Iptables'i kasutamine Linuxis
Selles juhendis püütakse selgitada, kuidas kasutada iptables'i linuxis kergesti arusaadavas keeles.
Sisu[peida]
|
Ülevaade
Iptables on reeglitel põhinev tulemüür, mis töötleb iga reeglit, kuni leiab, et see sobib.
Todo: lisage siia näide
Kasutamine
Iptables-utiliit on tavaliselt teie linux-levitamises eelinstallitud, kuid tegelikult ei rakendata ühtegi reeglit. Leiate utiliidi siit enamikus jaotustes:
/ sbin / iptables
Üksiku IP-aadressi blokeerimine
IP-koodi saab blokeerida -s-parameetri abil, asendades 10.10.10.10 selle aadressiga, mida soovite blokeerida. Selles näites märkate, et me kasutasime -I parameetrit (või ka -tööd) ka lisa asemel, sest me tahame veenduda, et see reegel ilmub esmalt, enne kui lubate reegleid.
/ sbin / iptables -I INPUT-id 10.10.10.10 -j DROP
All Traffic'i lubamine IP-aadressilt
Saate vaheldumisi lubada kogu liiklust IP-aadressilt, kasutades sama käsku nagu eespool, kuid asendades DROPi ACCEPT-iga. Enne DROP-reeglite olemasolu peate veenduma, et see reegel ilmub kõigepealt.
/ sbin / iptables -A INPUT-id 10.10.10.10 -j ACCEPT
Portide blokeerimine kõigist aadressidest
Saate blokeerida kogu portaali võrguühenduse kaudu -dport-lüliti ja lisada selle teenuse porti, mida soovite blokeerida. Selles näites blokeerime MySQL-i pordi:
/ sbin / iptables -A INPUT -p tcp - import 3306 -j DROP
Ühe pordi lubamine ühest IP-st
-S-käsku saate lisada -dport-käsuga, et reeglit veelgi piirata konkreetse pordiga:
/ sbin / iptables -A INPUT -p tcp -s 10.10.10.10 - import 3306 -j ACCEPT
Praeguste reeglite vaatamine
Praeguseid reegleid saate vaadata järgmise käsuga:
/ sbin / iptables -L
See peaks andma teile sarnase väljundi:
Kett INPUT (poliitika ACCEPT) sihtmärk prot opt allika sihtkoht ACCEPT kõik - 192.168.1.1/24 kõikjal ACCEPT kõik - 10.10.10.0/24 kõikjal DROP tcp - kõikjal tcp dpt: ssh DROP tcp - kõikjal tcp dpt: mysql
Tegelik väljund on muidugi natuke pikem.
Praeguste reeglite kustutamine
Kõiki kehtivaid reegleid saab puhastada parameetri abil. See on väga kasulik, kui peate reeglid õiges järjekorras või testimisel.
/ sbin / iptables -flush
Jaotus-spetsiifiline
Kuigi enamik Linuxi levitusi sisaldavad iptabeli vormi, sisaldavad mõned neist ka pakendeid, mis muudavad juhtimise veidi lihtsamaks. Kõige sagedamini on need „lisad” init-i skriptide kujul, mis hoolitsevad iptables'i käivitamise ajal, kuigi mõned jaotused sisaldavad ka täispuhutud pakendirakendusi, mis püüavad lihtsustada üldist juhtumit.
Gentoo
The iptables Gentoo algskript suudab lahendada mitmeid tavalisi stsenaariume. Alustajate puhul võimaldab see konfigureerida iptables'i laadimiseks käivitamisel (tavaliselt mida soovite):
rc-update lisab iptables vaikimisi
Algskripti abil on võimalik tulemüüri laadida ja kustutada lihtsalt meeldetuletava käsuga:
/etc/init.d/iptables käivitab /etc/init.d/iptables peatuse
Algskript tegeleb teie praeguse tulemüüri konfigureerimise püsimise / lõpetamise üksikasjadega. Seega on teie tulemüür alati selles olekus, kuhu sa selle jätsid. Kui peate uue reegli käsitsi salvestama, saab algskript seda ka käsitleda:
/etc/init.d/iptables salvestada
Lisaks saate tulemüüri taastada eelmisele salvestatud olekule (juhul, kui te reeglitega katsetasite ja soovite nüüd taastada eelmise töökonfiguratsiooni):
/etc/init.d/iptables laadige uuesti
Lõpuks võib init-i skript panna iptables'i “paanika” režiimi, kus blokeeritakse kogu sissetulev ja väljuv liiklus. Ma ei ole kindel, miks see režiim on kasulik, kuid kõik Linuxi tulemüürid näivad seda olevat.
/etc/init.d/iptables paanika
Hoiatus: Ärge alustage paanikarežiimi, kui olete ühendatud serveriga SSH kaudu; sina tahe lahti ühendada! Ainus kord, kui peaksite panema iptables paanika režiimi, on sinu ajal füüsiliselt arvuti ees.
