Come configurare IPTables in Linux? [Guida passo passo 2021]

IPTables è il nome di un sistema firewall che viene eseguito dalla riga di comando su Linux.Il programma serve principalmente comeUbuntuL'utilità predefinita su.Gli amministratori utilizzano spesso i firewall IPTables per consentire o bloccare il traffico nelle loro reti.

Se non conosci IPTables, la prima cosa che devi fare è aggiornarlo o installarlo con:

$ sudo apt-get installa iptables

Mentre gli utenti che non hanno familiarità con l'interfaccia della riga di comando trovano IPTables una curva di apprendimento, l'utilità stessa è molto semplice da usare.Esiste una serie di comandi di base che possono fungere da base per il controllo del traffico.Detto questo, devi stare molto attento quando cambi le regole di IPTables.Un comando digitato in modo errato può bloccarti completamente da IPTables fino a quando non risolvi il problema all'interno della macchina fisica.

In questo articolo, ti forniremo una guida di base a IPTables e ti presenteremo le basi.Prima di arrivare al nucleo di IPTables, devi assicurarti di avere aesegui Ubuntu 16.04的VPAe uncon client SSH的 macchina locale.Se li hai già, è ora di iniziare.

Tutorial IPtables: catene

Uno dei concetti di base da padroneggiare in IPTables è il concetto di catene.Una catena è essenzialmente una regola.La tabella del filtro ha le tre catene che incontrerai su IPTables;accedere,Inoltrare 和Produzione.

• • INGRESSO  – Una catena INPUT è una regola che controlla i pacchetti in entrata.Qui puoi bloccare o consentire nuove connessioni.Puoi farlo in base alla porta, al protocollo e all'indirizzo IP di origine.

• INOLTRARE  – Filtraggio a catena FORWARD dei pacchetti in entrata che vengono inoltrati a diverse posizioni finali.A meno che tu non stia effettuando un instradamento o cercando in modo specifico di inoltro, è improbabile che tu utilizzi questa catena.
• USCITA  – La catena OUTPUT viene utilizzata per gestire i pacchetti e le connessioni in uscita.È importante notare che se si esegue il ping di un host esterno, la catena di input verrà utilizzata per restituire i dati all'utente.

Comportamento predefinito della catena

Potresti voler passare direttamente alla configurazione di regole specifiche all'inizio, ma dovrai fare un passo indietro per definire il comportamento predefinito.Per determinare qual è il comportamento predefinito della catena, è necessario eseguire il comando seguente:

$ sudo iptables -L comando

Questo visualizzerà quanto segue:

utente@ubuntu:~$ sudo iptables -L -v 
INPUT della catena (policy ACCETTA) 
Catena FORWARD (polizza ACCETTA) 
OUTPUT catena (policy ACCEPT) 
utente@ubuntu:~$

Queste informazioni indicano esattamente per cosa è configurata la catena.Nell'esempio, le catene di input, forward e output sono state configurate per accettare il traffico.Queste impostazioni sono un buon punto di partenza, in quanto non bloccheranno le connessioni che potresti desiderare.

Tuttavia, se scopri che la tua politica non accetta connessioni, puoi inserire ciascuno dei seguenti comandi per accettare tutte le connessioni:

$ sudo iptables --policy ACCETTO INGRESSO

$ sudo iptables --policy OUTPUT ACCEPT

$ sudo iptables --policy AVANTI ACCETTA

Una volta che le impostazioni predefinite accettano tutte le connessioni, puoi controllare l'accesso a IPTables bloccando gli indirizzi IP e i numeri di porta.Ciò consente di specificare quali connessioni bloccare invece di bloccare tutte le connessioni per impostazione predefinita.

Se hai a che fare con informazioni particolarmente sensibili, puoi configurare le impostazioni predefinite per bloccare automaticamente tutte le connessioni.In questo modo, puoi utilizzare IPTables per selezionare i singoli indirizzi IP che desideri consentire.Per fare ciò, è necessario immettere il seguente comando:

$ sudo iptables --policy INPUT DROP

$ sudo iptables --policy OUTPUT DROP

$ sudo iptables --policy FORWARD DROP

La maggior parte degli utenti fa meglio ad accettare tutte le connessioni, ma vale la pena tenerlo a mente se stai lavorando su un server ad alta sicurezza.

Configura una singola connessione

Una volta configurato il comportamento della catena predefinito, è il momento di configurare le singole connessioni.Qui è dove si configurano le cosiddette risposte specifiche della connessione.Questo essenzialmente dice a IPTables come interagire quando ci si connette a un indirizzo IP o a una porta.Queste risposte sono le seguenti;reception,abbandonare,Rifiutare.

Come puoi vedere nell'immagine sopra, l'utente ha definito regole di catena per consentire, eliminare o negare le connessioni secondo necessità.Di seguito è riportata una descrizione di ciò che ciascuna risposta contiene:

• ACCETTO – Questa configurazione consente solo connessioni.
• GOCCIA  – Drop blocca la connessione senza interagire in alcun modo con la sorgente.
• RIFIUTARE  - Questo blocca il tentativo di connessione, ma invia anche un messaggio di errore.Questo di solito serve per notificare alla fonte che il tentativo di connessione è stato bloccato da un firewall.

