![Hogyan konfigurálható az IPTables Linux alatt? [Lépésről lépésre 2021-ig]](https://oktechmasters.org/wp-content/uploads/2021/09/24785-configure-iptables-in-Linux.jpg)
Az IPTables egy tűzfalrendszer neve, amely Linuxon a parancssorból fut.A program elsősorban arra szolgálUbuntuAz alapértelmezett segédprogram a.A rendszergazdák gyakran használnak IPTables tűzfalakat, hogy engedélyezzék vagy blokkolják a hálózatukba irányuló forgalmat.
Ha még nem ismeri az IPTables-t, először frissítenie kell vagy telepítenie kell:
$ sudo apt-get install iptables
Míg a parancssori felületet nem ismerő felhasználók az IPTables-t tanulási görbének tartják, maga a segédprogram használata nagyon egyszerű.Létezik egy sor alapvető parancs, amely a forgalom szabályozásának alapjául szolgálhat.Ennek ellenére nagyon óvatosnak kell lennie az IPTables szabályok megváltoztatásakor.A rosszul begépelt parancs teljesen kizárhatja az IPTables szolgáltatásból, amíg meg nem oldja a problémát a fizikai gépen belül.
Ebben a cikkben egy alapvető útmutatót adunk az IPTables használatához, és bemutatjuk az alapokat.Mielőtt rátérnénk az IPTables lényegére, meg kell győződnie arról, hogy rendelkezik afuttassa az Ubuntut 16.04的VPAés aSSH klienssel的 helyi gép.Ha ezek már megvannak, ideje elkezdeni.
tartalom
- 1 IPTables oktatóanyag: Láncok
- 2 Alapértelmezett lánc viselkedés
- 3 Konfiguráljon egyetlen kapcsolatot
- 4 A kapcsolatok engedélyezése vagy blokkolása
- 5 Kétirányú kommunikáció: Csatlakoztatott állapotú IPTables oktatóanyag
- 6 szabály törlése
- 7 IPTables: Tanuld meg a láncszabályokat!
- 8 Ó szia, örülök, hogy megismertelek.
IPTables oktatóanyag: Láncok
Az IPTables egyik alapfogalma a láncok fogalma.A lánc lényegében szabály.A szűrőtáblázat három láncot tartalmaz, amelyekkel az IPTables-eken találkozhat;belép,Előre 和Kimenet.
-
- INPUT – Az INPUT lánc egy szabály, amely szabályozza a bejövő csomagokat.Itt blokkolhatja vagy engedélyezheti az új kapcsolatokat.Ezt a port, a protokoll és a forrás IP-címe alapján teheti meg.
- ELŐRE – FORWARD lánc szűri azokat a bejövő csomagokat, amelyeket különböző végpontokra továbbítanak.Hacsak nem irányít vagy kifejezetten továbbítást keres, nem valószínű, hogy használja ezt a láncot.
- KIMENET – Az OUTPUT lánc a kimenő csomagok és kapcsolatok kezelésére szolgál.Fontos megjegyezni, hogy ha egy külső gazdagépet pingel, a beviteli láncot a rendszer az adatok visszaküldésére használja.
Alapértelmezett lánc viselkedés
Előfordulhat, hogy az elején rögtön bele akar ugrani konkrét szabályok konfigurálásához, de egy lépést vissza kell lépnie az alapértelmezett viselkedés meghatározásához.A lánc alapértelmezett viselkedésének meghatározásához a következő parancsot kell futtatnia:
$ sudo iptables -L parancs
Ez a következőket jeleníti meg:
user@ubuntu:~$ sudo iptables -L -v Láncbemenet (irányelv ELFOGADÁS) Lánc FORWARD (irányelv ELFOGADÁS) Lánc OUTPUT (szabályzat ELFOGADÁS) user@ubuntu:~$
Ez az információ pontosan megmondja, hogy a lánc mire van beállítva.A példában a bemeneti, továbbítási és kimeneti lánc forgalom fogadására van konfigurálva.Ezek a beállítások jó kiindulópontot jelentenek, mivel nem blokkolják az esetleges kapcsolatokat.
