Izmantojot Iptables Linux
Šī rokasgrāmata mēģinās izskaidrot, kā lietot iptables linux valodā viegli saprotamā valodā.
Saturs[paslēpt]
|
Pārskats
Iptables ir uz noteikumiem balstīts ugunsmūris, kas apstrādās katru kārtību, līdz tas atradīs tādu, kas atbilst.
Todo: iekļaujiet piemēru šeit
Lietošana
Lietojumprogramma iptables parasti ir iepriekš instalēta jūsu Linux izplatīšanai, bet faktiski tā nedarbojas. Lietderība būs pieejama lielākajā daļā izplatījumu:
/ sbin / iptables
Atsevišķas IP adreses bloķēšana
IP var bloķēt, izmantojot -s parametru, aizstājot 10.10.10.10 ar adresi, kuru mēģināt bloķēt. Šajā piemērā jūs atzīmēsit, ka papildinājuma vietā mēs izmantojām -I parametru (vai arī arī slēptus darbus), jo mēs vēlamies pārliecināties, ka šis noteikums parādās vispirms, pirms jebkuri noteikumi par atļaušanu.
/ sbin / iptables -I INPUT -s 10.10.10.10 -j DROP
Atļaut visu datplūsmu no IP adreses
Jūs varat pārmaiņus atļaut visu datplūsmu no IP adreses, izmantojot to pašu komandu, kā iepriekš, bet nomainot DROP ar ACCEPT. Jums ir jāpārliecinās, ka šis noteikums parādās vispirms, pirms DROP noteikumi.
/ sbin / iptables -A INPUT -s 10.10.10.10 -j ACCEPT
Portu bloķēšana no visām adresēm
Jūs varat bloķēt ostu pilnībā, lai piekļūtu tīklam, izmantojot slēdzi -dport un pievienojot bloķējamā pakalpojuma portu. Šajā piemērā mēs bloķēsim MySQL portu:
/ sbin / iptables -A INPUT -p tcp --dokuments 3306 -j DROP
Vienotas ostas atļaušana no viena IP
-S komandu kopā ar komandu -dport varat pievienot, lai ierobežotu šo noteikumu uz konkrētu portu:
/ sbin / iptables -A INPUT -p tcp -s 10.10.10.10 - d. 3306 -j ACCEPT
Pašreizējo noteikumu skatīšana
Pašreizējos noteikumus var skatīt, izmantojot šādu komandu:
/ sbin / iptables -L
Tam vajadzētu dot tādu rezultātu kā:
Ķēdes INPUT (politika ACCEPT) mērķa prot opt avota galamērķis ACCEPT all - 192.168.1.1/24 jebkur ACCEPT visi - 10.10.10.0/24 jebkur DROP tcp - jebkur jebkur TCP dpt: ssh DROP tcp - jebkur jebkur TCP dpt: mysql
Protams, faktiskā produkcija būs nedaudz ilgāka.
Pašreizējo noteikumu dzēšana
Visus pašreizējos noteikumus var iztīrīt, izmantojot flush parametru. Tas ir ļoti noderīgi, ja jums ir jāievieš noteikumi pareizajā secībā vai testējot.
/ sbin / iptables - izsmalcināts
Sadales specifika
Lai gan lielākā daļa Linux izplatīšanas ietver iptables formu, daži no tiem ietver arī iesaiņojumus, kas padara pārvaldību nedaudz vieglāku. Visbiežāk šie „addons” ir init skripti, kas rūpējas par iptables inicializāciju startēšanas laikā, lai gan daži izplatījumi ietver arī pilnvērtīgas iesaiņojuma lietojumprogrammas, kas mēģina vienkāršot kopīgo lietu.
Gentoo
The iptables init skripts Gentoo spēj apstrādāt daudzus kopējus scenārijus. Sākotnējiem, tas ļauj konfigurēt iptables, kas tiek ielādētas startēšanas laikā (parasti tas, ko vēlaties):
rc-update pievieno iptables noklusējumu
Izmantojot init skriptu, ir iespējams ielādēt un notīrīt ugunsmūri ar viegli atceramu komandu:
/etc/init.d/iptables sāk /etc/init.d/iptables pietura
Sākotnējais skripts apstrādā detalizētu informāciju par pašreizējo ugunsmūra konfigurācijas saglabāšanu start / stop. Tādējādi jūsu ugunsmūris vienmēr atrodas valstī, no kuras esat to atstājis. Ja jums ir nepieciešams manuāli saglabāt jaunu noteikumu, init skripts var arī to apstrādāt:
/etc/init.d/iptables saglabāt
Turklāt jūs varat atjaunot ugunsmūri uz iepriekšējo saglabāto stāvokli (gadījumā, ja jūs eksperimentējat ar noteikumiem un tagad vēlaties atjaunot iepriekšējo darba konfigurāciju):
/etc/init.d/iptables pārlādēt
Visbeidzot, init skripts var iptables ievietot “panikas” režīmā, kur ir bloķēta visa ienākošā un izejošā satiksme. Es neesmu pārliecināts, kāpēc šis režīms ir noderīgs, bet šķiet, ka visiem Linux ugunsmūriem tas ir.
/etc/init.d/iptables panika
Brīdinājums: Neizmantojiet panikas režīmu, ja esat savienots ar serveri, izmantojot SSH; jums gribu atvienojiet! Vienīgais laiks, kad iptables ir jāievieto panikas režīmā, ir kamēr atrodaties fiziski datora priekšā.
