یہ 2017 کی بات ہے ، اور وی پی این کا استعمال کرنا کوئی عدم دماغی بن گیا ہے۔ بیرونی پرائیویسی خدشات اور آپ کی اپنی ISP آپ کی براؤزنگ کی تاریخ فروخت کرنے کے قابل ہونے کے بیچ ، واقعی اس کا استعمال نہ کرنے کا جواز پیش کرنا ہے۔
یقینی طور پر ، آپ وہاں VPN کی سیکڑوں خدمات میں سے ایک ادائیگی کرسکتے ہیں ، لیکن ایک بار پھر ، آپ اپنے ڈیٹا کے ساتھ کسی اور پر بھروسہ کر رہے ہیں۔ زیادہ تر حقیقت میں ، بہت اچھے ہیں ، لیکن اگر آپ مکمل کنٹرول چاہتے ہیں تو ، آپ V Virtual P Rivate S erver (VPS) پر اپنا VPN بنا سکتے ہیں یا اپنے ذاتی سرور کرایہ پر لے سکتے ہیں ، اگر آپ کو محسوس ہوتا ہے کہ واقعی اس کے ساتھ سختی سے کام لینا ہے۔
آپ سب کو وی پی این بنانے کی ضرورت اوپن سورس اوپن وی پی این سافٹ ویئر اور لینکس (یا بی ایس ڈی) ہے۔ ترتیب میں شامل ہوسکتا ہے ، لیکن اوبنٹو جیسی تقسیم کو روکنے کے لئے یہاں تک کہ بنیادی لینکس کی مہارت رکھنے والے کسی کے ساتھ بھی یہ ناممکن نہیں ہے۔
اس گائیڈ کے ل you're ، آپ کو اوبنٹو چلانے والے VPS کی ضرورت ہوگی۔ آپ ڈیجیٹل اوشین یا لینوڈ جیسے کسی سے بہت آسانی سے ایک لے سکتے ہیں۔ ترتیب دینے کے لئے ان کی بنیادی سیکیورٹی گائیڈز پر عمل کریں۔ اس بات کو یقینی بنائیں کہ آپ بنیادی غلطیاں نہ کریں جیسے SSH پر جڑ تک رسائی کی اجازت دیں۔
نیز ، یہ بھی ذہن میں رکھیں کہ یہ آپ اپنے پورے VPS کو SSH سے کمانڈ لائن میں پورا سیٹ اپ کررہے ہیں۔ ایسی کوئی چیز نہیں ہے جس کے لئے لینکس کے علم پر پاگل رقم کی ضرورت ہو ، لیکن کلک کرنے کے بجائے ٹائپنگ کے ل prepared تیار رہیں۔
آپ کی ضرورت ہو رہی ہے
فوری روابط
- آپ کی ضرورت ہو رہی ہے
- فائر وال کو سیٹ اپ کریں
- انٹرفیس تلاش کریں
- Iptables بنیادی باتیں
- اپنے قواعد مرتب کریں
- لوپ بیک
- پنگ
- ایس ایس ایچ
- اوپن وی پی این
- ڈی این ایس
- HTTP / S
- این ٹی پی
- TUN
- لاگنگ
- باقی سب کو مسترد کریں
- این اے ٹی ماسکریڈنگ
- فارورڈ IPv4 ٹریفک
- تمام IPv6 رابطے بند کرو
- Iptables میں درآمد اور محفوظ کریں
اوبنٹو پیکیجز اور اپنے ذخیروں میں اوپن وی پی این تقسیم کرتا ہے۔ اسے انسٹال کرنے کے لئے آپ کو صرف آپٹ استعمال کرنا ہوگا۔ آپ کو خفیہ کاری کی چابیاں تیار کرنے کے لئے ٹول کی بھی ضرورت ہوگی۔ ان دونوں کو انسٹال کریں۔
open sud apt انسٹال کریں اوپن وی پی این ایزی آر ایس اے
