Iptables je skvělý firewall, který je součástí netfilter frameworku Linuxu. firewall je síťový bezpečnostní systém, který monitoruje a řídí příchozí a odchozí síťový provoz na základě předem stanovených bezpečnostních pravidel.
Ruční konfigurace iptables je pro nezasvěcené náročná. Naštěstí je k dispozici mnoho konfiguračních nástrojů, které vám pomohou:např. fwbuilder, bastille a ufw.
První koncepty: Paket :logický kontejner představující tok dat
Protokol :jazyk a sada pravidel, která síťová zařízení provozují podle
portu :číselné označení představující konkrétní protokol
Pravidla iptables:
- MANGLE
- Pravidla pro úpravu paketů
- NAT (překlad síťových adres)
- Předběžná trasa
- POSTROUTING
- FILTROVAT
- INPUT
- VÝSTUP
- Vpřed
Pravidla iptables spravují pakety konkrétního protokolu, například pokud chcete zakázat připojení k internetu, může to udělat iptables.
Konfigurace Iptables
Podívejte se, jaká pravidla jsou již nakonfigurována.
# iptables -L
To umožňuje komukoli přístup k čemukoli odkudkoli. Smažte pravidla iptables # iptables -F
Zásady
a. ACCEPT Allow the traffic
b. DROP Deny the traffic
Například:pokud jsou výchozí zásady INPUT DROP, brána firewall odmítne veškerý internetový provoz.
Pokud chcete změnit zásady, můžete to udělat pomocí následujícího příkazu:
iptables -P CHAIN POLITICS
Ochrana vašeho systému:Pravidla
Nastavení INPUT na DROP
Povolení paketů z vaší sítě LAN (nejprve musíte znát místní IP adresu pomocí příkazu ‘ifconfig’).
# iptables -A INPUT -s 192.168.100.0/24 -j ACCEPT
Povolení internetového provozu
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Povolení veškerého odchozího provozu
# iptables -A OUTPUT -j ACCEPT
Povolení připojení HTTP a HTTPS odkudkoli (běžné porty pro webové stránky
# iptables -A INPUT -p tcp --dport 80 -j ACCEPT # iptables -A INPUT -p tcp --dport 443 -j ACCEPT
Povolení připojení SSH. Číslo –dport je stejné jako v /etc/ssh/sshd_confi
# iptables -A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT
Blokování IP adresy pomocí iptables
Politika pro INPUT musí být DROP
Přidejte nové pravidlo pro snížení provozu pro odpovídající ip adresu (archlinux.org ip)
# iptables -A INPUT -s 66.211.214.131 -j DROP
Přidejte nové pravidlo, které povolí zbytek internetového provozu (všechna pravidla pro snížení provozu musí být vytvořena před tímto pravidlem
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Běžné možnosti iptables:
| -A | Připojit, tato možnost slouží k přidání nového pravidla |
| -I | Vložit nové pravidlo |
| -D | Smazat pravidlo |
| -R | Změna pozice pravidla |
| -L | Seznam pravidel |
| -L –čísla-řádků | Zobrazit číslo pozice každého pravidla |
| -F | Smazat všechna pravidla |
| -F ŘETĚZ | Odstranit pravidla konkrétního řetězce |
| -N CHAIN_NAME | Vytvořit nový řetězec |
| -X ŘETĚZ | Smazat řetězec |
| -P | Změňte politiku |
| iptables -A ŘETĚZ -s | Uveďte zdroj (ip adresu) |
| iptables -A ŘETĚZ -p | Určete protokol |
| iptables -A CHAIN -p tcp –dport | Určete port |
| iptables -A CHAIN … -j | Určete politiku pro konkrétní pravidlo |
Iptables má spoustu možností, ale toto je základní návod, pokud se chcete dozvědět více informací o iptables, můžete sledovat tyto odkazy:http://netfilter.org/documentation/
https://wiki.debian.org/iptables
https://wiki.archlinux.org/index.php/Iptables
http://www.faqs.org/docs/linux_network/x-087-2-firewall.future.html