![Bagaimana untuk mengkonfigurasi IPtables di Linux? [Panduan langkah demi langkah untuk 2021]](https://oktechmasters.org/wp-content/uploads/2021/09/24785-configure-iptables-in-Linux.jpg)
IPtables ialah nama sistem tembok api yang dijalankan daripada baris arahan pada Linux.Program ini terutamanya berfungsi sebagaiUbuntuUtiliti lalai pada.Pentadbir sering menggunakan tembok api IPtables untuk membenarkan atau menyekat trafik ke dalam rangkaian mereka.
Jika anda baru menggunakan IPTables, perkara pertama yang perlu anda lakukan ialah mengemas kini atau memasangnya dengan:
$ sudo apt-get install iptables
Walaupun pengguna yang tidak biasa dengan antara muka baris arahan mendapati IPTables keluk pembelajaran, utiliti itu sendiri sangat mudah untuk digunakan.Terdapat satu set arahan teras yang boleh berfungsi sebagai asas untuk mengawal lalu lintas.Selepas itu, anda perlu berhati-hati apabila menukar peraturan IPTables.Perintah yang salah taip boleh mengunci anda keluar daripada IPtables sepenuhnya sehingga anda membetulkan masalah di dalam mesin fizikal.
Dalam artikel ini, kami akan memberikan anda panduan asas kepada IPtables dan memperkenalkan anda kepada asasnya.Sebelum kita sampai ke teras IPTables, anda perlu memastikan anda mempunyai ajalankan Ubuntu 16.04DaripadaVPAdan adengan pelanggan SSHDaripada mesin tempatan.Jika anda sudah mempunyai ini, sudah tiba masanya untuk bermula.
Contents [show]
Tutorial IPtables: Rantai
Salah satu konsep asas untuk dikuasai dalam IPtables ialah konsep rantai.Rantaian pada asasnya adalah peraturan.Jadual penapis mempunyai tiga rantai yang anda akan temui pada IPtables;masuk,Ke hadapan 和pengeluaran.
-
- INPUT – Rantaian INPUT ialah peraturan yang mengawal paket masuk.Di sini anda boleh menyekat atau membenarkan sambungan baharu.Anda boleh melakukan ini berdasarkan port, protokol dan alamat IP sumber.
- KE DEPAN – Rantaian FORWARD menapis paket masuk yang sedang dimajukan ke lokasi akhir yang berbeza.Melainkan anda sedang menghala atau secara khusus mencari pemajuan, anda tidak mungkin menggunakan rantaian ini.
- OUTPUT – Rantaian OUTPUT digunakan untuk mengurus paket dan sambungan keluar.Adalah penting untuk ambil perhatian bahawa jika anda ping hos luaran, rantaian input akan digunakan untuk mengembalikan data kepada anda.
Tingkah laku rantaian lalai
Anda mungkin mahu beralih terus ke dalam mengkonfigurasi peraturan tertentu pada mulanya, tetapi anda perlu mengambil langkah ke belakang untuk menentukan tingkah laku lalai.Untuk menentukan apakah kelakuan lalai rantai itu, anda perlu menjalankan arahan berikut:
$ sudo iptables -L arahan
Ini akan memaparkan perkara berikut:
pengguna@ubuntu:~$ sudo iptables -L -v INPUT Rantaian (dasar TERIMA) Rantaian FORWARD (dasar TERIMA) Rangkaian OUTPUT (dasar TERIMA) pengguna@ubuntu:~$
Maklumat ini memberitahu anda dengan tepat untuk apa rantai itu dikonfigurasikan.Dalam contoh, rantai input, hadapan dan output telah dikonfigurasikan untuk menerima trafik.Tetapan ini adalah tempat yang baik untuk bermula, kerana ia tidak akan menyekat sebarang sambungan yang anda mahukan.
