Hoe om IPTables in Linux op te stel? [Stap-vir-stap-gids 2021]

0 Aandele

IPTables is die naam van 'n firewall-stelsel wat vanaf die opdragreël op Linux loop.Die program dien hoofsaaklik asUbuntuDie verstek nut op die.Administrateurs gebruik dikwels IPTables-brandmure om verkeer in hul netwerke toe te laat of te blokkeer.

As jy nuut is by IPTables, is die eerste ding wat jy moet doen om dit op te dateer of te installeer met:

$ sudo apt-get installeer iptables

Terwyl gebruikers wat nie met die opdragreël-koppelvlak vertroud is nie, IPTables 'n leerkurwe vind, is die hulpprogram self baie maklik om te gebruik.Daar is 'n stel kernopdragte wat as basis kan dien vir die beheer van verkeer.As u dit gesê het, moet u baie versigtig wees wanneer u IPTables-reëls verander.'n Mistikte opdrag kan jou heeltemal uit IPTables sluit totdat jy die probleem binne die fisiese masjien oplos.

In hierdie artikel gee ons u 'n basiese gids tot IPTables en stel ons u bekend aan die basiese beginsels.Voordat ons by die kern van IPTables kom, moet u seker maak dat u 'nhardloop Ubuntu 16.04的VPAen amet SSH kliënt的 plaaslike masjien.As jy reeds hierdie het, is dit tyd om te begin.

Contents [show]

1 IPTables Tutoriaal: Kettings
2 Verstek kettinggedrag
3 Stel 'n enkele verbinding op
4 Hoe om verbindings toe te laat of te blokkeer
5 Tweerigtingkommunikasie: Gekoppelde staat IPTables Tutoriaal
6 skrap reël
7 IPTables: Leer kettingreëls!
8 Ag hi, lekker om jou te ontmoet.

IPTables Tutoriaal: Kettings

Een van die basiese konsepte om te bemeester in IPTables is die konsep van kettings.'n Ketting is in wese 'n reël.Die filter se tabel het die drie kettings wat jy op IPTables sal teëkom;ingaan,Vorentoe 和uitset.

- INPUT – 'n INVOER-ketting is 'n reël wat inkomende pakkies beheer.Hier kan jy nuwe verbindings blokkeer of toelaat.U kan dit doen op grond van poort, protokol en bron-IP-adres.

FORWARD – VOORWAARTSE kettingfiltrering van inkomende pakkies wat na verskillende eindliggings gestuur word.Tensy jy roetering of spesifiek op soek is na aanstuur, is dit onwaarskynlik dat jy hierdie ketting sal gebruik.
UITSET – Die UITVOER-ketting word gebruik om uitgaande pakkies en verbindings te bestuur.Dit is belangrik om daarop te let dat as jy 'n eksterne gasheer ping, die invoerketting gebruik sal word om data aan jou terug te stuur.

Verstek kettinggedrag

Miskien wil jy dadelik begin om spesifieke reëls in te stel aan die begin, maar jy sal 'n stap terug moet neem om die verstekgedrag te definieer.Om te bepaal wat die standaardgedrag van die ketting is, moet jy die volgende opdrag uitvoer:

$ sudo iptables -L opdrag

Dit sal die volgende vertoon:

gebruiker@ubuntu:~$ sudo iptables -L -v 
Ketting-INVOER (beleid AANVAAR) 
Ketting VOORWAARTS (beleid AANVAAR) 
Ketting UITSET (beleid AANVAAR) 
gebruiker@ubuntu:~$

Hierdie inligting vertel jou presies waarvoor die ketting opgestel is.In die voorbeeld is die invoer-, vorentoe- en uitvoerkettings gekonfigureer om verkeer te aanvaar.Hierdie instellings is 'n goeie beginpunt, aangesien dit nie enige verbindings sal blokkeer wat jy dalk wil hê nie.