Come consentire o bloccare le connessioni

A seconda della configurazione, ci sono molti modi diversi per bloccare o consentire le connessioni.L'esempio seguente utilizza il metodo di blocco nascosto, ovvero usingCadere Disconnetti senza alcuna interazione. iptables-A Ci consente di aggiungere ulteriori avvisi alle regole stabilite dalle impostazioni della catena predefinite.Di seguito vedrai come utilizzare questo comando per bloccare le connessioni:

Blocca un singolo indirizzo IP:

$ sudo iptables -A INPUT -S 10.10.10.10 -j DROP

Nell'esempio sopra, potresti sostituire 10.10.10.10 con l'indirizzo IP che vuoi bloccare.

Blocca un intervallo di indirizzi IP:

$ sudo iptables -A INPUT -s 10.10.10.10.0/24 -j DROP    

o

$ sudo iptables -A INPUT -s 10.10.10.0/255.255.255/.0 -j DROP

Blocca una singola porta:

$ sudo iptables -A INPUT -p tcp --dport ssh -s 10.10.10.10 -j DROP 

Nota che 'ssh può essere sostituito con qualsiasi protocollo o numero di porta.Si noti inoltre che il segmento -p tcp del codice viene utilizzato per indicare se il protocollo che si desidera bloccare utilizza UDP o TCP.

Se il protocollo utilizza UDP, dovresti entrare-pudpInvece di-p tcp.Puoi anche bloccare tutte le connessioni da un indirizzo IP inserendo:

$ sudo iptables -A INPUT -p tcp --dport ssh -jDROP

Comunicazione bidirezionale: Tutorial IPTables Connected State

La maggior parte dei protocolli che incontri richiedono una comunicazione bidirezionale per la trasmissione.Ciò significa che un trasferimento è costituito da ingressi e uscite.Ciò che entra nel tuo sistema è importante quanto ciò che esce.Gli stati di connessione consentono di combinare e abbinare connessioni bidirezionali e unidirezionali.Nell'esempio seguente, il protocollo SSH blocca le connessioni SSH dagli indirizzi IP, ma consente le connessioni agli indirizzi IP:

$ sudo iptables -A INPUT -p tcp --dport ssh -s 10.10.10.10 -m state --state NUOVO, ESTABLISHED -j ACCEPT 

$ sudo iptables -A OUTPUT -p tcp --sport 22 -d 10.10.10.10.-m state --state ESTABLISHED -J ACCEPT

Dopo aver inserito il comando per modificare lo stato della connessione, è necessario salvare le modifiche.In caso contrario, la configurazione andrà persa alla chiusura dell'utilità.A seconda del sistema di distribuzione che stai utilizzando, puoi utilizzare molti comandi diversi:

Ubuntu:

$ sudo /sbin/iptables-save

Red Hat/CentOS -

$ sudo /sbin/service iptables salva

o

$ sudo /etc/init.d/iptables salva

È importante ricordare di utilizzare questi comandi poiché elimina il fastidio di dover configurare ogni volta che viene caricata l'utilità.

elimina la regola

Altrettanto importante quanto poter salvare le regole è poterle eliminare.Se commetti un errore o vuoi semplicemente sbarazzarti delle vecchie regole, hai delle opzioni: D 命令.Questo comando deve essere utilizzato insieme al numero di regola immesso.Questo numero indica a IPtables quale regola eliminare.Ad esempio, se dovessi inserire:

$ sudo iptables -D INGRESSO 10

Quindi la decima regola che hai configurato verrà eliminata.

Se vuoi pulire la casa e rimuovere un sacco di regole, puoi usare-F comando.Puoi farlo digitando:

$ sudo iptables -F

Questo cancellerà l'intero set di regole e aggiornerà il tuo IPtable.

IPtables: impara le regole della catena!

Questo conclude il nostro tutorial su IPtables.Come puoi vedere, IPTables è un modo per bloccare e consentireLinuxdistribuzioneUno strumento multiplo sul flusso.L'uso efficace dell'utilità implica l'impostazione efficace della configurazione predefinita e la creazione di altre regole in aggiunta.La configurazione predefinita ti consentirà di delineare un'ampia intenzione di traffico per consentire o negare il traffico;Queste regole ti permetteranno di strutturare il tuo metodo in base a indirizzo IP, porta e protocollo.

Abbiamo solo scalfito la superficie del potenziale di IPTables, ci sono tonnellate di comandi diversi che puoi usare per decidere come sperimentare il traffico sul tuo server.Tuttavia, ti consigliamo di comprendere le basi prima di iniziare a utilizzare altri comandi.Ad esempio, è necessario comprendere le regole di base della catena prima di impegnarsi in qualcosa di più specializzato.

Una volta che ti sarai abituato al modo in cui funziona IPTables, puoi iniziare a incorporare più regole per personalizzare la tua esperienza.In questo modo, sarai in grado di specificare esattamente i tipi di connessioni che consentirai con una precisione mai vista prima.