فائر وال کو سیٹ اپ کریں
اگلا ، آپ کو فائر وال کی دیکھ بھال کرنے کی ضرورت ہے۔ آپ کے وی پی این کو محفوظ رکھنے اور ڈیٹا کی رساو اور ناپسندیدہ رسائی دونوں کو روکنے میں یہ ایک اہم حصہ ہے۔
Iptables لینکس کے لئے اہم فائر وال ہیں ، اور اوبنٹو کی بندرگاہوں تک رسائی پر قابو پانے کے لئے یہ آپ کا بہترین آپشن ہے۔ آپ نے پہلے ہی اسے انسٹال کر لیا ہوگا ، لہذا آپ اپنے فائر وال قواعد مرتب کرنا شروع کرسکیں گے۔
انٹرفیس تلاش کریں
اس سے پہلے کہ آپ iptables میں قواعد لکھنا شروع کریں ، معلوم کریں کہ آپ کا سرور کس انٹرفیس کے ساتھ انٹرنیٹ سے جڑا ہوا ہے۔ اپنے نیٹ ورک انٹرفیس کو ظاہر کرنے کے لئے ifconfig چلائیں۔ ایک جس میں جڑنا شامل ہے: اس IP پتے سے ملنا جس سے آپ جڑے ہوئے ہیں وہ صحیح انٹرفیس ہے۔
Iptables بنیادی باتیں
عام طور پر انٹرنیٹ سے ٹرمینل میں تصادفی طور پر چیزوں کی کاپی کرنا اور چسپاں کرنا اچھا خیال نہیں ہے۔ جب آپ سیکیورٹی کے موضوعات پر کام کر رہے ہیں تو یہ خاص طور پر سچ ہے۔ لہذا ، آپ یہاں داخل ہونے سے پہلے iptables کے قواعد کے بارے میں تھوڑا سا سیکھنے کے لئے کچھ وقت نکالیں۔
iptables اصول کی اس مثال پر ایک نظر ڈالیں۔
-ا ان پٹ -i اخلاقی -p ٹی سی پی - ایم ریاست اسٹیٹ اسٹبلشڈ - اسپورٹ 443 -ج ACCEPT
ٹھیک ہے ، لہذا - اس کا مطلب ہے کہ آپ ایک نیا قاعدہ جوڑیں گے۔ پھر INPUT کا مطلب ہے کہ اس سے آپ کے سرور میں ان پٹ کی فکر ہوگی۔ ایک آؤٹ پٹ بھی ہے۔ -i پرچم iptables بتاتا ہے کہ یہ اصول کس انٹرفیس کے لئے ہے۔ آپ یہ بیان کرسکتے ہیں کہ قاعدہ کون سا پروٹوکول -p کے ساتھ ہے۔ یہ اصول tcp سنبھالتا ہے۔ -m ایک ایسی حالت کی وضاحت کرتا ہے جو کنکشن کو پورا ہونا چاہئے۔ اس معاملے میں اس کی وضاحت ریاست کے ساتھ ہونی چاہئے۔ یقینا ، پھر اسٹیٹ ایک ریاست کی وضاحت کرتا ہے ، اس معاملے میں ایک مستحکم کنکشن ہے۔ اگلا حصہ iptables بتاتا ہے کہ یہ قاعدہ کس بندرگاہ کے لئے ہے۔ یہ پورٹ 443 ، HTTPS پورٹ ، یہاں ہے۔ آخری پرچم -j ہے۔ اس کا مطلب ہے "چھلانگ" ، اور یہ iptables کو بتاتا ہے کہ کنکشن کے ساتھ کیا کرنا ہے۔ اگر اس تعلق سے قواعد میں ساری ضروریات کو پورا کیا گیا ہے تو نوادرات اسے قبول کریں گے۔
اپنے قواعد مرتب کریں
لہذا ، آپ کو عام خیال ہونا چاہئے کہ اب iptables کے قواعد کیسے کام کرتے ہیں۔ اس سیکشن کا باقی حصہ آپ کو بتائے گا کہ کیسے اپنے قواعد کو ٹکڑے ٹکڑے سے ترتیب دینا ہے۔
