![Hvordan konfigurere IPTables i Linux? [Trinn-for-trinn veiledning til 2021]](https://oktechmasters.org/wp-content/uploads/2021/09/24785-configure-iptables-in-Linux.jpg)
IPTables er navnet på et brannmursystem som kjører fra kommandolinjen på Linux.Programmet fungerer hovedsakelig somUbuntuStandardverktøyet på.Administratorer bruker ofte IPTables-brannmurer for å tillate eller blokkere trafikk inn i nettverkene deres.
Hvis du er ny på IPTables, er det første du må gjøre å oppdatere eller installere det med:
$ sudo apt-get install iptables
Mens brukere som ikke er kjent med kommandolinjegrensesnittet finner IPTables en læringskurve, er selve verktøyet veldig enkelt å bruke.Det er et sett med kjernekommandoer som kan tjene som grunnlag for å kontrollere trafikken.Når det er sagt, må du være veldig forsiktig når du endrer IPTables-regler.En feilskrevet kommando kan låse deg ute av IPTables helt til du løser problemet inne i den fysiske maskinen.
I denne artikkelen vil vi gi deg en grunnleggende veiledning til IPTables og introdusere deg til det grunnleggende.Før vi kommer til kjernen av IPTables, må du sørge for at du har enkjøre Ubuntu 16.04avVPAog amed SSH-klientav lokal maskin.Hvis du allerede har disse, er det på tide å begynne.
Innhold
IPTables-veiledning: Kjeder
Et av de grunnleggende konseptene å mestre i IPTables er konseptet med kjeder.En kjede er egentlig en regel.Filterets tabell har de tre kjedene du vil møte på IPTables;Tast inn,Framover Ogproduksjon.
-
- INPUT – En INPUT-kjede er en regel som kontrollerer innkommende pakker.Her kan du blokkere eller tillate nye tilkoblinger.Du kan gjøre dette basert på port, protokoll og kilde-IP-adresse.
- FRAMOVER – FORWARD kjedefiltrering av innkommende pakker som videresendes til forskjellige sluttplasseringer.Med mindre du ruter eller spesifikt ser etter videresending, er det usannsynlig at du vil bruke denne kjeden.
- UTGANG – OUTPUT-kjeden brukes til å administrere utgående pakker og tilkoblinger.Det er viktig å merke seg at hvis du pinger en ekstern vert, vil inndatakjeden bli brukt til å returnere data til deg.
Standard kjedeoppførsel
Du vil kanskje hoppe rett inn i å konfigurere spesifikke regler i begynnelsen, men du må ta et skritt tilbake for å definere standardoppførselen.For å finne ut hva standardoppførselen til kjeden er, må du kjøre følgende kommando:
$ sudo iptables -L kommando
Dette vil vise følgende:
bruker@ubuntu:~$ sudo iptables -L -v Kjedeinngang (policy ACCEPT) Kjede FRAM (policy GODKJENNER) Kjede OUTPUT (policy ACCEPT) bruker@ubuntu:~$
Denne informasjonen forteller deg nøyaktig hva kjeden er konfigurert for.I eksemplet er input-, forward- og output-kjedene konfigurert til å akseptere trafikk.Disse innstillingene er et godt utgangspunkt, siden de ikke blokkerer noen tilkoblinger du måtte ønske.
Men hvis du finner ut at policyen din ikke godtar tilkoblinger, kan du angi hver av følgende kommandoer for å godta alle tilkoblinger:
$ sudo iptables --policy INPUT ACCEPT
$ sudo iptables --policy OUTPUT ACCEPT
$ sudo iptables --policy FORWARD ACCEPT
Når standardinnstillingene dine godtar alle tilkoblinger, kan du kontrollere tilgangen til IPTables ved å blokkere IP-adresser og portnumre.Dette lar deg spesifisere hvilke tilkoblinger som skal blokkeres i stedet for å blokkere alle tilkoblinger som standard.
Hvis du har å gjøre med spesielt sensitiv informasjon, kan du konfigurere standardinnstillingene til å blokkere alle tilkoblinger automatisk.På denne måten kan du bruke IPTables til å velge de individuelle IP-adressene du vil tillate.For å gjøre dette, må du skrive inn følgende kommando:
$ sudo iptables --policy INPUT DROP
$ sudo iptables --policy OUTPUT DROP
$ sudo iptables --policy FORWARD DROP
De fleste brukere har det bedre med å godta alle tilkoblinger, men det er verdt å huske på hvis du jobber på en høysikkerhetsserver.
Konfigurer en enkelt tilkobling
Når standard kjedeoppførsel er konfigurert, er det på tide å konfigurere individuelle tilkoblinger.Det er her du konfigurerer såkalte tilkoblingsspesifikke svar.Dette forteller i hovedsak IPTables hvordan de skal samhandle når de kobler til en IP-adresse eller port.Disse svarene er som følger;resepsjon,放棄,Nekte.
Som du kan se på bildet ovenfor, har brukeren definert kjederegler for å tillate, droppe eller nekte tilkoblinger etter behov.Følgende er en beskrivelse av hva hver respons inneholder:
- ACCEPT – Denne konfigurasjonen tillater bare tilkoblinger.
- DROP – Drop blokkerer forbindelsen uten å samhandle med kilden på noen måte.
