![Como configurar IPTables no Linux? [Guia passo a passo 2021]](https://oktechmasters.org/wp-content/uploads/2021/09/24785-configure-iptables-in-Linux.jpg)
IPTables é o nome de um sistema de firewall que é executado a partir da linha de comando no Linux.O programa serve principalmente comoUbuntuO utilitário padrão no.Os administradores costumam usar firewalls IPTables para permitir ou bloquear o tráfego em suas redes.
Se você é novo no IPTables, a primeira coisa que você precisa fazer é atualizá-lo ou instalá-lo com:
$ sudo apt-get install iptables
Embora os usuários não familiarizados com a interface de linha de comando considerem o IPTables uma curva de aprendizado, o utilitário em si é muito simples de usar.Existe um conjunto de comandos principais que podem servir de base para controlar o tráfego.Dito isso, você precisa ter muito cuidado ao alterar as regras do IPTables.Um comando digitado incorretamente pode bloqueá-lo completamente do IPTables até que você resolva o problema dentro da máquina física.
Neste artigo, forneceremos um guia básico do IPTables e apresentaremos o básico.Antes de chegarmos ao núcleo do IPTables, você precisa ter certeza de que tem umexecute o Ubuntu 16.04的VPAe umcom cliente SSH的 máquina local.Se você já tem isso, é hora de começar.
Conteúdo
Tutorial IPTables: Correntes
Um dos conceitos básicos para dominar no IPTables é o conceito de chains.Uma cadeia é essencialmente uma regra.A tabela do filtro tem as três cadeias que você encontrará no IPTables;Importar,Avançar 和Resultado.
-
- INPUT – Uma cadeia INPUT é uma regra que controla os pacotes de entrada.Aqui você pode bloquear ou permitir novas conexões.Você pode fazer isso com base na porta, protocolo e endereço IP de origem.
- FRENTE – FORWARD chain filtrando pacotes de entrada que estão sendo encaminhados para diferentes locais finais.A menos que você esteja roteando ou procurando especificamente por encaminhamento, é improvável que você use essa cadeia.
- SAÍDA – A cadeia OUTPUT é usada para gerenciar pacotes e conexões de saída.É importante observar que, se você fizer ping em um host externo, a cadeia de entrada será usada para retornar dados para você.
Comportamento da cadeia padrão
Você pode querer ir direto para a configuração de regras específicas no início, mas precisará dar um passo atrás para definir o comportamento padrão.Para determinar qual é o comportamento padrão da cadeia, você precisa executar o seguinte comando:
$ sudo iptables -L comando
Isso exibirá o seguinte:
usuário@ubuntu:~$ sudo iptables -L -v Cadeia INPUT (política ACEITAR) Chain FORWARD (política ACEITAR) SAÍDA da cadeia (política ACEITAR) usuário@ubuntu:~$
Essas informações informam exatamente para que a cadeia está configurada.No exemplo, as cadeias de entrada, encaminhamento e saída foram configuradas para aceitar tráfego.Essas configurações são um bom ponto de partida, pois não bloquearão as conexões desejadas.
No entanto, se você descobrir que sua política não aceita conexões, poderá inserir cada um dos comandos a seguir para aceitar todas as conexões:
$ sudo iptables --policy INPUT ACCEPT
$ sudo iptables --policy OUTPUT ACCEPT
$ sudo iptables --policy FORWARD ACCEPT
Assim que suas configurações padrão aceitarem todas as conexões, você poderá controlar o acesso ao IPTables bloqueando endereços IP e números de porta.Isso permite que você especifique quais conexões bloquear em vez de bloquear todas as conexões por padrão.
Se você estiver lidando com informações particularmente confidenciais, poderá definir as configurações padrão para bloquear automaticamente todas as conexões.Dessa forma, você pode usar o IPTables para selecionar os endereços IP individuais que deseja permitir.Para fazer isso, você precisa digitar o seguinte comando:
$ sudo iptables --policy INPUT DROP
$ sudo iptables --policy OUTPUT DROP
$ sudo iptables --policy FORWARD DROP
A maioria dos usuários prefere aceitar todas as conexões, mas vale a pena ter em mente se você estiver trabalhando em um servidor de alta segurança.
Configurar uma única conexão
Depois que o comportamento da cadeia padrão estiver configurado, é hora de configurar as conexões individuais.É aqui que você configura as chamadas respostas específicas de conexão.Isso basicamente diz ao IPTables como interagir ao se conectar a um endereço IP ou porta.Essas respostas são as seguintes;Aceitar,desistir,Recusar.
Como você pode ver na imagem acima, o usuário definiu regras de cadeia para permitir, descartar ou negar conexões conforme necessário.A seguir está uma descrição do que cada resposta contém:
- ACEITAR – Esta configuração permite apenas conexões.
- GOTA – Drop bloqueia a conexão sem interagir com a fonte de forma alguma.