iptables قوانین کا ایک مجموعہ بنانے کا بہترین طریقہ یہ ہے کہ ان فائلوں پر مشتمل تمام فائلوں پر مشتمل ہو۔ پھر ، آپ یہ سب ایک ہی وقت میں iptables میں درآمد کرسکتے ہیں۔ ایک کے بعد ایک اصول طے کرنا الجھن کا شکار ہوسکتا ہے ، خاص طور پر اگر آپ شروع سے ہی قواعد کا نیا سیٹ شروع کررہے ہیں۔
اپنے قواعد تیار کرنے کے لئے / tmp ڈائرکٹری میں ایک فائل بنائیں۔
im vim / tmp / ipv4
اس فائل کو * فلٹر سے شروع کریں۔ یہ iptables کو بتاتا ہے کہ اس کے بعد پیکٹ فلٹرنگ کے اصول بننے جا رہے ہیں۔
لوپ بیک
قواعد کے پہلے حصے میں لوپ بیک انٹرفیس کو لاک ڈاؤن کیا جاتا ہے۔ وہ آئی ٹیبلز کو کہتے ہیں کہ سرور کو لوپ بیک انٹرفیس پر خود سے ٹریفک قبول کرنا چاہئے۔ اسے خود سے آنے والی ٹریفک کو بھی مسترد کرنا چاہئے جو لوپ بیک سے نہیں آ رہے ہیں۔
-ا ان پٹ -i لو-جے قبول کریں -ا ان پٹ! -i لو-ایس 127.0.0.0/8 -j مسترد کریں -ایک آؤٹ پٹ-لو لو-جے تکمیل کریں
پنگ
اگلا ، پنگ کی اجازت دیں۔ آپ کو یہ یقینی بنانے کے لئے اپنے سرور کو پنگ کرنے کے قابل ہونا چاہئے کہ اگر یہ دوسری صورت میں ناقابل رسائی ہے تو یہ آن لائن ہے۔ اس صورت میں ، صرف بازگشت کی درخواستوں کی اجازت ہے ، اور سرور خود کو ICMP آؤٹ پٹ بھیجنے کی اجازت دے گا۔
ایک انپٹ - پی آئس ایم پی - ریاست - نئی - آئی سی ایم پی کی قسم 8 جے آسیٹ - ایک ان پٹ - پی آئی سی ایم پی - ریاست - اسٹیٹ اسٹبلٹ ، متعلقہ - جے ایکسیپٹ - آؤٹ پٹ - پی آئی سی ایم پی - جے ای سی سی پی ٹی
ایس ایس ایچ
آپ کو ایس ایس ایچ کی ضرورت ہے۔ یہی واحد راستہ ہے کہ آپ اپنے سرور تک پہنچ سکتے ہیں۔ ایس ایس ایچ کے قواعد آپ کے انٹرنیٹ انٹرفیس کے لئے مخصوص ہیں ، لہذا یہ یقینی بنائیں کہ آپ جو بھی انٹرفیس اصل میں استعمال کررہے ہیں اس کے ل eth آپ اخلاقیات کو متبادل بنائیں۔
ممکن ہے کہ اپنے ایس ایس ایچ کنیکشن کو پورٹ 22 سے دور ہی تبدیل کردیں ، کیونکہ یہ پہلے سے طے شدہ ہے کہ ممکنہ حملہ آور کوشش کریں گے۔ اگر آپ ایسا کرتے ہیں تو ، یقینی بنائیں کہ آپ اسے اپنے iptables کے قواعد میں بھی تبدیل کریں۔
-ا ان پٹ -i اخلاقی -p ٹی سی پی - ریاست ریاست - نیا نیا ، تعیdن شدہ - درآمد 22 -ج ACCEPT -A آؤٹ پٹ -O اخلاقی -0 tcp -m ریاست - اسٹیٹ ESTABLISHED - اسپورٹ 22-A ACEPT
اوپن وی پی این
اس اگلے ٹکڑے سے UDP پر اوپن وی پی این سرور سے ٹریفک جانے اور جانے کی اجازت ہے۔
