Как да конфигурирам IPTables в Linux? [Ръководство стъпка по стъпка до 2021 г.]

IPTables е името на защитна стена, която се изпълнява от командния ред на Linux.Програмата служи основно катоUbuntuПомощната програма по подразбиране на.Администраторите често използват защитни стени на IPTables, за да разрешат или блокират трафик в своите мрежи.

Ако сте нов в IPTables, първото нещо, което трябва да направите, е да го актуализирате или инсталирате с:

$ sudo apt-get инсталирайте iptables

Докато потребителите, които не са запознати с интерфейса на командния ред, намират IPTables за крива на обучение, самата помощна програма е много лесна за използване.Има набор от основни команди, които могат да служат като основа за контролиране на трафика.Като каза това, трябва да бъдете много внимателни, когато променяте правилата на IPTables.Грешно въведена команда може да ви блокира напълно от IPTables, докато не отстраните проблема във физическата машина.

В тази статия ще ви дадем основно ръководство за IPTables и ще ви запознаем с основите.Преди да стигнем до ядрото на IPTables, трябва да се уверите, че имате aстартирайте Ubuntu 16.04отСДПи асъс SSH клиентот локална машина.Ако вече имате такива, време е да започнете.

Урок за IPTables: Вериги

Една от основните концепции за овладяване в IPTables е концепцията за вериги.Веригата по същество е правило.Таблицата на филтъра има трите вериги, които ще срещнете в IPTables;въведете,Напред 和Изход.

• • ВХОД  – INPUT веригата е правило, което контролира входящите пакети.Тук можете да блокирате или разрешите нови връзки.Можете да направите това въз основа на порт, протокол и IP адрес на източника.

• НАПРЕД  – FORWARD верига филтриране на входящи пакети, които се препращат до различни крайни местоположения.Освен ако не маршрутизирате или не търсите специално препращане, е малко вероятно да използвате тази верига.
• OUTPUT  – Веригата OUTPUT се използва за управление на изходящи пакети и връзки.Важно е да се отбележи, че ако пингвате външен хост, входната верига ще се използва за връщане на данни към вас.

Поведение на веригата по подразбиране

Може да искате да преминете веднага към конфигурирането на конкретни правила в началото, но ще трябва да направите крачка назад, за да дефинирате поведението по подразбиране.За да определите какво е поведението по подразбиране на веригата, трябва да изпълните следната команда:

$ sudo iptables -L команда

Това ще покаже следното:

потребител@ubuntu:~$ sudo iptables -L -v 
ВХОД на верига (приемане на правилата) 
Верига НАПРЕД (приемане на правилата) 
Верижен ИЗХОД (ПОЛИТИКА ПРИЕМА) 
потребител@ubuntu:~$

Тази информация ви казва точно за какво е конфигурирана веригата.В примера входната, препращащата и изходната верига са конфигурирани да приемат трафик.Тези настройки са добра отправна точка, тъй като няма да блокират всички връзки, които може да искате.

Ако обаче установите, че вашата политика не приема връзки, тогава можете да въведете всяка от следните команди, за да приемете всички връзки:

$ sudo iptables --policy INPUT ACCEPT

$ sudo iptables --policy ИЗХОД ПРИЕМА

$ sudo iptables --policy НАПРЕД ПРИЕМАНЕ

След като настройките ви по подразбиране приемат всички връзки, можете да контролирате достъпа до IPTables, като блокирате IP адреси и номера на портове.Това ви позволява да укажете кои връзки да блокирате, вместо да блокирате всички връзки по подразбиране.

Ако имате работа с особено чувствителна информация, можете да конфигурирате настройките по подразбиране за автоматично блокиране на всички връзки.По този начин можете да използвате IPTables, за да изберете отделните IP адреси, които искате да разрешите.За да направите това, трябва да въведете следната команда:

$ sudo iptables --policy INPUT DROP

$ sudo iptables --policy ИЗХОД ИЗПАДА

$ sudo iptables --policy ИЗПУСКАНЕ НАПРЕД

Повечето потребители е по-добре да приемат всички връзки, но си струва да имате предвид, ако работите на сървър с висока сигурност.

Конфигурирайте една връзка

След като поведението на веригата по подразбиране е конфигурирано, е време да конфигурирате отделни връзки.Тук можете да конфигурирате така наречените отговори, специфични за връзката.Това по същество казва на IPTables как да взаимодействат при свързване към IP адрес или порт.Тези отговори са както следва;Рецепция,предавам се,Отказвам.

Както можете да видите на изображението по-горе, потребителят е дефинирал верижни правила за разрешаване, прекратяване или отказ на връзки според изискванията.По-долу е описано какво съдържа всеки отговор:

• Приемам – Тази конфигурация позволява само връзки.
• Капка  – Drop блокира връзката, без да взаимодейства с източника по никакъв начин.
• ОТХВЪРЛЕТЕ  - Това блокира опитаната връзка, но също така изпраща съобщение за грешка.Това обикновено е за уведомяване на източника, че опитът за свързване е бил блокиран от защитна стена.

