IPTables je ime sistema požarnega zidu, ki se izvaja v Linuxu prek ukazne vrstice.Program se uporablja predvsem kotUbuntuPrivzeti pripomoček, ki je na voljo na.Skrbniki pogosto uporabljajo požarne zidove IPTables, da dovolijo ali preprečijo promet v njihova omrežja.
Če ste novi pri IPTables, ga morate najprej posodobiti ali namestiti z naslednjim ukazom:
$ sudo apt-get namestite iptables
Čeprav uporabniki, ki niso seznanjeni z vmesnikom ukazne vrstice, ugotovijo, da ima IPTables krivuljo učenja, je pripomoček sam po sebi zelo preprost in enostaven za uporabo.Obstaja vrsta osnovnih ukazov, ki se lahko uporabljajo kot osnova za nadzor prometa.Kot rečeno, morate biti zelo previdni pri spreminjanju pravil IPTables.Če vnesete napačen ukaz, lahko popolnoma zaklenete IPTables, dokler ne rešite težave v fizičnem računalniku.
V tem članku vam bomo ponudili osnovni vodnik za IPTables in vas seznanili z osnovami.Preden se poglobimo v jedro IPTables, se morate prepričati, da imateZaženi Ubuntu 16.04的VPAin aZ odjemalcem SSH的 Lokalni stroj.Če jih že imate, je čas, da začnete.
vsebina
Vadnica za IPTables: veriga
Eden od osnovnih konceptov, ki jih je treba obvladati v IPTables, je koncept verig.Veriga je v bistvu pravilo.Tabela filtrov ima tri verige, ki jih boste naleteli na IPTables;vstopi,Naprej InIzhod.
-
- INPUT – Veriga INPUT je pravilo, ki nadzoruje dohodne podatkovne pakete.Tukaj lahko blokirate ali dovolite nove povezave.To lahko storite na podlagi vrat, protokola in izvornega naslova IP.
- NAPREJ – Veriga FORWARD filtrira dohodne pakete, ki se posredujejo različnim terminalskim lokacijam.Razen če ne usmerjate ali iščete posebej za posredovanje, verjetno ne boste uporabljali te verige.
- IZHOD – Veriga OUTPUT se uporablja za upravljanje odhodnih podatkovnih paketov in povezav.Pomembno je omeniti, da če pingate zunanjega gostitelja, bo vhodna veriga uporabljena za vrnitev podatkov k vam.
Privzeto obnašanje verige
Morda boste želeli iti neposredno na konfiguriranje določenih pravil na začetku, vendar morate narediti korak nazaj, da določite privzeto vedenje.Če želite ugotoviti, kakšno je privzeto vedenje verige, morate zagnati naslednji ukaz:
Ukaz $ sudo iptables -L
To bo prikazalo naslednje:
uporabnik@ubuntu:~$ sudo iptables -L -v verižni INPUT (sprejmi pravilnik) Veriga NAPREJ (sprejmi pravilnik) VERIŽNI IZHOD (SPREJEM pravilnik) uporabnik@ubuntu:~$
Te informacije vam natančno povedo namen konfiguracije verige.V primeru so bile vhodne, posredovane in izhodne verige konfigurirane tako, da sprejemajo promet.Te nastavitve so dobro izhodišče, saj ne bodo preprečile povezav, ki bi jih morda želeli.
Če pa ugotovite, da vaš pravilnik ne sprejema povezav, lahko vnesete vsakega od naslednjih ukazov, da sprejmete vse povezave:
$ sudo iptables — pravilnik INPUT ACCEPT
$ sudo iptables — politika IZHOD SPREJEM
$ sudo iptables — politika NAPREJ SPREJEM
Ko vaše privzete nastavitve sprejmejo vse povezave, lahko nadzirate dostop do IPTables z blokiranjem naslovov IP in številk vrat.To vam omogoča, da določite, katere povezave želite blokirati, namesto da bi privzeto blokirali vse povezave.
Če imate opravka s posebej občutljivimi informacijami, lahko konfigurirate privzete nastavitve tako, da samodejno blokirajo vse povezave.Na ta način lahko uporabite IPTables za izbiro posameznih naslovov IP, ki jih želite dovoliti.Če želite to narediti, morate vnesti naslednji ukaz:
$ sudo iptables — pravilnik INPUT DROP
$ sudo iptables —politika IZPAD IZHOD
$ sudo iptables — politika NAPREJ DROP
Za večino uporabnikov je najbolje, da sprejme vse povezave, če pa delate na visokovarnem strežniku, se je vredno spomniti.
Konfigurirajte eno samo povezavo
Ko konfigurirate privzeto vedenje verige, lahko konfigurirate eno povezavo.Tukaj konfigurirate tako imenovani odziv, specifičen za povezavo.To v bistvu pove IPTables, kako naj komunicirajo pri povezovanju z naslovom IP ali vrati.Ti odgovori so naslednji;Sprejmi,odnehaj,Zavrni.
Kot lahko vidite na zgornji sliki, je uporabnik definiral pravila verige, da dovoli, opusti ali zavrne povezave na podlagi zahtev.Sledi opis, kaj vsebuje vsak odgovor:
- SPREJEMO – Ta konfiguracija dovoljuje samo povezave.
- DROP – Drop blokira povezavo brez kakršne koli interakcije z virom.
