Az Iptables használata Linuxon
Ez az útmutató megpróbálja megmagyarázni, hogyan kell az iptables-t a linuxban használni könnyen érthető nyelven.
tartalom[elrejt]
|
Áttekintés
Az Iptables egy szabályalapú tűzfal, amely mindegyik szabályt rendben tartja, amíg meg nem találja azt, amelyik megfelel.
Todo: ide tartozik a példa
Használat
Az iptables segédprogram általában előre telepítve van a linuxos terjesztésen, de valójában nem fut semmilyen szabályt. Itt található a segédprogram a legtöbb terjesztésen:
/ Sbin / iptables
Egyetlen IP-cím blokkolása
Az IP paramétert az -s paraméter segítségével blokkolhatja, helyettesítve a 10.10.10.10-et a blokkolni kívánt címmel. Ebben a példában megjegyezzük, hogy a függelék helyett a -I paramétert használtuk (vagy a beillesztett munkákat is), mert biztosítani szeretnénk, hogy ez a szabály először jelenjen meg, mielőtt engedélyezné a szabályokat.
/ sbin / iptables -I INPUT-ok 10.10.10.10 -j DROP
Minden forgalom engedélyezése egy IP-címről
Az IP-címekről az összes forgalmat felváltva engedélyezheti a fenti parancs segítségével, de a DROP-t az ACCEPT-vel helyettesítheti. Bizonyosodjon meg arról, hogy ez a szabály először jelenik meg, mielőtt bármilyen DROP szabályt követne.
/ sbin / iptables -A INPUT-ok 10.10.10.10 -j ACCEPT
Portok blokkolása minden címről
A -dport kapcsolóval és a blokkolni kívánt szolgáltatás portjának hozzáadásával teljesen letilthatja a portot a hálózaton keresztül történő elérésről. Ebben a példában blokkoljuk a mysql portot:
/ sbin / iptables -A INPUT -p tcp - import 3306 -j DROP
Egyetlen port engedélyezése egyetlen IP-ről
A -s parancsot a -dport paranccsal együtt is hozzáadhatja a szabály további korlátozásához egy adott porthoz:
/ sbin / iptables -A INPUT -p tcp-s 10.10.10.10 - 3306-as verzió -j ACCEPT
Az aktuális szabályok megtekintése
Az aktuális szabályokat a következő paranccsal tekintheti meg:
/ sbin / iptables -L
Ez a következő eredményekhez hasonló eredményt ad:
Lánc INPUT (házirend ACCEPT) cél prot opt forrás célpont ACCEPT minden - 192.168.1.1/24 bárhol ACCEPT minden - 10.10.10.0/24 bárhol DROP tcp - bárhol a tcp dpt: ssh DROP tcp - bárhol a tcp dpt: mysql
Természetesen a tényleges kimenet egy kicsit hosszabb lesz.
A jelenlegi szabályok törlése
Az összes aktuális szabályt az öblítési paraméter használatával törölheti. Ez nagyon hasznos, ha a szabályokat a megfelelő sorrendbe vagy tesztelésbe kell helyezni.
/ sbin / iptables -flush
Distribution-specifikus
Míg a legtöbb Linux disztribúció egyfajta iptables-t tartalmaz, egyesek közé tartoznak a csomagolások is, amelyek egy kicsit könnyebbé teszik az irányítást. Leggyakrabban ezek az „addonok” olyan init szkriptek formájában készülnek, amelyek gondoskodnak az iptables inicializálásának indításáról, bár néhány terjesztés teljes körű csomagolási alkalmazásokat is tartalmaz, amelyek megkísérlik egyszerűsíteni a közös esetet.
Gentoo
A iptables A Gentoo init parancsfájlja számos gyakori forgatókönyv kezelésére képes. Kezdők számára lehetővé teszi, hogy konfigurálja az iptables betöltését az indításkor (általában mit szeretne):
Az rc-update hozzáadja az iptables alapértelmezett értékét
Az init parancsfájl segítségével könnyedén megjegyezhető paranccsal lehet betölteni és törölni a tűzfalat:
/etc/init.d/iptables indítsa el az /etc/init.d/iptables stopt
Az init script kezeli az aktuális tűzfal-konfiguráció megtartását a start / stop alatt. Így a tűzfal mindig az állapotban van, amit elhagyott. Ha manuálisan kell mentenie egy új szabályt, az init parancsfájl is kezelheti ezt:
/etc/init.d/iptables mentése
Ezenkívül visszaállíthatja a tűzfalat az előző mentett állapotra (abban az esetben, amikor szabályokkal kísérletezett, és most vissza kívánja állítani az előző munkamenetet):
/etc/init.d/iptables újratöltése
Végül az init parancsfájl az iptables-t „pánik” módba helyezheti, ahol az összes bejövő és kimenő forgalom blokkolva van. Nem vagyok biztos benne, hogy miért hasznos ez a mód, de úgy tűnik, hogy minden Linux tűzfalnak van.
/etc/init.d/iptables pánik
Figyelem: Ne indítsa el a pánik üzemmódot, ha SSH-n keresztül csatlakozik a szerverhez; Ön akarat leválasztható! Az egyetlen alkalom, amikor az iptables-t pánik módba kell helyezni, amíg van fizikailag a számítógép előtt.
