Pagina principala » HOWTO » Utilizarea Iptables pe Linux

    Utilizarea Iptables pe Linux

    Acest ghid va încerca să explice cum să utilizați iptables pe linux în limbajul ușor de înțeles.

    Cuprins

    [ascunde]

    • 1. Prezentare generală
    • 2 utilizare
      • 2.1 Blocarea unei adrese IP unice
      • 2.2 Permiterea tuturor traficului de la o adresă IP
      • 2.3 Blocarea unui port de la toate adresele
      • 2.4 Permiterea unui singur port dintr-o singură IP
      • 2.5 Vizualizarea regulilor curente
      • 2.6 Ștergerea regulilor curente
    • 3 Distribuție-Specific
      • 3.1 Gentoo

    Prezentare generală

    Iptables este un firewall bazat pe reguli, care va procesa fiecare regulă în ordine până când va găsi unul care se potrivește.

    Todo: includeți aici exemplul

    folosire

    Utilitarul iptables este, de obicei, preinstalat pe distribuția dvs. Linux, dar nu rulează de fapt nicio regulă. Veți găsi utilitatea aici pe majoritatea distribuțiilor:

    / Sbin / iptables

    Blocarea unei adrese IP unice

    Puteți bloca o adresă IP utilizând parametrul -s, înlocuind 10.10.10.10 cu adresa pe care încercați să o blocați. Veți observa în acest exemplu că am folosit parametrul -I (sau -instrumentul funcționează prea) în loc de a adăuga, pentru că vrem să ne asigurăm că această regulă apare mai întâi, înainte de orice reguli de permisiune.

    / sbin / iptables -I INPUT-urile 10.10.10.10 -j DROP

    Permiterea tuturor traficului de la o adresă IP

    Puteți să permiteți alternativ tot traficul de la o adresă IP utilizând aceeași comandă ca mai sus, dar înlocuind DROP cu ACCEPT. Trebuie să vă asigurați că această regulă apare mai întâi, înainte de orice reguli DROP.

    / sbin / iptables -A INPUT -s 10.10.10.10 -j ACCEPT

    Blocarea unui port de la toate adresele

    Puteți bloca un port în întregime de a fi accesat prin rețea utilizând comutatorul -dport și adăugând portul serviciului pe care doriți să-l blocați. În acest exemplu, vom bloca portul mysql:

    / sbin / iptables -U INPUT -p tcp -dport 3306 -j DROP

    Permiterea unui singur port dintr-un singur IP

    Puteți adăuga comanda -s împreună cu comanda -dport pentru a limita ulterior regula la un anumit port:

    / sbin / iptables -A INPUT -p tcp -s 10.10.10.10 -dport 3306 -j ACCEPT

    Vizualizarea regulilor curente

    Puteți vedea regulile actuale utilizând următoarea comandă:

    / sbin / iptables -L

    Acest lucru vă va oferi o ieșire similară cu următoarea:

    Chain INPUT (politica ACCEPT) țintă destinație sursă pro opt ACCEPT toate - 192.168.1.1/24 oriunde ACCEPT toate - 10.10.10.0/24 oriunde DROP tcp - oriunde oriunde tcp dpt: ssh DROP tcp - oriunde oriunde tcp dpt: MySQL

    Rezultatul real va fi un pic mai lung, desigur.

    Ștergerea regulilor curente

    Puteți să ștergeți toate regulile actuale utilizând parametrul "flush". Acest lucru este foarte util dacă trebuie să puneți regulile în ordinea corectă sau atunci când testați.

    / sbin / iptables -flush

    -Distribuție specifică

    În timp ce majoritatea distribuțiilor Linux includ o formă de iptables, unele includ și pachete care fac managementul mai ușor. Cel mai adesea, aceste "addons" iau forma unor script-uri init care se ocupă de inițializarea iptables la pornire, deși unele distribuții includ și aplicații de tip wrap full-blown care încearcă să simplifice cazul comun.

    Gentoo

     iptables init script-ul de pe Gentoo este capabil să se ocupe de multe scenarii comune. Pentru început, vă permite să configurați iptables pentru încărcare la pornire (de obicei ceea ce doriți):

    rc-update adăugați iptables implicit

    Folosind scriptul de inițializare, este posibil să încărcați și să ștergeți paravanul de protecție cu o comandă ușor de reținut:

    /etc/init.d/iptables începe /etc/init.d/iptables stop

    Scriptul init se ocupă de detaliile persistenței configurației firewall actuale la start / stop. Astfel, firewall-ul dvs. este întotdeauna în starea pe care ați lăsat-o. Dacă trebuie să salvați manual o nouă regulă, scriptul init se poate ocupa și de acest lucru:

    /etc/init.d/iptables salvați

    În plus, puteți restaura paravanul de protecție la starea salvată anterioară (pentru cazul în care ați experimentat regulile și doriți acum să restaurați configurația de lucru anterioară):

    /etc/init.d/iptables reload

    În cele din urmă, scriptul inițial poate pune iptables într-un mod "panică", în care tot traficul de intrare și ieșire este blocat. Nu sunt sigur de ce acest mod este util, dar toate firewall-urile Linux par să le aibă.

    /etc/init.d/iptables panic

    Avertizare: Nu inițiați modul de panică dacă sunteți conectat la serverul dvs. prin SSH; tu voi fi deconectat! Singura dată când trebuie să puneți iptables în modul de panică este în timp ce sunteți fizic în fața calculatorului.