- ZAVRNITI – To bo blokiralo poskus povezave, vendar bo poslalo tudi sporočilo o napaki.To je običajno za obveščanje vira, da je požarni zid blokiral poskus povezave.
Kako dovoliti ali blokirati povezave
Glede na vaše nastavitve obstaja veliko različnih načinov za blokiranje ali dovolitev povezav.Naslednji primer uporablja metodo skritega blokiranja, to je uporabaDrop Prekinite povezavo brez interakcije. iptables -A Omogoča nam dodajanje dodatnih opozoril pravilom, določenim s privzetimi nastavitvami verige.Spodaj boste videli, kako uporabiti ta ukaz za blokiranje povezave:
Blokiraj en naslov IP:
$ sudo iptables -A INPUT -S 10.10.10.10 -j DROP
V zgornjem primeru lahko zamenjate 10.10.10.10 z naslovom IP, ki ga želite blokirati.
Blokirajte vrsto naslovov IP:
$ sudo iptables -A INPUT -s 10.10.10.10.0/24 -j DROP
ali
$ sudo iptables -A INPUT -s 10.10.10.0/255.255.255/.0 -j DROP
Blokiraj posamezna vrata:
$ sudo iptables -A INPUT -p tcp --dport ssh -s 10.10.10.10 -j DROP
Upoštevajte, da je ssh mogoče zamenjati s katerim koli protokolom ali številko vrat.Upoštevajte tudi, da se segment -p tcp kode uporablja za označevanje, ali je protokol, ki ga želite blokirati, UDP ali TCP.
Če protokol uporablja UDP, bi vnesli-p udpNamesto-p tcp.Prav tako lahko blokirate vse povezave z naslovov IP tako, da vnesete naslednji ukaz:
$ sudo iptables -A INPUT -p tcp --dport ssh -jDROP
Dvosmerna komunikacija: vadnica o stanju povezave IPTables
Večina protokolov, na katere naletite, zahteva dvosmerno komunikacijo za prenos.To pomeni, da je prenos sestavljen iz vhoda in izhoda.Kar gre v vaš sistem, je enako pomembno kot tisto, kar gre ven.Status povezave vam omogoča mešanje in ujemanje med dvosmernimi in enosmernimi povezavami.V naslednjem primeru protokol SSH blokira povezave SSH z naslovov IP, vendar omogoča povezave z naslovi IP:
$ sudo iptables -A INPUT -p tcp --dport ssh -s 10.10.10.10 -m stanje --state NOVO, USTVARJENO -j SPREJEM $ sudo iptables -A IZHOD -p tcp —šport 22 -d 10.10.10.10.-m stanje —stanje USTVARJENO -J SPREJEM
Po vnosu ukaza za spremembo stanja povezave morate spremembe shraniti.Če tega ne storite, bo vaša konfiguracija izgubljena, ko zaprete pripomoček.Glede na distribucijski sistem, ki ga uporabljate, lahko uporabite veliko različnih ukazov:
Ubuntu:
$ sudo /sbin/iptables-save
Red Hat/CentOS –
$ sudo /sbin/service iptables shrani
ali
$ sudo /etc/init.d/iptables shrani
Ne pozabite, da je uporaba teh ukazov zelo pomembna, saj lahko odpravi težave s konfiguracijo vsakič, ko je pripomoček naložen.
Izbriši pravilo
Prav tako pomembno kot možnost shranjevanja pravil je, da jih lahko izbrišete.Če ste se zmotili ali samo želite odpraviti stara pravila, lahko uporabite možnost – D ukaz.Ta ukaz je treba uporabiti v povezavi s številko pravila, ki ste jo vnesli.Ta številka pove IPTables, katero pravilo je treba izbrisati.Če bi na primer vnesli:
$ sudo iptables -D INPUT 10
Nato bo 10. pravilo, ki ste ga konfigurirali, izbrisano.
Če želite pospraviti hišo in izbrisati vrsto pravil, lahko uporabite-F ukaz.To lahko storite tako, da vnesete naslednje:
$ sudo iptables -F
To bo počistilo celoten nabor pravil in osvežilo vašo IPTable.
IPTables: Učenje pravil verige!
S tem je naša vadnica za IPTables zaključena.Kot lahko vidite, je IPTables način blokiranja in omogočanjaLinuxRazličica za izdajoVečnamensko orodje za pretok.Učinkovita uporaba tega pripomočka vključuje učinkovito nastavitev privzete konfiguracije in nadgradnjo drugih pravil.Privzeta konfiguracija vam bo omogočila, da opišete širok prometni namen, da dovolite ali zavrnete promet;Ta pravila vam bodo omogočila, da zgradite svojo metodo na podlagi naslova IP, vrat in protokola.
Pravkar smo opraskali površje potenciala IPTables, lahko uporabite veliko različnih ukazov, da se odločite, kako boste izkusili promet na strežniku.Vendar priporočamo, da razumete osnove, preden začnete uporabljati druge ukaze.Na primer, preden se zavežete k čemur koli bolj profesionalnemu, morate razumeti osnovna pravila verige.
Ko se navadite na delovanje IPTables, lahko začnete integrirati več pravil, da prilagodite svojo izkušnjo.S tem boste lahko natančno določili vrste povezav, ki jih boste dovolili, z večjo natančnostjo kot kdaj koli prej.