-ا انپٹ -i اخلاقیہ -پی یو پی پی ریاست ریاست - نئی نیو ، انسٹالیٹ - ایڈورٹ 1194 -ج ACCEPT -A آؤٹ پٹ -O اخلاقی -P UDP -m ریاست - اسٹیٹ ESTABLISHED - اسپورٹ 1194 -ج ACCEPT
ڈی این ایس
اب ، UDP اور TCP پر DNS رابطوں کی اجازت دیں۔ آپ چاہتے ہیں کہ آپ کا VPN DNS سنبھالے ، آپ کا ISP نہیں۔ یہی وجہ ہے کہ آپ سب سے پہلے وی پی این ترتیب دے رہے ہیں۔
-ا انپٹ -i اخلاقیات -پی یو پی پی ریاست ریاست - اسٹیٹ اسٹیبلشڈ - اسپورٹ کو 53 -j ACCEPT -A آؤٹ پٹ -O اتھپ-پی یو ڈی پی - ریاست ریاست - نئی ، اسٹبلٹیڈ - ڈیپورٹ 53 -j ACCEPT -A INPUT -i eth0 -p tcp -m state - EstabLISHED --sport 53 -j ACCEPT -A OUTPUT -O eth0 -p tcp -m state --state New، ESTABLISHED --dport 53 -j ACCEPT
HTTP / S
اوبنٹو اپنے آپ کو اپ ڈیٹ کرنے کے قابل ہونے کے ل HT ، آپ کو HTTP اور HTTPS کے سبکدوش ہونے والے کنکشن کی اجازت کے ل rules قوانین کا ایک مجموعہ شامل کرنے کی ضرورت ہے۔ نوٹ کریں کہ یہ اصول صرف سرور کو HTTP کنیکشن شروع کرنے کی اجازت دیتے ہیں ، لہذا آپ اسے بطور ویب سرور استعمال نہیں کرسکتے ہیں یا پورٹ 80 یا پورٹ 443 پر اس سے رابطہ نہیں کرسکتے ہیں۔
- ایک انپٹ -i اخلاقی -p ٹی سی پی - ایم ریاست - اسٹیٹ اسٹیبلٹیڈ - - 80 -j تکمیل - ایک انپٹ -i اخلاقی -p ٹی سی پی - ایم ریاست - اسٹیٹ ESTABLISHED - اسپورٹ 443 -ج ACCEPT -A آؤٹ پٹ - o eth0-p tcp -m state --state New، ESTABLISHED --dport 80 -j ACCEPT -A OUTPUT -O eth0 -p tcp -m state --state New، ESTABLISHED --dport 443 -j ACCEPT
این ٹی پی
اپنی سرور گھڑی کو ٹھیک طرح سے چلانے کے ل you're ، آپ کو این ٹی پی کی ضرورت ہوگی۔ این ٹی پی آپ کے سرور کو دنیا بھر کے ٹائم سیورز کے ساتھ ہم آہنگی کرنے کی اجازت دیتا ہے۔ آپ کے سرور پر غلط گھڑی رکھنے سے کنکشن کے مسائل پیدا ہوسکتے ہیں ، لہذا این ٹی پی چلانا ایک اچھا خیال ہے۔ ایک بار پھر ، آپ کو صرف سبکدوش ہونے والے اور پہلے سے قائم کردہ روابط کو قبول کرنا چاہئے۔
-ا انپٹ -i اخلاقیہ -پی یو پی پی ریاست ریاست - اسٹیٹ اسٹیبلٹیڈ - 123 -ج ACCEPT -A آؤٹ پٹ -O اتپ - ایم یو ڈی پی ریاست - اسٹٹ نیو ، انسٹابلیشڈ - ڈی پورٹ 123 -ج ACCEPT
TUN
TUN انٹرفیس کو غیر مسدود کریں جسے اوپن وی پی این ٹریفک کو سرنگ میں لانے کے لئے استعمال کرتا ہے۔
