Πώς να ρυθμίσετε τα IPTables στο Linux; [Οδηγός βήμα προς βήμα 2021]

Το IPTables είναι το όνομα ενός συστήματος τείχους προστασίας που εκτελείται σε Linux μέσω της γραμμής εντολών.Το πρόγραμμα χρησιμοποιείται κυρίως ωςUbuntuΤο προεπιλεγμένο βοηθητικό πρόγραμμα παρέχεται στις.Οι διαχειριστές χρησιμοποιούν συχνά τείχη προστασίας IPTables για να επιτρέπουν ή να αποτρέπουν την είσοδο της κυκλοφορίας στα δίκτυά τους.

Εάν είστε νέοι στο IPTables, το πρώτο πράγμα που πρέπει να κάνετε είναι να το ενημερώσετε ή να το εγκαταστήσετε χρησιμοποιώντας την ακόλουθη εντολή:

$ sudo apt-get εγκατάσταση iptables

Αν και οι χρήστες που δεν είναι εξοικειωμένοι με τη διεπαφή της γραμμής εντολών διαπιστώνουν ότι το IPTables έχει μια καμπύλη εκμάθησης, το ίδιο το βοηθητικό πρόγραμμα είναι πολύ απλό και εύκολο στη χρήση.Υπάρχει μια σειρά από βασικές εντολές που μπορούν να χρησιμοποιηθούν ως βάση για τον έλεγχο της κυκλοφορίας.Τούτου λεχθέντος, πρέπει να είστε πολύ προσεκτικοί όταν αλλάζετε κανόνες IPTables.Η πληκτρολόγηση της λάθος εντολής μπορεί να σας κλειδώσει εντελώς από τα IPTables μέχρι να λύσετε το πρόβλημα στο φυσικό μηχάνημα.

Σε αυτό το άρθρο, θα σας παρέχουμε έναν βασικό οδηγό για τα IPTables και θα σας παρουσιάσουμε τα βασικά.Πριν μπούμε στον πυρήνα των IPTables, πρέπει να βεβαιωθείτε ότι έχετε έναΕκτελέστε το Ubuntu 16.04的VPAκαι έναΜε πελάτη SSH的 Τοπική μηχανή.Εάν τα έχετε ήδη αυτά, τότε ήρθε η ώρα να ξεκινήσετε.

Εκμάθηση IPTables: Αλυσίδα

Μία από τις βασικές έννοιες που πρέπει να κατακτηθούν στα IPTables είναι η έννοια των αλυσίδων.Η αλυσίδα είναι ουσιαστικά κανόνας.Ο πίνακας φίλτρων έχει τρεις αλυσίδες που θα συναντήσετε στα IPTables.εισαγω,Προς τα εμπρός 和παραγωγή.

• • ΕΙΣΑΓΩΓΉ  – Η αλυσίδα INPUT είναι ο κανόνας που ελέγχει τα εισερχόμενα πακέτα δεδομένων.Μπορείτε να αποκλείσετε ή να επιτρέψετε νέες συνδέσεις εδώ.Μπορείτε να το κάνετε αυτό με βάση τη θύρα, το πρωτόκολλο και τη διεύθυνση IP προέλευσης.

• ΕΜΠΡΟΣ  – Η αλυσίδα FORWARD φιλτράρει τα εισερχόμενα πακέτα που προωθούνται σε διαφορετικές θέσεις τερματικού.Αν δεν κάνετε δρομολόγηση ή αναζητάτε συγκεκριμένα προώθηση, είναι απίθανο να χρησιμοποιήσετε αυτήν την αλυσίδα.
• ΠΑΡΑΓΩΓΉ  – Η αλυσίδα OUTPUT χρησιμοποιείται για τη διαχείριση εξερχόμενων πακέτων δεδομένων και συνδέσεων.Είναι σημαντικό να σημειωθεί ότι εάν κάνετε ping σε έναν εξωτερικό κεντρικό υπολογιστή, η αλυσίδα εισόδου θα χρησιμοποιηθεί για την επιστροφή των δεδομένων σε εσάς.

