Utilizarea Iptables pe Linux
Acest ghid va încerca să explice cum să utilizați iptables pe linux în limbajul ușor de înțeles.
Cuprins[ascunde]
|
Prezentare generală
Iptables este un firewall bazat pe reguli, care va procesa fiecare regulă în ordine până când va găsi unul care se potrivește.
Todo: includeți aici exemplul
folosire
Utilitarul iptables este, de obicei, preinstalat pe distribuția dvs. Linux, dar nu rulează de fapt nicio regulă. Veți găsi utilitatea aici pe majoritatea distribuțiilor:
/ Sbin / iptables
Blocarea unei adrese IP unice
Puteți bloca o adresă IP utilizând parametrul -s, înlocuind 10.10.10.10 cu adresa pe care încercați să o blocați. Veți observa în acest exemplu că am folosit parametrul -I (sau -instrumentul funcționează prea) în loc de a adăuga, pentru că vrem să ne asigurăm că această regulă apare mai întâi, înainte de orice reguli de permisiune.
/ sbin / iptables -I INPUT-urile 10.10.10.10 -j DROP
Permiterea tuturor traficului de la o adresă IP
Puteți să permiteți alternativ tot traficul de la o adresă IP utilizând aceeași comandă ca mai sus, dar înlocuind DROP cu ACCEPT. Trebuie să vă asigurați că această regulă apare mai întâi, înainte de orice reguli DROP.
/ sbin / iptables -A INPUT -s 10.10.10.10 -j ACCEPT
Blocarea unui port de la toate adresele
Puteți bloca un port în întregime de a fi accesat prin rețea utilizând comutatorul -dport și adăugând portul serviciului pe care doriți să-l blocați. În acest exemplu, vom bloca portul mysql:
/ sbin / iptables -U INPUT -p tcp -dport 3306 -j DROP
Permiterea unui singur port dintr-un singur IP
Puteți adăuga comanda -s împreună cu comanda -dport pentru a limita ulterior regula la un anumit port:
/ sbin / iptables -A INPUT -p tcp -s 10.10.10.10 -dport 3306 -j ACCEPT
Vizualizarea regulilor curente
Puteți vedea regulile actuale utilizând următoarea comandă:
/ sbin / iptables -L
Acest lucru vă va oferi o ieșire similară cu următoarea:
Chain INPUT (politica ACCEPT) țintă destinație sursă pro opt ACCEPT toate - 192.168.1.1/24 oriunde ACCEPT toate - 10.10.10.0/24 oriunde DROP tcp - oriunde oriunde tcp dpt: ssh DROP tcp - oriunde oriunde tcp dpt: MySQL
Rezultatul real va fi un pic mai lung, desigur.
Ștergerea regulilor curente
Puteți să ștergeți toate regulile actuale utilizând parametrul "flush". Acest lucru este foarte util dacă trebuie să puneți regulile în ordinea corectă sau atunci când testați.
/ sbin / iptables -flush
-Distribuție specifică
În timp ce majoritatea distribuțiilor Linux includ o formă de iptables, unele includ și pachete care fac managementul mai ușor. Cel mai adesea, aceste "addons" iau forma unor script-uri init care se ocupă de inițializarea iptables la pornire, deși unele distribuții includ și aplicații de tip wrap full-blown care încearcă să simplifice cazul comun.
Gentoo
iptables init script-ul de pe Gentoo este capabil să se ocupe de multe scenarii comune. Pentru început, vă permite să configurați iptables pentru încărcare la pornire (de obicei ceea ce doriți):
rc-update adăugați iptables implicit
Folosind scriptul de inițializare, este posibil să încărcați și să ștergeți paravanul de protecție cu o comandă ușor de reținut:
/etc/init.d/iptables începe /etc/init.d/iptables stop
Scriptul init se ocupă de detaliile persistenței configurației firewall actuale la start / stop. Astfel, firewall-ul dvs. este întotdeauna în starea pe care ați lăsat-o. Dacă trebuie să salvați manual o nouă regulă, scriptul init se poate ocupa și de acest lucru:
/etc/init.d/iptables salvați
În plus, puteți restaura paravanul de protecție la starea salvată anterioară (pentru cazul în care ați experimentat regulile și doriți acum să restaurați configurația de lucru anterioară):
/etc/init.d/iptables reload
În cele din urmă, scriptul inițial poate pune iptables într-un mod "panică", în care tot traficul de intrare și ieșire este blocat. Nu sunt sigur de ce acest mod este util, dar toate firewall-urile Linux par să le aibă.
/etc/init.d/iptables panic
Avertizare: Nu inițiați modul de panică dacă sunteți conectat la serverul dvs. prin SSH; tu voi fi deconectat! Singura dată când trebuie să puneți iptables în modul de panică este în timp ce sunteți fizic în fața calculatorului.
