Ovaj vodič pokušat će objasniti kako koristiti iptables na Linuxu u lako razumljivom jeziku.
Sadržaj[sakriti]
|
Iptables je vatrozid koji se temelji na pravilima, koji će obraditi sva pravila kako ne bi pronašao onaj koji odgovara.
Todo: ovdje uključite primjer
Uslužni program iptables obično je unaprijed instaliran na Linux distribuciji, ali zapravo ne pokreće nikakva pravila. Ovdje ćete pronaći alat ovdje na većini distribucija:
/ Sbin / iptables
Možete blokirati IP koristeći parametar -s, zamjenjujući 10.10.10.10 s adresom koju pokušavate blokirati. U ovom ćete primjeru primijetiti da smo umjesto dodatka upotrijebili parametar -I (ili - umetak) jer želimo osigurati da se ovo pravilo prvo prikazuje, prije nego što dopusti pravila.
/ sbin / iptables -I INPUT -s 10.10.10.10 -j DROP
Naizmjence možete omogućiti sav promet s IP adrese pomoću iste naredbe kao gore, ali zamjenjujući DROP s ACCEPT. Morate se uvjeriti da se ovo pravilo prikazuje prvo, prije nego što se DROP pravila.
/ sbin / iptables -A INPUT -s 10.10.10.10 -j PRIHVAT
U potpunosti možete blokirati priključak od pristupa preko mreže pomoću preklopke -porta i dodavanja priključka usluge koju želite blokirati. U ovom primjeru blokirat ćemo port mysql:
/ sbin / iptables -A INPUT -p tcp --port 3306 -j DROP
Možete dodati -s naredbu zajedno s naredbom -portport kako biste dodatno ograničili pravilo na određeni port:
/ sbin / iptables -A INPUT -p tcp -s 10.10.10.10 --port 3306 -j PRIHVAT
Trenutačna pravila možete pregledati pomoću sljedeće naredbe:
/ sbin / iptables -L
To bi vam trebalo dati izlaz sličan sljedećem:
Lanac INPUT (policy ACCEPT) ciljano odredište protopt izvora ACCEPT sve - 192.168.1.1/24 bilo gdje ACCEPT sve - 10.10.10.0/24 bilo gdje DROP tcp - bilo gdje tcp dpt: ssh DROP tcp - bilo gdje tkp dpt: mySQL
Stvarni izlaz bit će, naravno, malo duži.
Možete izbrisati sva trenutna pravila pomoću parametra za ispiranje. Ovo je vrlo korisno ako trebate postaviti pravila u ispravnom redoslijedu ili kada testirate.
/ sbin / iptables --flush
Dok većina Linux distribucija uključuje oblik iptables, neki od njih također uključuju omotače koji čine upravljanje malo lakše. Najčešće su ti "addons" u obliku init skripti koji vode računa o inicijalizaciji iptablesa pri pokretanju, iako neke distribucije uključuju i potpune aplikacije omotača koji pokušavaju pojednostaviti zajednički slučaj.
iptables init script na Gentoo je sposoban za rukovanje mnogim zajedničkim scenarijima. Za početak, omogućuje konfiguriranje iptables za učitavanje prilikom pokretanja (obično ono što želite):
rc-update dodaj iptables zadano
Uporabom init skripte moguće je učitati i brisati vatrozid s lako zapamćenom naredbom:
/etc/init.d/iptables start /etc/init.d/iptables zaustaviti
Init skripta obrađuje pojedinosti o postojanju vaše trenutne konfiguracije vatrozida na start / stopu. Stoga je vaš vatrozid uvijek u stanju koje ste je ostavili. Ako trebate ručno spremiti novo pravilo, init skripta može to riješiti i:
/etc/init.d/iptables spasiti
Osim toga, vatrozid možete vratiti na prethodno spremljeno stanje (za slučaj prilikom eksperimentiranja s pravilima i sada želite vratiti prethodnu funkcionalnu konfiguraciju):
/etc/init.d/iptables ponovno učitavanje
Konačno, init skripta može staviti iptables u način "panike", gdje su svi dolazni i odlazni promet blokirani. Nisam siguran zašto je ovaj način koristan, ali čini se da svi Linuxovi vatrozidi imaju.
/etc/init.d/iptables panic
Upozorenje: Ne pokrećite način panike ako ste povezani s vašim poslužiteljem preko SSH-a; vashtjeti biti odspojen! Jedini put kada trebate staviti iptables u paniku je dok stetjelesno ispred računala.