Walau bagaimanapun, jika anda mendapati bahawa dasar anda tidak menerima sambungan, maka anda boleh memasukkan setiap perintah berikut untuk menerima semua sambungan:
$ sudo iptables --policy INPUT ACCEPT
$ sudo iptables --policy OUTPUT ACCEPT
$ sudo iptables --policy FORWARD ACCEPT
Setelah tetapan lalai anda menerima semua sambungan, anda boleh mengawal akses kepada IPtables dengan menyekat alamat IP dan nombor port.Ini membolehkan anda menentukan sambungan yang hendak disekat dan bukannya menyekat semua sambungan secara lalai.
Jika anda berurusan dengan maklumat yang sangat sensitif, anda boleh mengkonfigurasi tetapan lalai untuk menyekat semua sambungan secara automatik.Dengan cara ini, anda boleh menggunakan IPtables untuk memilih alamat IP individu yang anda ingin benarkan.Untuk melakukan ini, anda perlu memasukkan arahan berikut:
$ sudo iptables --policy INPUT DROP
$ sudo iptables --policy OUTPUT DROP
$ sudo iptables --policy FORWARD DROP
Kebanyakan pengguna lebih baik menerima semua sambungan, tetapi perlu diingat jika anda bekerja pada pelayan keselamatan tinggi.
Konfigurasikan sambungan tunggal
Setelah gelagat rantaian lalai dikonfigurasikan, tiba masanya untuk mengkonfigurasi sambungan individu.Di sinilah anda mengkonfigurasi apa yang dipanggil tindak balas khusus sambungan.Ini pada asasnya memberitahu IPTables cara berinteraksi apabila menyambung ke alamat IP atau port.Jawapan ini adalah seperti berikut;Terima,berputus asa,Menolak.
Seperti yang anda lihat dalam imej di atas, pengguna telah menentukan peraturan rantaian untuk membenarkan, menggugurkan atau menafikan sambungan seperti yang diperlukan.Berikut ialah penerangan tentang kandungan setiap respons:
- TIDAK AKTIF – Konfigurasi ini hanya membenarkan sambungan.
- GUGUR – Jatuhkan menyekat sambungan tanpa berinteraksi dengan sumber dalam apa jua cara.
- REJEK - Ini menyekat sambungan percubaan, tetapi juga menghantar mesej ralat.Ini biasanya untuk memberitahu sumber bahawa percubaan sambungan telah disekat oleh tembok api.
Bagaimana untuk membenarkan atau menyekat sambungan
Bergantung pada persediaan anda, terdapat pelbagai cara untuk menyekat atau membenarkan sambungan.Contoh berikut menggunakan kaedah sekatan rahsia, iaitu menggunakanMenggugurkan Putuskan sambungan tanpa sebarang interaksi. iptables-A Membolehkan kami menambah amaran tambahan kepada peraturan yang ditetapkan oleh tetapan rantaian lalai.Anda akan melihat di bawah cara menggunakan arahan ini untuk menyekat sambungan:
Sekat satu alamat IP:
$ sudo iptables -A INPUT -S 10.10.10.10 -j DROP
Dalam contoh di atas, anda boleh menggantikan 10.10.10.10 dengan alamat IP yang anda ingin sekat.
Sekat julat alamat IP:
$ sudo iptables -A INPUT -s 10.10.10.10.0/24 -j DROP
atau
$ sudo iptables -A INPUT -s 10.10.10.0/255.255.255/.0 -j DROP
Sekat satu port:
$ sudo iptables -A INPUT -p tcp --dport ssh -s 10.10.10.10 -j DROP
Ambil perhatian bahawa 'ssh boleh digantikan dengan mana-mana protokol atau nombor port.Juga ambil perhatian bahawa segmen -p tcp kod digunakan untuk menunjukkan sama ada protokol yang anda ingin sekat menggunakan UDP atau TCP.