Προεπιλεγμένη συμπεριφορά αλυσίδας

Μπορεί να θέλετε να πάτε απευθείας στη διαμόρφωση συγκεκριμένων κανόνων στην αρχή, αλλά πρέπει να κάνετε ένα βήμα πίσω για να ορίσετε την προεπιλεγμένη συμπεριφορά.Για να προσδιορίσετε ποια είναι η προεπιλεγμένη συμπεριφορά της αλυσίδας, πρέπει να εκτελέσετε την ακόλουθη εντολή:

Εντολή $ sudo iptables -L

Αυτό θα εμφανίσει τα εξής:

user@ubuntu:~$ sudo iptables -L -v 
Chain INPUT (πολιτική ACCEPT) 
Chain FORWARD (πολιτική ΑΠΟΔΟΧΗ) 
Chain OUTPUT (πολιτική ACCEPT) 
user@ubuntu:~$

Αυτές οι πληροφορίες σας λένε ακριβώς τον σκοπό της διαμόρφωσης της αλυσίδας.Στο παράδειγμα, οι αλυσίδες εισόδου, προώθησης και εξόδου έχουν διαμορφωθεί ώστε να δέχονται κίνηση.Αυτές οι ρυθμίσεις είναι ένα καλό σημείο εκκίνησης, επειδή δεν θα αποτρέψουν τυχόν συνδέσεις που μπορεί να θέλετε.

Ωστόσο, εάν διαπιστώσετε ότι η πολιτική σας δεν δέχεται συνδέσεις, μπορείτε να εισαγάγετε καθεμία από τις ακόλουθες εντολές για να αποδεχτείτε όλες τις συνδέσεις:

$ sudo iptables —πολιτική ΕΙΣΟΔΟΣ ΑΠΟΔΟΧΗ

$ sudo iptables —πολιτική OUTPUT ACCEPT

$ sudo iptables —πολιτική ΕΜΠΡΟΣ ΑΠΟΔΟΧΗ

Μόλις οι προεπιλεγμένες ρυθμίσεις αποδεχτούν όλες τις συνδέσεις, μπορείτε να ελέγξετε την πρόσβαση στα IPTables αποκλείοντας τις διευθύνσεις IP και τους αριθμούς θυρών.Αυτό σας επιτρέπει να καθορίσετε ποιες συνδέσεις θα αποκλείσετε αντί να αποκλείσετε όλες τις συνδέσεις από προεπιλογή.

Εάν έχετε να κάνετε με ιδιαίτερα ευαίσθητες πληροφορίες, τότε μπορείτε να διαμορφώσετε τις προεπιλεγμένες ρυθμίσεις ώστε να αποκλείουν αυτόματα όλες τις συνδέσεις.Με αυτόν τον τρόπο, μπορείτε να χρησιμοποιήσετε τα IPTables για να επιλέξετε τις μεμονωμένες διευθύνσεις IP που θέλετε να επιτρέψετε.Για να το κάνετε αυτό, πρέπει να εισάγετε την ακόλουθη εντολή:

$ sudo iptables --policy INPUT DROP

$ sudo iptables —πολιτική OUTPUT DROP

$ sudo iptables --policy FORWARD DROP

Είναι καλύτερο για τους περισσότερους χρήστες να αποδέχονται όλες τις συνδέσεις, αλλά αν εργάζεστε σε διακομιστή υψηλής ασφάλειας, αξίζει να το θυμάστε.

Διαμόρφωση μιας μεμονωμένης σύνδεσης

Αφού διαμορφώσετε την προεπιλεγμένη συμπεριφορά αλυσίδας, μπορείτε να διαμορφώσετε μια μεμονωμένη σύνδεση.Εδώ ρυθμίζετε τις παραμέτρους της λεγόμενης απόκρισης ειδικής σύνδεσης.Αυτό ουσιαστικά λέει στα IPTables πώς να αλληλεπιδρούν κατά τη σύνδεση σε μια διεύθυνση IP ή μια θύρα.Αυτές οι απαντήσεις είναι οι εξής.Αποδεχτείτε,παραιτούμαι,απορρίπτω.