-ا ان پٹ -i ٹون0-جے ایکسیپٹ -ا فارورڈ -i ٹون0-جے ای سی سی پی ٹی-اے آؤٹ پٹ-ٹون0-جے ای سی ای سی پی ٹی
آپ کو TP کو اپنے باقاعدہ انٹرفیس پر VPN کے لئے ٹریفک آگے بڑھانے کی اجازت دینے کی ضرورت ہے۔ آپ کو یہ IP پتا اوپن وی پی این ترتیب میں مل جائے گا۔ اگر آپ اسے تشکیل میں تبدیل کرتے ہیں تو ، اسے اپنے قواعد میں بھی تبدیل کریں۔
-A فارورڈ -i tun0 -o eth0 -s 10.8.0.0/24 -j ACCEPT -A فارورڈ - ریاست ریاست - اسٹیٹ اسٹیبلٹ ، متعلقہ -ج ACCEPT
لاگنگ
یہ ایک اچھا خیال ہے کہ ہر ایسی چیز کے نوشتہ جات رکھیں جو آئی پی ایبلز کے ذریعہ مسترد ہوجائے۔ اس معاملے میں ، اس کا مطلب ہے کہ ایسی کوئی بھی چیز جو ان اصولوں میں سے کسی کو فٹ نہیں آتی ہے۔ نوشتہ جات آپ کو یہ دیکھنے دیتا ہے کہ آیا آپ کے سرور کے خلاف کوئی بدنیتی پر مبنی سرگرمی ہے یا کوئی بھی گھناؤنی حرکت کرنے کی کوشش ہے۔
-ا ان پٹ - میٹر کی حد – 3 منٹ / منٹ -j LOG –log-سابقہ "iptables.gPUT_denied:" - سطح-سطح 4
- A فارورڈ - میٹر حد - 3 منٹ / منٹ -j LOG –log-سابقہ "iptables_FORWARD_denied:" - سطح-سطح 4
- ایک آؤٹ پٹ - حد حد –limit 3 / منٹ -j-LOG –log-prefix "iptables_OUTPUT_died:" - سطح-سطح 4
باقی سب کو مسترد کریں
آخر میں ، آپ کو ایسی کوئی بھی چیز روکنے کی ضرورت ہے جو آپ کے قواعد کے مطابق نہ ہو۔ واقعتا یہ ہے کہ پہلے فائر فال رکھنا۔
ایک انپٹ - جے ردJکیا - ایک مستقبل -ج رد کریں - آؤٹ پٹ - جے مسترد کریں
iptables کو تمام قواعد کا ارتکاب کرنے کے لئے یہ بتانے کیلئے COMMIT کے ساتھ فائل کو بند کریں۔
این اے ٹی ماسکریڈنگ
آپ کو VPN سے رابطوں کی ضرورت ہے جیسے یہ معلوم ہو کہ وہ سرور سے ہی آرہے ہیں۔ اس ٹکڑے کو باقاعدہ iptables فائل میں شامل نہیں کیا جاسکتا ہے کیونکہ یہ ایک مختلف جدول کا استعمال کرتا ہے۔ ٹھیک ہے ، اگرچہ ، یہ صرف ایک لائن ہے۔
do sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j ماسکراڈ
فارورڈ IPv4 ٹریفک
آپ کو IPv4 ٹریفک کو آگے بڑھانے کے قابل بنانے کی ضرورت ہے ، تاکہ یہ VPN اور آپ کے سرور کے اصل نیٹ ورک انٹرفیس کے درمیان گزر سکے۔ suto کے ساتھ /etc/sysctl.d/99-sysctl.conf کھولیں۔
نیچے کی لکیر ڈھونڈیں اور # کو ہٹاکر اسے بے قابو کریں۔
تمام IPv6 رابطے بند کرو