Ha azonban úgy találja, hogy a házirend nem fogad el kapcsolatokat, akkor a következő parancsok mindegyikével elfogadhatja az összes kapcsolatot:
$ sudo iptables --policy INPUT ELFOGAD
$ sudo iptables --politika OUTPUT ELFOGADJA
$ sudo iptables --policy ELŐRE ELFOGADÁS
Ha az alapértelmezett beállítások minden kapcsolatot elfogadnak, az IP-címek és portszámok blokkolásával szabályozhatja az IPTables-hoz való hozzáférést.Ezzel megadhatja, hogy mely kapcsolatokat kell blokkolni, ahelyett, hogy alapértelmezés szerint blokkolná az összes kapcsolatot.
Ha különösen érzékeny információkkal kell foglalkoznia, az alapértelmezett beállításokat úgy konfigurálhatja, hogy azok automatikusan blokkoljanak minden kapcsolatot.Ily módon az IPTables segítségével kiválaszthatja az egyes IP-címeket, amelyeket engedélyezni szeretne.Ehhez be kell írnia a következő parancsot:
$ sudo iptables --policy INPUT DROP
$ sudo iptables --policy OUTPUT DROP
$ sudo iptables --policy FORWARD DROP
A legtöbb felhasználó jobban jár, ha minden kapcsolatot elfogad, de ezt érdemes szem előtt tartani, ha nagy biztonságú szerveren dolgozik.
Konfiguráljon egyetlen kapcsolatot
Az alapértelmezett láncviselkedés konfigurálása után ideje konfigurálni az egyes kapcsolatokat.Itt állíthatja be az úgynevezett kapcsolat-specifikus válaszokat.Ez lényegében megmondja az IPTablesnak, hogyan kell interakciót folytatni, amikor egy IP-címhez vagy porthoz csatlakoznak.Ezek a válaszok a következők;recepció,放棄,Megtagadni.
Amint a fenti képen látható, a felhasználó láncszabályokat definiált a kapcsolatok engedélyezésére, megszakítására vagy letiltására, ha szükséges.Az alábbiakban leírjuk, mit tartalmaznak az egyes válaszok:
- ELFOGAD – Ez a konfiguráció csak csatlakozásokat tesz lehetővé.
- DROP – A Drop blokkolja a kapcsolatot anélkül, hogy bármilyen módon interakcióba lépne a forrással.
- ELUTASÍT - Ez blokkolja a csatlakozási kísérletet, de hibaüzenetet is küld.Ez általában a forrás értesítése, hogy a csatlakozási kísérletet tűzfal blokkolta.
A kapcsolatok engedélyezése vagy blokkolása
A beállításoktól függően sokféleképpen blokkolhatja vagy engedélyezheti a kapcsolatokat.A következő példa a rejtett blokkolási módszert használja, azaz a használatávalCsepp Minden interakció nélkül szakítsa meg a kapcsolatot. iptables-A Lehetővé teszi további figyelmeztetések hozzáadását az alapértelmezett láncbeállítások által létrehozott szabályokhoz.Az alábbiakban látni fogja, hogyan használhatja ezt a parancsot a kapcsolatok blokkolására:
Egyetlen IP-cím letiltása:
$ sudo iptables -A BEMENET -S 10.10.10.10 -j DROP
A fenti példában lecserélheti a 10.10.10.10 címet a blokkolni kívánt IP-címre.
IP-címtartomány blokkolása:
$ sudo iptables -A BEMENET -s 10.10.10.10.0/24 -j DROP
vagy
$ sudo iptables -A BEMENET -s 10.10.10.0/255.255.255/.0 -j DROP
Egyetlen port blokkolása:
$ sudo iptables -A BEMENET -p tcp --dport ssh -s 10.10.10.10 -j DROP
Vegye figyelembe, hogy az 'ssh bármely protokoll- vagy portszámmal helyettesíthető.Azt is vegye figyelembe, hogy a kód -p tcp szegmense jelzi, hogy a blokkolni kívánt protokoll UDP-t vagy TCP-t használ-e.