Όπως μπορείτε να δείτε στην παραπάνω εικόνα, ο χρήστης έχει ορίσει κανόνες αλυσίδας για να επιτρέπει, να απορρίπτει ή να απορρίπτει συνδέσεις με βάση τις απαιτήσεις.Ακολουθεί μια περιγραφή του τι περιέχει κάθε απάντηση:

• Δέχομαι – Αυτή η διαμόρφωση επιτρέπει μόνο συνδέσεις.
• DROP  – Το Drop μπλοκάρει τη σύνδεση χωρίς να αλληλεπιδρά με την πηγή με κανέναν τρόπο.
• ΑΠΟΡΡΙΠΤΩ  – Αυτό θα αποκλείσει την απόπειρα σύνδεσης, αλλά θα στείλει επίσης ένα μήνυμα σφάλματος.Αυτό γίνεται συνήθως για να ειδοποιηθεί η πηγή ότι η προσπάθεια σύνδεσης έχει αποκλειστεί από το τείχος προστασίας.

Πώς να επιτρέψετε ή να αποκλείσετε συνδέσεις

Ανάλογα με τις ρυθμίσεις σας, υπάρχουν πολλοί διαφορετικοί τρόποι για να αποκλείσετε ή να επιτρέψετε τις συνδέσεις.Το παρακάτω παράδειγμα χρησιμοποιεί μια μέθοδο κρυφού αποκλεισμού, δηλαδή χρησιμοποιώνταςΠτώση Αποσύνδεση χωρίς καμία αλληλεπίδραση. iptables -Α Μας επιτρέπει να προσθέσουμε πρόσθετες προειδοποιήσεις στους κανόνες που καθορίζονται από τις προεπιλεγμένες ρυθμίσεις αλυσίδας.Θα δείτε παρακάτω πώς να χρησιμοποιήσετε αυτήν την εντολή για να αποκλείσετε τη σύνδεση:

Αποκλεισμός μιας μεμονωμένης διεύθυνσης IP:

$ sudo iptables -A INPUT -S 10.10.10.10 -j DROP

Στο παραπάνω παράδειγμα, μπορείτε να αντικαταστήσετε το 10.10.10.10 με τη διεύθυνση IP που θέλετε να αποκλείσετε.

Αποκλεισμός μιας σειράς διευθύνσεων IP:

$ sudo iptables -A INPUT -s 10.10.10.10.0/24 -j DROP    

ή

$ sudo iptables -A INPUT -s 10.10.10.0/255.255.255/.0 -j DROP

Αποκλεισμός μίας θύρας:

$ sudo iptables -A INPUT -p tcp --dport ssh -s 10.10.10.10 -j DROP 

Λάβετε υπόψη ότι το 'ssh μπορεί να αντικατασταθεί με οποιοδήποτε αριθμό πρωτοκόλλου ή θύρας.Σημειώστε επίσης ότι το τμήμα -p tcp του κώδικα χρησιμοποιείται για να υποδείξει εάν το πρωτόκολλο που θέλετε να αποκλείσετε είναι UDP ή TCP.

Εάν το πρωτόκολλο χρησιμοποιεί UDP, τότε θα εισάγατε-p udpΑντί-p tcp.Μπορείτε επίσης να αποκλείσετε όλες τις συνδέσεις από διευθύνσεις IP εισάγοντας την ακόλουθη εντολή:

$ sudo iptables -A INPUT -p tcp --dport ssh -jDROP

Αμφίδρομη επικοινωνία: Οδηγός κατάστασης σύνδεσης IPTables

Τα περισσότερα από τα πρωτόκολλα που συναντάτε απαιτούν αμφίδρομη επικοινωνία για μετάδοση.Αυτό σημαίνει ότι η μετάδοση αποτελείται από είσοδο και έξοδο.Αυτό που μπαίνει στο σύστημά σας είναι εξίσου σημαντικό με αυτό που βγαίνει έξω.Η κατάσταση σύνδεσης σάς επιτρέπει να κάνετε μίξη μεταξύ αμφίδρομων και μονόδρομων συνδέσεων.Στο ακόλουθο παράδειγμα, το πρωτόκολλο SSH αποκλείει συνδέσεις SSH από διευθύνσεις IP, αλλά επιτρέπει συνδέσεις σε διευθύνσεις IP:

$ sudo iptables -A INPUT -p tcp --dport ssh -s 10.10.10.10 -m κατάσταση --state ΝΕΟ, ΕΙΣΑΓΩΓΗ -j ΑΠΟΔΟΧΗ 

$ sudo iptables -A OUTPUT -p tcp —sport 22 -d 10.10.10.10.-m πολιτεία —κράτος ΙΔΡΥΘΗΚΕ -J ΑΠΟΔΟΧΗ

