iptables -D INPUT -p tcp --dport 8080 -j ACCEPT

Bu buyruq 8080-port uchun qo‘yilgan qoidani olib tashlaydi.

Yangi firewall mexanizmi – nftables

Zamonaviy Linux distributivlari iptables o‘rniga nftables ni qo‘llashni tavsiya qiladi. Portni boshqarish misoli:

sudo nft add rule inet filter input tcp dport 8080 accept

Portlarni boshqarishda qo‘llaniladigan umumiy buyruqlar

Buyruq

Tavsif

iptables -A

Yangi qoida qo‘shadi

iptables -D

Qoida olib tashlaydi

iptables -L

Hozirgi qoidalarni ko‘rsatadi

iptables -F

Barcha qoidalarni o‘chiradi

nft add rule

nftables yordamida yangi qoida qo‘shadi

Assemblyda Portlarni Boshqarish va Firewall Sozlamalari

Assemblyda to‘g‘ridan-to‘g‘ri firewall va portlarni boshqarish qiyin, chunki bu ishlar ko‘pincha operatsion tizim darajasida amalga oshiriladi. Biroq, socket tizim chaqiruvlari va setsockopt() funksiyasi yordamida portlarni boshqarish va tarmoq xatti-harakatlarini sozlash mumkin.

Socket yaratish va portga bog‘lash

Quyidagi assembly kod TCP socket yaratadi va uni 8080-portga bog‘laydi. So‘ngra u keluvchi ulanishlarni kutadi (listen rejimi).

Assembly kod (Linux x86, TCP socket yaratish va ulanish)

section .data
    port         dw 0x1F90                ; 8080-port (big-endian formatda)
    ip_address   dd 0                     ; 0.0.0.0 (barcha interfeyslar)
    sockaddr_in  dw 2                     ; AF_INET (IPv4)
                  dw port                 ; sin_port
                  dd ip_address           ; sin_addr
                  times 8 db 0            ; sin_zero[8]

    listen_args  dd socket_fd, 5          ; Navbatda kutish uchun 5 ulanish

section .bss
    socket_fd    resd 1                   ; Socket fayl deskriptori

section .text
    global _start

_start:
    ; 1. TCP socket yaratish
    mov eax, 0x66                         ; `sys_socketcall` identifikatori
    mov ebx, 1                            ; `socket` funksiyasi kodi
    lea ecx, [socket_args]                ; Socket parametrlari
    int 0x80

    ; Socket fayl deskriptori `eax`da saqlanadi
    mov [socket_fd], eax

    ; 2. Socketni 8080-portga bog‘lash (bind)
    mov eax, 0x66
    mov ebx, 2                            ; `bind` funksiyasi kodi
    lea ecx, [bind_args]
    int 0x80

    ; 3. Socketni tinglash rejimiga o‘tkazish (listen)
    mov eax, 0x66
    mov ebx, 4                            ; `listen` funksiyasi kodi
    lea ecx, [listen_args]
    int 0x80

    ; 4. Dasturdan chiqish
    mov eax, 1                            ; `sys_exit`
    xor ebx, ebx                          ; Chiqish kodi: 0
    int 0x80

section .data
    socket_args dd 2, 1, 0                ; socket(AF_INET, SOCK_STREAM, 0)
    bind_args   dd socket_fd, sockaddr_in, 16

Tizim chaqiruvlarining izohi

Socket yaratish socket(AF_INET, SOCK_STREAM, 0) chaqiruvi orqali TCP socket yaratiladi.
Portga bog‘lash (bind) bind() orqali socket 8080-portga bog‘lanadi. Bu port tarmoqdan keluvchi ulanishlarni qabul qilish uchun tayyorlanadi.
Tinglash (listen) listen() orqali socket ulanishlarni kutish rejimiga o‘tkaziladi. Bu rejimda socket keluvchi so‘rovlarni qabul qilishi mumkin.

Assemblyda Firewallni boshqarish

Firewall qoidalari odatda tizim darajasida amalga oshiriladi va assembly tilida to‘g‘ridan-to‘g‘ri boshqarish imkoni yo‘q. Ammo siz assembly yordamida shell buyruqlarini chaqirib, firewall qoidalarini qo‘llashingiz mumkin. Masalan, execve() tizim chaqiruvi orqali iptables buyrug‘ini ishga tushirish mumkin:

Assembly orqali iptables chaqiruv

section .data
    cmd     db '/sbin/iptables', 0
    arg1    db '-A', 0
    arg2    db 'INPUT', 0
    arg3    db '-p', 0
    arg4    db 'tcp', 0
    arg5    db '--dport', 0
    arg6    db '8080', 0
    arg7    db '-j', 0
    arg8    db 'ACCEPT', 0
    args    dd cmd, arg1, arg2, arg3, arg4, arg5, arg6, arg7, arg8, 0

section .text
    global _start

_start:
    ; `execve` chaqiruvini amalga oshirish
    mov eax, 11                        ; `sys_execve` identifikatori
    lea ebx, [cmd]                     ; Buyruq manzili
    lea ecx, [args]                    ; Argumentlar ro‘yxati
    xor edx, edx                       ; Atrof-muhit o‘zgaruvchilari (NULL)
    int 0x80                           ; Tizim chaqiruvini amalga oshirish

    ; Dasturdan chiqish
    mov eax, 1
    xor ebx, ebx
    int 0x80

Xulosa

Linuxda firewall va portlarni boshqarish uchun iptables, nftables yoki boshqa xavfsizlik vositalaridan foydalaniladi.
Assemblyda tarmoq operatsiyalari va port boshqaruvi socket tizim chaqiruvlari orqali amalga oshiriladi.
To‘g‘ridan-to‘g‘ri firewall boshqaruvi uchun assembly orqali tizim buyruqlarini (execve) chaqirish mumkin.

PreviousAssemblyda Socket Buffer Management NextICMP (Ping) va Tarmoq Diagnostikasi

Last updated 2 months ago