Tento článek vysvětluje, jak používat tabulky IP pro jednoduchý firewall, a popisuje proces otevírání děr ve vašem firewallu pro potřebné porty. IP tabulka je firewall a síťový nástroj dostupný všem linuxovým distribucím a funguje tak, že analyzuje pakety na úrovni jádra tak, jak jsou přijímány.
Úplný seznam příkazů, parametrů a dalších možností pro tabulky IP najdete na stránce MAN a v návodu k tabulkám IP.
Základní sada pravidel
Příkaz pro výpis aktuálních pravidel je:
sudo iptables --list
Výchozí výstup je:
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Čtení sady pravidel
Ve výchozí instalaci uvidíte tři předdefinované řetězce , seznam pravidel, který se stará o tři hlavní činnosti:příchozí provoz (INPUT), přesměrovaný provoz (FORWARD) a odchozí provoz (OUTPUT). Nejdůležitější věcí, kterou je třeba si z výše uvedené tabulky odnést, je, že výchozí sada pravidel pro tyto všechny zásady je nastavena na ACCEPT .
Zásady
Dostupné zásady a další možnosti jsou rozsáhlé. Pokud se o nich chcete dozvědět více, podívejte se na manuálovou stránku pro IPtables. Tento článek popisuje pouze nejběžnější zásady:
-
Přijmout explicitně propouští provoz, pokud neplatí žádná jiná cílová pravidla.
-
Odmítnout odešle zpět chybový paket jako odpověď na odpovídající paket. V opačném případě je ekvivalentní DROP jde tedy o ukončovacíCÍL , ukončující procházení pravidla.
-
Vypustit zastaví připojení k hostiteli bez jakékoli komunikace, pokud neplatí cílové pravidlo.
Dostupné možnosti
Stránka IPtables MAN:https://linux.die.net/man/8/iptables
Možnosti rozpoznávané iptables patří do následujících skupin:
- Příkazy zadejte akci, kterou chcete provést.
- Parametry nastavit specifikace pravidel pro použité příkazy.
- Další možnosti které podle potřeby určíte pro použité příkazy.
Jednoduché příkazy brány firewall
Povolte připojení, která jsou již připojena k vašemu serveru.
sudo iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
Povolit připojení na ServiceNet. Vyžadováno jinými produkty Rackspace Cloud, jako je Cloud Backup a Cloud Monitoring.
sudo iptables -A INPUT -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
Povolit připojení k SSH. Tento příkaz můžete také použít k přizpůsobení. Následující příkaz umožňuje všechny pokusy o připojení TCP k portu SSH 22 .
sudo iptables -I INPUT 1 -p tcp --dport 22 -j ACCEPT
Povolte připojení pouze z určité podsítě IP pomocí notace CIDR (ClasslessInter Domain Routing). V tomto příkladu zablokujeme jakoukoli IP adresu v rozsahu 192.168.1.0 – 192.168.1.255.
sudo iptables -I INPUT 1 -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT
Povolit připojení k HTTP 80 nebo HTTPS 443 z jakéhokoli připojení.
sudo iptables -I INPUT 1 -p tcp --dport 80 -j ACCEPT
sudo iptables -I INPUT 1 -p tcp --dport 443 -j ACCEPT
Povolit připojení pro servery FTP na portu 21 .
sudo iptables -I INPUT 1 -p tcp --dport 21 -j ACCEPT
Změníte-li výchozí zásadu na zakázání všech připojení, budou přijata pouze povolená připojení.
sudo iptables -P INPUT DROP
DŮLEŽITÉ :Spusťte toto pravidlo poté, co nastavíte pravidla přístupu, která povolují příchozí připojení SSH.
Seznam běžných portů
Pomocí předchozích příkazů můžete kombinovat možnosti z následujícího seznamu běžných portů, abyste vytvořili pravidla pro jakýkoli spuštěný server, který máte.
Uložte sadu pravidel
Pokud se server z jakéhokoli důvodu restartuje nebo restartujete IPTables, změny budou ztraceny, protože změny jsou uloženy v nestálé paměti. Následující příkazy vytvoří prostý textový soubor, /etc/sysconfig/iptables , s lidsky čitelnou syntaxí. Všechny úpravy tohoto souboru jsou aktivní při každém restartu iptables.
-
Pro CentOS a Fedoru
/etc/init.d/iptables save -
Pro operační systém Ubuntu
iptables-save > /etc/iptables.rules -
Pro všechny ostatní distribuce
iptables-save > /etc/sysconfig/iptables
Přehled
Tento článek ukazuje, jak vytvořit jednoduchý firewall, který ochrání váš server před základními útoky. Mějte na paměti, že IPTables je mocný nástroj, jehož úplné prozkoumání by vyžadovalo knihu. Pokud potřebujete pomoc s vytvořením dalších pravidel, viz Easy Firewall Generator pro IPTables.
Odkazy a užitečné odkazy
- Jak na to Ubuntu IPtables
- Man IPtables