Как да разрешите или блокирате връзки

В зависимост от вашата настройка има много различни начини за блокиране или разрешаване на връзки.Следващият пример използва метода за скрито блокиране, т.еСпад Прекъснете връзката без никакво взаимодействие. iptables-A Позволява ни да добавяме допълнителни предупреждения към правилата, установени от настройките на веригата по подразбиране.По-долу ще видите как да използвате тази команда за блокиране на връзки:

Блокиране на един IP адрес:

$ sudo iptables -A INPUT -S 10.10.10.10 -j ИЗПУСКАНЕ

В примера по-горе можете да замените 10.10.10.10 с IP адреса, който искате да блокирате.

Блокирайте набор от IP адреси:

$ sudo iptables -A INPUT -s 10.10.10.10.0/24 -j ИЗПУСКАНЕ    

или

$ sudo iptables -A INPUT -s 10.10.10.0/255.255.255/.0 -j ИЗПУСКАНЕ

Блокиране на един порт:

$ sudo iptables -A INPUT -p tcp --dport ssh -s 10.10.10.10 -j ИЗПУСКАНЕ 

Имайте предвид, че 'ssh може да бъде заменен с всеки протокол или номер на порт.Също така имайте предвид, че -p tcp сегментът на кода се използва, за да посочи дали протоколът, който искате да блокирате, използва UDP или TCP.

Ако протоколът използва UDP, тогава ще влезете-p udpВместо-p tcp.Можете също да блокирате всички връзки от IP адрес, като въведете:

$ sudo iptables -A INPUT -p tcp --dport ssh -jDROP

Двупосочна комуникация: Урок за IPTables на свързано състояние

Повечето протоколи, които срещате, изискват двупосочна комуникация за предаване.Това означава, че трансферът се състои от входове и изходи.Това, което влиза във вашата система, е толкова важно, колкото и това, което излиза.Състоянията на връзката ви позволяват да смесвате и съпоставяте между двупосочни и еднопосочни връзки.В следващия пример протоколът SSH блокира SSH връзки от IP адреси, но позволява връзки към IP адреси:

$ sudo iptables -A INPUT -p tcp --dport ssh -s 10.10.10.10 -m състояние --state НОВО, УСТАНОВЕНО -j ПРИЕМА 

$ sudo iptables -A ИЗХОД -p tcp --sport 22 -d 10.10.10.10.-m състояние --състояние УСТАНОВЕНО -J ПРИЕМАНЕ

След като въведете командата за промяна на състоянието на връзката, трябва да запазите промените.Ако не го направите, вашата конфигурация ще бъде загубена, когато затворите помощната програма.В зависимост от системата за разпространение, която използвате, можете да използвате много различни команди:

Ubuntu:

$ sudo /sbin/iptables-save

Red Hat/CentOS -

$ sudo /sbin/service iptables save

или

$ sudo /etc/init.d/iptables запишете

Важно е да запомните да използвате тези команди, тъй като това премахва неприятностите от необходимостта от конфигуриране при всяко зареждане на помощната програма.

правило за изтриване

Също толкова важно, колкото и възможността да запазвате правила, е и възможността да ги изтриете.Ако направите грешка или просто искате да се отървете от старите правила, имате опции – D команда.Тази команда трябва да се използва заедно с номера на правилото, което сте въвели.Това число казва на IPTables кое правило да изтрие.Например, ако трябва да въведете:

$ sudo iptables -D ВХОД 10

Тогава 10-то правило, което сте конфигурирали, ще бъде изтрито.

Ако искате да почистите къщата и да премахнете куп правила, можете да използвате-F команда.Можете да направите това, като напишете:

$ sudo iptables -F

Това ще изчисти целия набор от правила и ще обнови вашия IPTable.

IPTables: Научете правилата за веригата!

Това завършва нашия урок за IPTables.Както можете да видите, IPTables е начин за блокиране и разрешаванеLinuxразпределениеМногофункционален инструмент за потока.Ефективното използване на помощната програма включва ефективно задаване на конфигурацията по подразбиране и изграждане на други правила отгоре.Конфигурацията по подразбиране ще ви позволи да очертаете широко намерение за трафик, за да разрешите или откажете трафик;Тези правила ще ви позволят да структурирате метода си въз основа на IP адрес, порт и протокол.

Ние само надраскахме повърхността на потенциала на IPTables, има много различни команди, които можете да използвате, за да решите как да изпитате трафика на вашия сървър.Въпреки това ви препоръчваме да разберете основите, преди да започнете да използвате други команди.Например, трябва да разберете основните правила на веригата, преди да се ангажирате с нещо по-специализирано.

След като свикнете с начина, по който IPTables работи, можете да започнете да включвате повече правила, за да персонализирате изживяването си.По този начин ще можете да посочите точно видовете връзки, които ще разрешите с по-голяма точност от всякога.