Αφού εισαγάγετε την εντολή για αλλαγή της κατάστασης σύνδεσης, πρέπει να αποθηκεύσετε τις αλλαγές.Εάν δεν το κάνετε αυτό, η διαμόρφωσή σας θα χαθεί όταν κλείσετε το βοηθητικό πρόγραμμα.Ανάλογα με το σύστημα διανομής που χρησιμοποιείτε, μπορείτε να χρησιμοποιήσετε πολλές διαφορετικές εντολές:

Ubuntu:

$ sudo /sbin/iptables-save

Red Hat/CentOS –

$ sudo /sbin/service iptables αποθήκευση

ή

$ sudo /etc/init.d/iptables save

Να θυμάστε ότι η χρήση αυτών των εντολών είναι πολύ σημαντική, γιατί μπορεί να εξαλείψει την ταλαιπωρία να χρειάζεται να ρυθμίζετε τις παραμέτρους κάθε φορά που φορτώνεται το βοηθητικό πρόγραμμα.

Διαγραφή κανόνα

Εξίσου σημαντική με τη δυνατότητα αποθήκευσης κανόνων είναι η δυνατότητα διαγραφής τους.Εάν έχετε κάνει λάθος ή απλά θέλετε να εξαλείψετε τους παλιούς κανόνες, μπορείτε να χρησιμοποιήσετε την επιλογή – D 命令.Αυτή η εντολή πρέπει να χρησιμοποιηθεί σε συνδυασμό με τον αριθμό κανόνα που εισαγάγατε.Αυτός ο αριθμός λέει στα IPTables ποιον κανόνα να διαγράψουν.Για παράδειγμα, εάν εισαγάγατε:

$ sudo iptables -D ΕΙΣΟΔΟΣ 10

Στη συνέχεια, ο 10ος κανόνας που ρυθμίσατε θα διαγραφεί.

Εάν θέλετε να καθαρίσετε το σπίτι και να διαγράψετε μια σειρά από κανόνες, μπορείτε να χρησιμοποιήσετε- Εντολή F.Μπορείτε να το κάνετε αυτό εισάγοντας τα ακόλουθα:

$ sudo iptables -F

Αυτό θα διαγράψει ολόκληρο το σύνολο κανόνων και θα ανανεώσει το IPTable σας.

IPTables: Κανόνες μάθησης αλυσίδας!

Αυτό ολοκληρώνει το σεμινάριο IPTables.Όπως μπορείτε να δείτε, το IPTables είναι ένας τρόπος για να αποκλείσετε και να επιτρέψετεLinuxΈκδοση έκδοσηςΕργαλείο πολλαπλών λειτουργιών στη ροή.Η αποτελεσματική χρήση αυτού του βοηθητικού προγράμματος περιλαμβάνει τον αποτελεσματικό ορισμό της προεπιλεγμένης διαμόρφωσης και τη δημιουργία άλλων κανόνων πάνω από αυτό.Η προεπιλεγμένη διαμόρφωση θα σας επιτρέψει να περιγράψετε την πρόθεση ευρείας κυκλοφορίας για να επιτρέψετε ή να απορρίψετε την κυκλοφορία.Αυτοί οι κανόνες θα σας επιτρέψουν να δημιουργήσετε τη μέθοδο σας με βάση τη διεύθυνση IP, τη θύρα και το πρωτόκολλο.

Μόλις χαράξαμε την επιφάνεια των δυνατοτήτων των IPTables, μπορείτε να χρησιμοποιήσετε πολλές διαφορετικές εντολές για να αποφασίσετε πώς να βιώσετε την κίνηση στον διακομιστή.Ωστόσο, σας συνιστούμε να κατανοήσετε τα βασικά προτού αρχίσετε να χρησιμοποιείτε άλλες εντολές.Για παράδειγμα, πριν δεσμευτείτε για οτιδήποτε πιο επαγγελματικό, πρέπει να κατανοήσετε τους βασικούς κανόνες της αλυσίδας.

Μόλις συνηθίσετε τον τρόπο λειτουργίας των IPTables, μπορείτε να αρχίσετε να ενσωματώνετε περισσότερους κανόνες για να προσαρμόσετε την εμπειρία σας.Κάνοντας αυτό, θα μπορείτε να προσδιορίσετε με ακρίβεια τους τύπους συνδέσεων που θα επιτρέψετε με μεγαλύτερη ακρίβεια από ποτέ.