Ako nakonfigurovať IPTables v Linuxe? [Podrobný sprievodca 2021]

IPTables je názov systému brány firewall, ktorý beží na Linuxe cez príkazový riadok.Program sa používa hlavne akoubuntuPredvolený nástroj poskytovaný na.Správcovia často používajú brány firewall IPTables na povolenie alebo zabránenie vstupu prenosu do ich sietí.

Ak ste novým používateľom IPTables, prvá vec, ktorú musíte urobiť, je aktualizovať alebo nainštalovať pomocou nasledujúceho príkazu:

$ sudo apt-get install iptables

Aj keď používatelia, ktorí nepoznajú rozhranie príkazového riadka, zistia, že IPTables sa učí, samotný nástroj je veľmi jednoduchý a ľahko sa používa.Existuje rad základných príkazov, ktoré možno použiť ako základ pre riadenie prevádzky.Ako už bolo povedané, musíte byť veľmi opatrní pri zmene pravidiel IPTables.Zadanie nesprávneho príkazu vám môže úplne zablokovať IPTtables, kým nevyriešite problém na fyzickom počítači.

V tomto článku vám poskytneme základného sprievodcu IPTtables a predstavíme vám základy.Než sa dostaneme k jadru IPTtables, musíte sa uistiť, že máte aSpustite Ubuntu 16.04zVPAa aS klientom SSHz Miestny stroj.Ak ich už máte, je čas začať.

Výukový program IPTtables: Reťaz

Jedným zo základných pojmov, ktoré si treba osvojiť v IPTables, je koncept reťazí.Reťaz je v podstate pravidlom.Tabuľka filtrov má tri reťazce, s ktorými sa stretnete na IPTtables;vstúpiť,Vpred Avýkon.

• • INPUT  – Reťazec INPUT je pravidlo, ktoré riadi prichádzajúce dátové pakety.Tu môžete zablokovať alebo povoliť nové pripojenia.Môžete to urobiť na základe portu, protokolu a zdrojovej adresy IP.

• FORWARD  – Reťaz FORWARD filtruje prichádzajúce pakety, ktoré sa preposielajú na rôzne koncové miesta.Pokiaľ nesmerujete alebo špecificky nehľadáte presmerovanie, je nepravdepodobné, že tento reťazec použijete.
• VÝKON  – OUTPUT reťazec sa používa na správu odchádzajúcich dátových paketov a spojení.Je dôležité poznamenať, že ak odošlete príkaz ping externému hostiteľovi, na vrátenie údajov sa použije vstupný reťazec.

Predvolené správanie reťazca

Možno budete chcieť prejsť priamo ku konfigurácii konkrétnych pravidiel na začiatku, ale musíte urobiť krok späť, aby ste definovali predvolené správanie.Ak chcete zistiť, aké je predvolené správanie reťazca, musíte spustiť nasledujúci príkaz:

$ sudo iptables -L príkaz

Zobrazí sa nasledovné:

user@ubuntu:~$ sudo iptables -L -v 
INPUT reťazca (prijatie pravidiel) 
Reťaz VPRED (prijatie pravidiel) 
Reťazec OUTPUT (prijatie pravidiel) 
user@ubuntu:~$

Tieto informácie vám presne povedia účel konfigurácie reťaze.V tomto príklade boli vstupné, dopredné a výstupné reťazce nakonfigurované tak, aby akceptovali prenos.Tieto nastavenia sú dobrým východiskovým bodom, pretože nezabránia pripojeniu, ktoré by ste mohli chcieť.

Ak však zistíte, že vaša politika neakceptuje pripojenia, môžete zadať každý z nasledujúcich príkazov, aby ste akceptovali všetky pripojenia:

$ sudo iptables --policy INPUT ACCEPT

$ sudo iptables --policy OUTPUT ACCEPT

$ sudo iptables —zásady FORWARD ACCEPT

Keď vaše predvolené nastavenia akceptujú všetky pripojenia, môžete ovládať prístup k IPTtables blokovaním IP adries a čísel portov.To vám umožňuje určiť, ktoré pripojenia sa majú blokovať, namiesto toho, aby sa predvolene blokovali všetky pripojenia.

Ak máte do činenia s obzvlášť citlivými informáciami, môžete nakonfigurovať predvolené nastavenia tak, aby automaticky blokovali všetky pripojenia.Týmto spôsobom môžete použiť IPTables na výber jednotlivých IP adries, ktoré chcete povoliť.Ak to chcete urobiť, musíte zadať nasledujúci príkaz:

$ sudo iptables —pokles INPUT politiky

$ sudo iptables —pokles OUTPUT DROP

$ sudo iptables —politika VPRED DROP

Pre väčšinu používateľov je najlepšie akceptovať všetky pripojenia, ale ak pracujete na vysoko zabezpečenom serveri, stojí za to si to zapamätať.

Nakonfigurujte jedno pripojenie

Po nakonfigurovaní predvoleného správania reťazca môžete nakonfigurovať jedno pripojenie.Tu konfigurujete takzvanú odozvu špecifickú pre pripojenie.Toto v podstate hovorí IPTables, ako interagovať pri pripájaní k IP adrese alebo portu.Tieto odpovede sú nasledovné;recepcia,vzdať sa,odmietnuť.

Ako môžete vidieť na obrázku vyššie, používateľ definoval pravidlá reťazca na povolenie, zrušenie alebo odmietnutie pripojení na základe požiadaviek.Nasleduje popis toho, čo každá odpoveď obsahuje:

• SÚHLASIŤ – Táto konfigurácia umožňuje iba pripojenia.
• DROP  – Drop blokuje spojenie bez akejkoľvek interakcie so zdrojom.
• ODMIETNUŤ  – Týmto sa zablokuje pokus o pripojenie, ale odošle sa aj chybové hlásenie.Zvyčajne ide o upozornenie zdroja, že pokus o pripojenie bol zablokovaný bránou firewall.