معذرت ، آپ ابھی تک iptables کے ساتھ نہیں کیا ہے۔ آپ کو تمام IPv6 ٹریفک کو روکنے کی ضرورت ہے۔ یہ اوپن وی پی این سرور صرف آئی پی وی 4 کی حمایت کرے گا ، جو ٹھیک ہے ، کیوں کہ آپ ایسی صورتحال میں نہیں جاسکتے ہیں جہاں آپ کو آئی پی وی 6 کی ضرورت ہو۔ نتیجے کے طور پر ، کوئی بھی IPv6 رابطے معلومات کو ممکنہ طور پر لیک کرسکتے ہیں ، جو VPN استعمال کرتے وقت آپ کے مرغوب ہیں۔
iptables کے لئے قواعد طے کرنے سے پہلے ، آپ کو نظام پر کہیں بھی IPv6 کو غیر فعال کرنا ہوگا۔
مندرجہ ذیل لائنوں کو /etc/sysctl.d/99-sysctl.conf میں شامل کریں۔ اگر آپ نے اسے پچھلے حصے سے بند کردیا ہے تو اسے sudo کے ساتھ دوبارہ کھولیں۔
net.ipv6.conf.all.disable_ipv6 = 1 net.ipv6.conf.default.disable_ipv6 = 1 net.ipv6.conf.lo.disable_ipv6 = 1 net.ipv6.conf.eth0.disable_ipv6 = 1
اپنی تبدیلیوں کو چالو کریں۔
do sudo sysctl -p
/ وغیرہ / میزبانوں میں تمام IPv6 لائنوں پر تبصرہ کریں۔ آپ کو یہاں بھی سوڈو کی ضرورت ہوگی۔
# :: 1 ip6-لوکل ہوسٹ IP6-loopback # fe00 :: 0 ip6-لوکلنیٹ # ff00 :: 0 ip6-macastprefix # ff02 :: 1 ip6-allnodes # ff02 :: 2 ip6-allrouters
آخر میں ، آپ IPv6 iptables کے قواعد لکھ سکتے ہیں۔ / tmp / ipv6 پر ان کے لئے ایک فائل بنائیں۔
* فلٹر - ایک انپٹ جے رد کریں - ایک فارورڈ - جے مسترد کریں - آؤٹ پٹ - جے مسترد کمیٹی
دیکھو ، یہ آسان ہیں۔ ہر چیز کو مسترد کریں۔
Iptables میں درآمد اور محفوظ کریں
آپ کو ان اصولوں کو درآمد کرنے کی ضرورت ہے تاکہ کچھ بھی کریں۔ تو ، اب ایسا کرنے کا وقت آگیا ہے۔
وہاں موجود ہر چیز کو صاف کرکے شروع کریں۔ آپ نہیں چاہتے کہ کوئی پرانا اصول چل رہا ہو۔
$ sudo iptables -F && sudo iptables -X
اپنے IPv4 اور IPv6 دونوں قواعد درآمد کریں۔
$ sudo iptables-بحال </ tmp / ipv4 $ sudo ip6tables-بحال </ tmp / ipv6
آپ شاید کبھی ایسا نہیں کرنا چاہتے۔ لہذا ، آپ کو اپنے اصولوں کو مستقل طور پر بچانے کے لئے ایک نئے پیکیج کی ضرورت ہوگی۔
$ suto اپٹ انسٹال iptables-लगातार
تنصیب کے دوران ، پیکیج آپ سے اپنے موجودہ قواعد کو بچانے کے لئے کہے گا۔ جواب "ہاں"۔
اگر آپ بعد میں تبدیلیاں لاتے ہیں تو ، آپ اپنی محفوظ کردہ تشکیلات کو بھی اپ ڈیٹ کرسکتے ہیں۔
$ سوڈو سروس نیٹ فِلٹر سے مستقل سیف
اس میں کچھ وقت لگا ، لیکن آپ کا فائر وال جانے کے لئے تیار ہے۔ اگلے صفحے پر ، ہم انکرپشن کی ضروری چابیاں بنانے سے نمٹنے جا رہے ہیں۔
یہاں کلک کریں: اگلا صفحہ