Verwante vrae Linux vs Windows-vergelyking [Konflik met radikale bedryfstelsels]

As jy egter vind dat jou beleid nie verbindings aanvaar nie, kan jy elk van die volgende opdragte invoer om alle verbindings te aanvaar:

$ sudo iptables --beleid INVOER AANVAAR

$ sudo iptables --beleid UITVOER AANVAAR

$ sudo iptables --beleid DOOR AANVAAR

Sodra jou verstekinstellings alle verbindings aanvaar, kan jy toegang tot IPTables beheer deur IP-adresse en poortnommers te blokkeer.Dit laat jou toe om te spesifiseer watter verbindings om te blokkeer in plaas daarvan om alle verbindings by verstek te blokkeer.

As jy met besonder sensitiewe inligting te doen het, kan jy die verstekinstellings opstel om outomaties alle verbindings te blokkeer.Op hierdie manier kan jy IPTables gebruik om die individuele IP-adresse te kies wat jy wil toelaat.Om dit te doen, moet jy die volgende opdrag invoer:

$ sudo iptables --beleid INPUT DROP

$ sudo iptables --beleid UITSET DROP

$ sudo iptables --beleid VOORWAARTSE DROP

Die meeste gebruikers is beter daaraan toe om alle verbindings te aanvaar, maar dit is die moeite werd om in gedagte te hou as jy op 'n hoë-sekuriteitbediener werk.

Stel 'n enkele verbinding op

Sodra die verstekkettinggedrag opgestel is, is dit tyd om individuele verbindings op te stel.Dit is waar jy sogenaamde verbinding-spesifieke antwoorde instel.Dit vertel IPTables in wese hoe om te kommunikeer wanneer hulle aan 'n IP-adres of poort koppel.Hierdie antwoorde is soos volg;ontvangs,gee op,Weier.

Soos u in die prent hierbo kan sien, het die gebruiker kettingreëls gedefinieer om verbindings toe te laat, te laat val of te weier soos vereis.Die volgende is 'n beskrywing van wat elke antwoord bevat:

AANVAAR – Hierdie konfigurasie laat slegs verbindings toe.
DROP - Drop blokkeer die verbinding sonder om op enige manier met die bron te kommunikeer.
VERWERP - Dit blokkeer die poging tot verbinding, maar stuur ook 'n foutboodskap.Dit is gewoonlik om die bron in kennis te stel dat die verbindingspoging deur 'n brandmuur geblokkeer is.

Hoe om verbindings toe te laat of te blokkeer

Afhangende van jou opstelling, is daar baie verskillende maniere om verbindings te blokkeer of toe te laat.Die volgende voorbeeld gebruik die geheime blokkeermetode, d.w.s. gebruikDrop Ontkoppel sonder enige interaksie. iptables-A Laat ons toe om bykomende waarskuwings by die reëls te voeg wat deur die verstekkettinginstellings vasgestel is.U sal hieronder sien hoe om hierdie opdrag te gebruik om verbindings te blokkeer:

Blokkeer 'n enkele IP-adres:

$ sudo iptables -A INVOER -S 10.10.10.10 -j DROP

In die voorbeeld hierbo kan jy 10.10.10.10 vervang met die IP-adres wat jy wil blokkeer.

Verwante vrae 35 Linux-sleutelbordkortpaaie [Jy moet weet in 2021]

Blokkeer 'n reeks IP-adresse:

$ sudo iptables -A INPUT -s 10.10.10.10.0/24 -j DROP

$ sudo iptables -A INVOER -s 10.10.10.0/255.255.255/.0 -j DROP

Blokkeer 'n enkele poort:

$ sudo iptables -A INPUT -p tcp --dport ssh -s 10.10.10.10 -j DROP

Let daarop dat 'ssh met enige protokol of poortnommer vervang kan word.Let ook daarop dat die -p tcp-segment van die kode gebruik word om aan te dui of die protokol wat jy wil blokkeer, UDP of TCP gebruik.