Ako povoliť alebo zablokovať pripojenia

V závislosti od vašich nastavení existuje mnoho rôznych spôsobov, ako zablokovať alebo povoliť pripojenia.Nasledujúci príklad používa metódu skrytého blokovania, to znamená pomocouPokles Odpojte sa bez akejkoľvek interakcie. iptables-A Umožňuje nám pridať ďalšie upozornenia k pravidlám stanoveným predvolenými nastaveniami reťazca.Nižšie uvidíte, ako použiť tento príkaz na zablokovanie pripojenia:

Blokovať jednu IP adresu:

$ sudo iptables -A INPUT -S 10.10.10.10 -j DROP

Vo vyššie uvedenom príklade môžete nahradiť 10.10.10.10 IP adresou, ktorú chcete zablokovať.

Zablokujte sériu adries IP:

$ sudo iptables -A INPUT -s 10.10.10.10.0/24 -j DROP    

alebo

$ sudo iptables -A INPUT -s 10.10.10.0/255.255.255/.0 -j DROP

Blokovanie jedného portu:

$ sudo iptables -A INPUT -p tcp --dport ssh -s 10.10.10.10 -j DROP 

Upozorňujeme, že ssh možno nahradiť akýmkoľvek protokolom alebo číslom portu.Všimnite si tiež, že segment -p tcp kódu sa používa na označenie, či protokol, ktorý chcete blokovať, je UDP alebo TCP.

Ak protokol používa UDP, zadajte-p udpNamiesto-p TCP.Môžete tiež zablokovať všetky pripojenia z adries IP zadaním nasledujúceho príkazu:

$ sudo iptables -A INPUT -p tcp --dport ssh -jDROP

Obojsmerná komunikácia: návod na stav pripojenia IPTtables

Väčšina protokolov, s ktorými sa stretnete, vyžaduje na prenos obojsmernú komunikáciu.To znamená, že prevod pozostáva zo vstupu a výstupu.To, čo ide do vášho systému, je rovnako dôležité ako to, čo ide von.Stav pripojenia vám umožňuje kombinovať obojsmerné pripojenia a jednosmerné pripojenia.V nasledujúcom príklade protokol SSH blokuje pripojenia SSH z adries IP, ale umožňuje pripojenia k adresám IP:

$ sudo iptables -A INPUT -p tcp --dport ssh -s 10.10.10.10 -m state --state NEW, ESTABLISHED -j ACCEPT 

$ sudo iptables -A VÝSTUP -p tcp —šport 22 -d 10.10.10.10.-m stav —stav ZRIADENÝ -J PRIJAŤ

Po zadaní príkazu na zmenu stavu pripojenia je potrebné zmeny uložiť.Ak to neurobíte, vaša konfigurácia sa po zatvorení pomôcky stratí.V závislosti od distribučného systému, ktorý používate, môžete použiť mnoho rôznych príkazov:

ubuntu:

$ sudo /sbin/iptables-save

Red Hat/CentOS –

$ sudo /sbin/service iptables uložiť

alebo

$ sudo /etc/init.d/iptables uložiť

Nezabudnite, že používanie týchto príkazov je veľmi dôležité, pretože to môže eliminovať problémy s konfiguráciou pri každom načítaní pomôcky.

Odstrániť pravidlo

Rovnako dôležité ako ukladanie pravidiel je aj ich odstraňovanie.Ak ste urobili chybu alebo len chcete odstrániť staré pravidlá, môžete použiť možnosť – D objednať.Tento príkaz je potrebné použiť v spojení s číslom pravidla, ktoré ste zadali.Toto číslo hovorí IPTables, ktoré pravidlo sa má vymazať.Ak by ste napríklad zadali:

$ sudo iptables -D INPUT 10

Potom sa vymaže 10. pravidlo, ktoré ste nakonfigurovali.

Ak chcete vyčistiť dom a odstrániť sériu pravidiel, môžete použiť-F príkaz.Môžete to urobiť zadaním nasledujúceho:

$ sudo iptables -F

Tým sa vymaže celý súbor pravidiel a obnoví sa vaša IPTable.

IPTtables: Učenie sa pravidiel reťazca!

Týmto sa končí náš tutoriál IPTables.Ako môžete vidieť, IPTables je spôsob, ako blokovať a povoliťLinuxVerzia vydaniaMultifunkčný nástroj na toku.Efektívne používanie tohto nástroja zahŕňa efektívne nastavenie predvolenej konfigurácie a vytvorenie ďalších pravidiel na jej vrchole.Predvolená konfigurácia vám umožní načrtnúť široký zámer návštevnosti na povolenie alebo odmietnutie návštevnosti;Tieto pravidlá vám umožnia zostaviť vašu metódu na základe IP adresy, portu a protokolu.

Práve sme načrtli povrch potenciálu IPTables, môžete použiť množstvo rôznych príkazov, aby ste sa rozhodli, ako zažiť prevádzku na serveri.Odporúčame vám však porozumieť základom skôr, ako začnete používať ďalšie príkazy.Napríklad predtým, ako sa pustíte do niečoho profesionálnejšieho, musíte pochopiť základné pravidlá reťazca.

Keď si zvyknete na to, ako IPTables funguje, môžete začať integrovať viac pravidiel, aby ste si prispôsobili svoje skúsenosti.Týmto spôsobom budete môcť presne špecifikovať typy pripojení, ktoré povolíte, s vyššou presnosťou ako kedykoľvek predtým.