- REJEITAR - Isso bloqueia a tentativa de conexão, mas também envia uma mensagem de erro.Isso geralmente é para notificar a fonte de que a tentativa de conexão foi bloqueada por um firewall.
Como permitir ou bloquear conexões
Dependendo da sua configuração, há muitas maneiras diferentes de bloquear ou permitir conexões.O exemplo a seguir usa o método de bloqueio secreto, ou seja, usandoCair Desconecte-se sem qualquer interação. tabelas de ip -A Permite adicionar avisos adicionais às regras estabelecidas pelas configurações padrão da cadeia.Você verá abaixo como usar este comando para bloquear conexões:
Bloqueie um único endereço IP:
$ sudo iptables -A INPUT -S 10.10.10.10 -j DROP
No exemplo acima, você pode substituir 10.10.10.10 pelo endereço IP que deseja bloquear.
Bloqueie um intervalo de endereços IP:
$ sudo iptables -A INPUT -s 10.10.10.10.0 / 24 -j DROP
或者
$ sudo iptables -A INPUT -s 10.10.10.0/255.255.255/.0 -j DROP
Bloqueie uma única porta:
$ sudo iptables -A INPUT -p tcp --dport ssh -s 10.10.10.10 -j DROP
Observe que 'ssh pode ser substituído por qualquer protocolo ou número de porta.Observe também que o segmento -p tcp do código é usado para indicar se o protocolo que você deseja bloquear usa UDP ou TCP.
Se o protocolo usa UDP, você deve inserir-pudpEm vez de-p tcp.Você também pode bloquear todas as conexões de um endereço IP digitando:
$ sudo iptables -A INPUT -p tcp --dport ssh -jDROP
Comunicação de duas vias: Tutorial IPTables de estado conectado
A maioria dos protocolos que você encontra requer comunicação bidirecional para transmissão.Isso significa que uma transferência consiste em entradas e saídas.O que entra no seu sistema é tão importante quanto o que sai.Os estados de conexão permitem que você misture e combine conexões bidirecionais e unidirecionais.No exemplo a seguir, o protocolo SSH bloqueia conexões SSH de endereços IP, mas permite conexões com endereços IP:
$ sudo iptables -A INPUT -p tcp --dport ssh -s 10.10.10.10 -m state --state NOVO, ESTABELECIDO -j ACEITAR $ sudo iptables -A OUTPUT -p tcp --sport 22 -d 10.10.10.10.-m estado --estado ESTABELECIDO -J ACEITAR
Depois de inserir o comando para alterar o estado da conexão, você precisa salvar as alterações.Caso contrário, sua configuração será perdida quando você fechar o utilitário.Dependendo do sistema de distribuição que você está usando, você pode usar muitos comandos diferentes:
Ubuntu:
$ sudo / sbin / iptables-save
Red Hat/CentOS -
$ sudo / sbin / service iptables save
或者
$ sudo /etc/init.d/iptables salvar
É importante lembrar de usar esses comandos, pois elimina o incômodo de ter que configurar cada vez que o utilitário é carregado.
excluir regra
Tão importante quanto poder salvar regras é poder excluí-las.Se você cometer um erro ou apenas quiser se livrar de regras antigas, você tem opções – D 命令.Este comando precisa ser usado em conjunto com o número da regra que você digitou.Este número informa ao IPTables qual regra excluir.Por exemplo, se você digitar:
$ sudo iptables -D ENTRADA 10
Em seguida, a 10ª regra que você configurou será excluída.
Se você quiser limpar a casa e remover um monte de regras, você pode usar-F comando.Você pode fazer isso digitando:
$ sudoiptables-F
Isso limpará todo o conjunto de regras e atualizará seu IPTable.
IPTables: Aprenda as Regras da Cadeia!
Isso conclui nosso tutorial IPTables.Como você pode ver, o IPTables é uma forma de bloquear e permitirLinuxdistribuiçãoUma ferramenta múltipla no fluxo.Usar o utilitário efetivamente envolve definir efetivamente a configuração padrão e criar outras regras em cima disso.A configuração padrão permitirá que você descreva a intenção ampla de tráfego para permitir ou negar tráfego;Essas regras permitirão que você estruture seu método com base no endereço IP, porta e protocolo.
Nós apenas arranhamos a superfície do potencial do IPTables, existem vários comandos diferentes que você pode usar para decidir como experimentar o tráfego em seu servidor.No entanto, recomendamos que você entenda o básico antes de começar a usar outros comandos.Por exemplo, você precisa entender as regras básicas da cadeia antes de se comprometer com algo mais especializado.
Depois de se acostumar com o funcionamento do IPTables, você pode começar a incorporar mais regras para personalizar sua experiência.Ao fazer isso, você poderá especificar exatamente os tipos de conexões que permitirá com maior precisão do que nunca.
![Linux vs. Windows [conflito com sistemas operacionais radicais]](https://oktechmasters.org/wp-content/uploads/2021/09/24691-Linux-vs-windows.jpg)
