Šajā rokasgrāmatā būs mēģināts izskaidrot, kā lietot iptables uz Linux viegli saprotamā valodā.
Saturs[paslēpt]
|
Pārskats
Iptables ir uz noteikumiem balstīta ugunsmūris, kas apstrādās katru kārtulu, līdz tā atradīs tādu, kas atbilst.
Todo: šeit iekļaujiet piemēru
Izmantošana
Iptables lietderība parasti ir iepriekš instalēta jūsu linux izplatīšanā, taču tā faktiski nedarbojas nekādus noteikumus. Jūs atradīsit lietderību šeit lielākajā daļā sadali:
/sbin/iptables
Vienotas IP adreses bloķēšana
Jūs varat bloķēt IP, izmantojot -s parametru, nomainot 10.10.10.10 ar adresi, kuru jūs mēģināt bloķēt. Šajā piemērā jūs ņemsiet vērā, ka mēs izmantojām -I parametru (vai arī -sert darbu), nevis pievienojam, jo mēs vēlamies pārliecināties, ka vispirms tiek parādīts šis noteikums, pirms tiek pieņemti visi atļaušanas noteikumi.
/sbin/iptables -I INPUT -s 10.10.10.10 -j DROP
Ļaujot visu satiksmi no IP adreses
Varat pārejoši atļaut visu datplūsmu no IP adreses, izmantojot to pašu komandu, kā norādīts iepriekš, bet aizstājot DROP ar ACCEPT. Pirms DROP noteikumiem ir jāpārliecinās, ka vispirms šis noteikums parādās.
/sbin/iptables -A INPUT -s 10.10.10.10 -j ACCEPT
Portāla bloķēšana no visām adresēm
Jūs varat pilnībā bloķēt portu no piekļuves tīklam, izmantojot portfeļa slēdzi un pievienot pakalpojuma portu, kuru vēlaties bloķēt. Šajā piemērā mēs bloķēsim mysql portu:
/sbin/iptables -A INPUT -p tcp --dport 3306 -j DROP
Vienotas ostas atļaujšana no viena IP
Jūs varat pievienot -s komandu kopā ar -dport komandu, lai vēl vairāk ierobežotu noteikumu konkrētam portam:
/sbin/iptables -A INPUT -p tcp -s 10.10.10.10 --dport 3306 -j ACCEPT
Pašreizējo noteikumu skatīšana
Jūs varat apskatīt pašreizējos noteikumus, izmantojot šādu komandu:
/sbin/iptables -L
Tam vajadzētu dot jums izlaidi, kas ir līdzīga:
Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- 192.168.1.1/24 anywhere ACCEPT all -- 10.10.10.0/24 anywhere DROP tcp -- anywhere anywhere tcp dpt:ssh DROP tcp -- anywhere anywhere tcp dpt:mysql
Protams, faktiskā izlaide būs nedaudz ilgāka.
Pašreizējo noteikumu tīrīšana
Jūs varat iztīrīt visus pašreizējos noteikumus, izmantojot flush parametru. Tas ir ļoti noderīgi, ja jums ir jāievieto noteikumi pareizā secībā vai testēšanas laikā.
/sbin/iptables --flush
Īpaša izplatīšana
Lai gan lielākā daļa Linux sadalījumu ietver iptables formu, daži no tiem ietver arī ietinējumus, kas padara vadību nedaudz vieglāku. Visbiežāk šie "addons" tiek veidoti init skripti, kas rūpējas par iptables inicializēšanu pēc palaišanas, lai gan daži sadalījumi ietver arī pilnīgi iesaiņotus lietojumprogrammas, kas mēģina vienkāršot kopējo lietu.
Gentoo
The iptables Init skripts Gentoo spēj apstrādāt daudzus parastos scenārijus. Sākotnēji tas ļauj konfigurēt iptables, lai ielādētu startēšanas laikā (parasti tas, ko vēlaties):
rc-update add iptables default
Izmantojot init-skriptu, ir iespējams ielādēt un notīrīt ugunsmūri ar viegli iegaumētu komandu:
/etc/init.d/iptables start /etc/init.d/iptables stop
Init skripts apstrādā informāciju par pašreizējās ugunsmūra konfigurācijas saglabāšanu sākuma / beigšanas laikā. Tādējādi jūsu ugunsmūris vienmēr atrodas tajā stāvoklī, kurā esat to atstājis. Ja jums ir nepieciešams manuāli saglabāt jaunu noteikumu, init script var rīkoties ar to arī:
/etc/init.d/iptables save
Turklāt jūs varat atjaunot ugunsmūri uz iepriekšējo saglabāto stāvokli (gadījumam, kad jūs eksperimentēja ar noteikumiem un tagad vēlaties atjaunot iepriekšējo darba konfigurāciju):
/etc/init.d/iptables reload
Visbeidzot, init skripts var iptables ievietot "panikas" režīmā, kurā tiek bloķēts viss ienākošais un izejošais trafiks. Es neesmu pārliecināts, kāpēc šis režīms ir noderīgs, bet šķiet, ka tam ir visas Linux ugunsmūzes.
/etc/init.d/iptables panic
Brīdinājums: Neuzsākiet panikas režīmu, ja esat izveidojis savienojumu ar savu serveri, izmantojot SSH; tubūs atvienojiet! Vienīgais brīdis, kad iptables jāievieto panikas režīmā, kamēr jūs esatfiziski datora priekšā.