As die protokol UDP gebruik, sal jy ingaan-p op而不是-p tcp.U kan ook alle verbindings vanaf 'n IP-adres blokkeer deur in te voer:

$ sudo iptables -A INPUT -p tcp --dport ssh -jDROP

Tweerigtingkommunikasie: Gekoppelde staat IPTables Tutoriaal

Die meeste protokolle wat jy teëkom, vereis tweerigtingkommunikasie vir oordrag.Dit beteken dat 'n oordrag uit insette en uitsette bestaan.Wat in jou stelsel ingaan, is net so belangrik as wat uitgaan.Verbindingstoestande laat jou toe om te meng en pas tussen tweerigting- en eenrigtingverbindings.In die volgende voorbeeld blokkeer die SSH-protokol SSH-verbindings vanaf IP-adresse, maar laat verbindings na IP-adresse toe:

$ sudo iptables -A INVOER -p tcp --dport ssh -s 10.10.10.10 -m staat --staat NUUT, GEVESTIG -j AANVAAR 

$ sudo iptables -A UITSET -p tcp --sport 22 -d 10.10.10.10.-m staat --staat GEVESTIG -J AANVAAR

Nadat u die opdrag ingevoer het om die verbindingstatus te verander, moet u die veranderinge stoor.As jy dit nie doen nie, sal jou konfigurasie verlore gaan wanneer jy die nut sluit.Afhangende van die verspreidingstelsel wat jy gebruik, kan jy baie verskillende opdragte gebruik:

Verwante vrae Hoe om Windows-toepassings op Linux te laat loop? [gebruik Wyn 6.1]

Ubuntu:

$ sudo /sbin/iptables-save

Red Hat/CentOS -

$ sudo /sbin/service iptables stoor

$ sudo /etc/init.d/iptables stoor

Dit is belangrik om te onthou om hierdie opdragte te gebruik, aangesien dit die moeite verwyder om te konfigureer elke keer as die hulpprogram gelaai word.

skrap reël

Net so belangrik soos om reëls te kan stoor, is om dit uit te vee.As jy 'n fout maak of net van ou reëls ontslae wil raak, het jy opsies – D 命令.Hierdie opdrag moet gebruik word saam met die reëlnommer wat jy ingevoer het.Hierdie nommer vertel IPTables watter reël om te verwyder.Byvoorbeeld, as jy sou invoer:

$ sudo iptables -D INVOER 10

Dan sal die 10de reël wat jy opgestel het, uitgevee word.

As jy die huis wil skoonmaak en 'n klomp reëls wil verwyder, kan jy gebruik-F opdrag.Jy kan dit doen deur te tik:

$ sudo iptables -F

Dit sal die hele reëlstel uitvee en u IP-tabel verfris.

IPTables: Leer kettingreëls!

Dit sluit ons IPTables-tutoriaal af.Soos u kan sien, is IPTables 'n manier om te blokkeer en toe te laatLinuxverspreiding'n Multi-instrument op die vloei.Om die nut effektief te gebruik, behels die effektiewe instelling van die verstekkonfigurasie en die bou van ander reëls boonop.Die verstekopstelling sal jou toelaat om breë verkeersvoorneme uiteen te sit om verkeer toe te laat of te weier;Hierdie reëls sal jou toelaat om jou metode te struktureer op grond van IP-adres, poort en protokol.

Ons het net die oppervlak van die potensiaal van IPTables gekrap, daar is tonne verskillende opdragte wat jy kan gebruik om te besluit hoe om verkeer op jou bediener te ervaar.Ons beveel egter aan dat u die basiese beginsels verstaan voordat u ander opdragte begin gebruik.Byvoorbeeld, jy moet die basiese kettingreëls verstaan voordat jy jou tot enigiets meer gespesialiseerd verbind.

Sodra jy gewoond geraak het aan die manier waarop IPTables werk, kan jy begin om meer reëls in te sluit om jou ervaring aan te pas.Deur dit te doen, sal jy presies die tipe verbindings kan spesifiseer wat jy sal toelaat met groter akkuraatheid as ooit tevore.