Jika protokol menggunakan UDP, maka anda akan masuk-p udpBukannya-p tcp.Anda juga boleh menyekat semua sambungan daripada alamat IP dengan memasukkan:
$ sudo iptables -A INPUT -p tcp --dport ssh -jDROP
Komunikasi Dua Hala: Tutorial IPtables Negeri Bersambung
Kebanyakan protokol yang anda temui memerlukan komunikasi dua hala untuk penghantaran.Ini bermakna pemindahan terdiri daripada input dan output.Apa yang masuk ke dalam sistem anda adalah sama pentingnya dengan apa yang keluar.Keadaan sambungan membolehkan anda mencampur dan memadankan antara sambungan dwiarah dan satu arah.Dalam contoh berikut, protokol SSH menyekat sambungan SSH daripada alamat IP, tetapi membenarkan sambungan ke alamat IP:
$ sudo iptables -A INPUT -p tcp --dport ssh -s 10.10.10.10 -m keadaan --state NEW, ESTABLISHED -j TERIMA $ sudo iptables -A OUTPUT -p tcp --sukan 22 -d 10.10.10.10.-m negeri --negeri DITUBUHKAN -J TERIMA
Selepas memasukkan arahan untuk menukar keadaan sambungan, anda perlu menyimpan perubahan.Jika anda tidak berbuat demikian, konfigurasi anda akan hilang apabila anda menutup utiliti.Bergantung pada sistem pengedaran yang anda gunakan, anda boleh menggunakan banyak arahan yang berbeza:
Ubuntu:
$ sudo /sbin/iptables-save
Red Hat/CentOS -
$ sudo /sbin/service iptables simpan
atau
$ sudo /etc/init.d/iptables save
Adalah penting untuk diingat untuk menggunakan arahan ini kerana ia menghilangkan kerumitan perlu mengkonfigurasi setiap kali utiliti dimuatkan.
padam peraturan
Sama pentingnya dengan dapat menyimpan peraturan ialah dapat memadamkannya.Jika anda membuat kesilapan atau hanya mahu menyingkirkan peraturan lama, anda mempunyai pilihan - D arahan.Perintah ini perlu digunakan bersama dengan nombor peraturan yang anda masukkan.Nombor ini memberitahu IPtables peraturan yang hendak dipadamkan.Sebagai contoh, jika anda memasukkan:
$ sudo iptables -D INPUT 10
Kemudian peraturan ke-10 yang anda konfigurasikan akan dipadamkan.
Jika anda ingin membersihkan rumah dan mengeluarkan sekumpulan peraturan, anda boleh menggunakannya-F arahan.Anda boleh melakukan ini dengan menaip:
$ sudo iptables -F
Ini akan mengosongkan keseluruhan set peraturan dan memuat semula IPTable anda.
IPtables: Ketahui Peraturan Rantaian!
Ini menyimpulkan tutorial IPtables kami.Seperti yang anda lihat, IPtables ialah cara untuk menyekat dan membenarkanLinuxpengedaranAlat berbilang pada aliran.Menggunakan utiliti secara berkesan melibatkan penetapan konfigurasi lalai dengan berkesan dan membina peraturan lain selain daripada itu.Konfigurasi lalai akan membolehkan anda menggariskan niat trafik yang luas untuk membenarkan atau menafikan trafik;Peraturan ini akan membolehkan anda menstruktur kaedah anda berdasarkan alamat IP, port dan protokol.
Kami hanya menconteng permukaan potensi IPTables, terdapat banyak arahan berbeza yang boleh anda gunakan untuk memutuskan cara mengalami trafik pada pelayan anda.Walau bagaimanapun, kami mengesyorkan agar anda memahami asas sebelum mula menggunakan arahan lain.Sebagai contoh, anda perlu memahami peraturan rantaian asas sebelum melakukan sesuatu yang lebih khusus.
Sebaik sahaja anda membiasakan diri dengan cara IPtables berfungsi, anda boleh mula memasukkan lebih banyak peraturan untuk menyesuaikan pengalaman anda.Dengan melakukan ini, anda akan dapat menentukan dengan tepat jenis sambungan yang anda akan benarkan dengan ketepatan yang lebih tinggi berbanding sebelum ini.
![Perbandingan Linux vs Windows [Konflik dengan Sistem Pengendalian Radikal]](https://oktechmasters.org/wp-content/uploads/2021/09/24691-Linux-vs-windows.jpg)