Ha a protokoll UDP-t használ, akkor be kell írnia-p udpAhelyett-p tcp.Ezenkívül letilthatja az összes kapcsolatot egy IP-címről, ha beírja:
$ sudo iptables -A BEMENET -p tcp --dport ssh -jDROP
Kétirányú kommunikáció: Csatlakoztatott állapotú IPTables oktatóanyag
A legtöbb protokoll, amellyel találkozik, kétirányú kommunikációt igényel az átvitelhez.Ez azt jelenti, hogy az átvitel bemenetekből és kimenetekből áll.Ami bekerül a rendszeredbe, az ugyanolyan fontos, mint ami kimegy.A kapcsolati állapotok lehetővé teszik a kétirányú és egyirányú kapcsolatok keverését.A következő példában az SSH protokoll blokkolja az SSH-kapcsolatokat az IP-címekről, de engedélyezi az IP-címekhez való csatlakozást:
$ sudo iptables -A BEMENET -p tcp --dport ssh -s 10.10.10.10 -m állapot --állapot ÚJ, LÉPTETT -j ELFOGADÁS $ sudo iptables -A OUTPUT -p tcp --sport 22 -d 10.10.10.10.-m állapot --állapot LÉPTETT -J ELFOGADÁS
A kapcsolat állapotának módosítására vonatkozó parancs beírása után el kell mentenie a változtatásokat.Ha nem teszi meg, a segédprogram bezárásakor a konfiguráció elveszik.A használt terjesztési rendszertől függően számos különböző parancsot használhat:
Ubuntu:
$ sudo /sbin/iptables-save
Red Hat/CentOS -
$ sudo /sbin/service iptables mentés
vagy
$ sudo /etc/init.d/iptables mentés
Fontos, hogy ne felejtse el ezeket a parancsokat használni, mivel így elkerülhető a segédprogram minden egyes betöltésekor konfigurálása okozta gond.
szabály törlése
Ugyanolyan fontos, mint a szabályok mentése, azok törlése is.Ha hibázol, vagy csak meg akarsz szabadulni a régi szabályoktól, akkor van lehetőséged – D parancs.Ezt a parancsot a megadott szabályszámmal együtt kell használni.Ez a szám jelzi az IPTables számára, hogy melyik szabályt kell törölni.Például, ha beírná:
$ sudo iptables -D INPUT 10
Ezután a 10. beállított szabály törlődik.
Ha meg akarja takarítani a házat, és eltávolítani egy csomó szabályt, használhatja-F parancs.Ezt a következő beírásával teheti meg:
$ sudo iptables -F
Ezzel törli a teljes szabálykészletet, és frissíti az IPTable-t.
IPTables: Tanuld meg a láncszabályokat!
Ezzel az IPTables oktatóanyagunk véget ért.Amint látja, az IPTables blokkolási és engedélyezési módszerLinuxterjesztésEgy többfunkciós eszköz a folyamatban.A segédprogram hatékony használata magában foglalja az alapértelmezett konfiguráció hatékony beállítását és további szabályok felépítését.Az alapértelmezett konfiguráció lehetővé teszi a forgalom engedélyezésére vagy letiltására vonatkozó átfogó forgalmi szándék felvázolását;Ezek a szabályok lehetővé teszik a módszer IP-cím, port és protokoll alapján történő felépítését.
Az IPTables-ban rejlő lehetőségeknek csak a felszínét kapargattuk, rengeteg különböző parancsot használhat, amellyel eldöntheti, hogyan tapasztalhatja meg a forgalmat a szerverén.Javasoljuk azonban, hogy ismerje meg az alapokat, mielőtt más parancsokat használna.Például meg kell értened az alapvető láncszabályokat, mielőtt bármire is elköteleznéd magad.
Miután megszokta az IPTables működését, elkezdhet több szabályt beépíteni a tapasztalatok testreszabása érdekében.Ezzel minden eddiginél pontosabban tudja megadni, hogy milyen típusú kapcsolatokat engedélyez.
![Linux vs Windows összehasonlítás [Konfliktus a radikális operációs rendszerekkel]](https://oktechmasters.org/wp-content/uploads/2021/09/24691-Linux-vs-windows.jpg)