- AVVIST – Dette blokkerer tilkoblingsforsøket, men sender også en feilmelding.Dette er vanligvis for å varsle kilden om at tilkoblingsforsøket har blitt blokkert av en brannmur.
Hvordan tillate eller blokkere tilkoblinger
Avhengig av oppsettet ditt, er det mange forskjellige måter å blokkere eller tillate tilkoblinger på.Følgende eksempel bruker den skjulte blokkeringsmetoden, dvs. brukDrop Koble fra uten interaksjon. iptables-A Lar oss legge til ytterligere advarsler til reglene etablert av standard kjedeinnstillinger.Du vil se nedenfor hvordan du bruker denne kommandoen til å blokkere tilkoblinger:
Blokker én enkelt IP-adresse:
$ sudo iptables -A INPUT -S 10.10.10.10 -j DROP
I eksemplet ovenfor kan du erstatte 10.10.10.10 med IP-adressen du vil blokkere.
Blokker en rekke IP-adresser:
$ sudo iptables -A INPUT -s 10.10.10.10.0/24 -j DROP
eller
$ sudo iptables -A INPUT -s 10.10.10.0/255.255.255/.0 -j DROP
Blokker en enkelt port:
$ sudo iptables -A INPUT -p tcp --dport ssh -s 10.10.10.10 -j DROP
Merk at 'ssh kan erstattes med hvilken som helst protokoll eller portnummer.Merk også at -p tcp-segmentet til koden brukes til å indikere om protokollen du vil blokkere bruker UDP eller TCP.
Hvis protokollen bruker UDP, vil du gå inn-p utpI stedet for-p tcp.Du kan også blokkere alle tilkoblinger fra en IP-adresse ved å skrive inn:
$ sudo iptables -A INPUT -p tcp --dport ssh -jDROP
Toveiskommunikasjon: Opplæring for IP-tabeller tilkoblet tilstand
De fleste av protokollene du kommer over krever toveiskommunikasjon for overføring.Dette betyr at en overføring består av innganger og utganger.Det som går inn i systemet ditt er like viktig som det som går ut.Tilkoblingstilstander lar deg mikse og matche mellom toveis- og enveisforbindelser.I følgende eksempel blokkerer SSH-protokollen SSH-tilkoblinger fra IP-adresser, men tillater tilkoblinger til IP-adresser:
$ sudo iptables -A INPUT -p tcp --dport ssh -s 10.10.10.10 -m tilstand --state NY, ETABLERET -j GODKJENNER $ sudo iptables -A OUTPUT -p tcp --sport 22 -d 10.10.10.10.-m tilstand --stat ETABLERTE -J AKSEPT
Etter å ha skrevet inn kommandoen for å endre tilkoblingstilstanden, må du lagre endringene.Hvis du ikke gjør det, vil konfigurasjonen gå tapt når du lukker verktøyet.Avhengig av distribusjonssystemet du bruker, kan du bruke mange forskjellige kommandoer:
Ubuntu:
$ sudo /sbin/iptables-save
Red Hat/CentOS -
$ sudo /sbin/service iptables lagre
eller
$ sudo /etc/init.d/iptables lagre
Det er viktig å huske å bruke disse kommandoene, da det fjerner bryet med å måtte konfigurere hver gang verktøyet lastes.
slette regelen
Like viktig som å kunne lagre regler er å kunne slette dem.Hvis du gjør en feil eller bare vil kvitte deg med gamle regler, har du muligheter – D kommando.Denne kommandoen må brukes sammen med regelnummeret du skrev inn.Dette nummeret forteller IPTables hvilken regel som skal slettes.Hvis du for eksempel skriver inn:
$ sudo iptables -D INNPUT 10
Da slettes den 10. regelen du konfigurerte.
Hvis du vil rydde opp i huset og fjerne en haug med regler, kan du bruke-F kommando.Du kan gjøre dette ved å skrive:
$ sudo iptables -F
Dette vil tømme hele regelsettet og oppdatere IPTable.
IPTables: Lær kjederegler!
Dette avslutter vår IPTables-opplæring.Som du kan se, er IPTables en måte å blokkere og tillateLinuxfordelingEt multiverktøy på flyten.Å bruke verktøyet effektivt innebærer å effektivt sette standardkonfigurasjonen og bygge andre regler på toppen av det.Standardkonfigurasjonen vil tillate deg å skissere bred trafikkhensikt for å tillate eller nekte trafikk;Disse reglene lar deg strukturere metoden din basert på IP-adresse, port og protokoll.
Vi har bare skrapet på overflaten av potensialet til IPTables, det er tonnevis av forskjellige kommandoer du kan bruke for å bestemme hvordan du skal oppleve trafikk på serveren din.Vi anbefaler imidlertid at du forstår det grunnleggende før du begynner å bruke andre kommandoer.For eksempel må du forstå de grunnleggende kjedereglene før du forplikter deg til noe mer spesialisert.
Når du har blitt vant til måten IPTables fungerer på, kan du begynne å innlemme flere regler for å tilpasse opplevelsen din.Ved å gjøre dette vil du kunne spesifisere nøyaktig hvilke typer tilkoblinger du vil tillate med større presisjon enn noen gang før.
![Sammenligning av Linux vs Windows [Konflikt med radikale operativsystemer]](https://oktechmasters.org/wp-content/uploads/2021/09/24691-Linux-vs-windows.jpg)
