Osnovni vodnik po nasvetih/ukazih za IPTables (požarni zid Linux)

Ta vadnica vas vodi, kako deluje požarni zid v operacijskem sistemu Linux in kaj je IPTables v Linuxu? Požarni zid odloča o usodi dohodnih in odhodnih paketov v sistemu. IPTables je požarni zid, ki temelji na pravilih in je vnaprej nameščen v večini operacijskega sistema Linux. Privzeto deluje brez pravil. IPTables je bil vključen v jedro 2.4, prej pa se je imenoval ipchains ali ipfwadm. IPTables je čelno orodje za pogovor z jedrom in odločanje o paketih za filtriranje. Ta priročnik vam lahko pomaga do grobe ideje in osnovnih ukazov tabel IPTables, kjer bomo opisali praktična pravila iptables, ki jih boste lahko napotili in prilagodili glede na vaše potrebe.

Za različne protokole se uporabljajo različne storitve kot:

  1. iptables velja za IPv4.
  2. ip6tables velja za IPv6.
  3. arptables velja za ARP.
  4. ebtables velja za Ethernet okvirje ..

Glavne datoteke IPTables so:

  1. /etc/init.d/iptables - init skript za zagon | zaustavitev | ponovni zagon in shranjevanje naborov pravil.
  2. /etc/sysconfig/iptables - kjer se shranjujejo nabori pravil.
  3. /sbin/iptables - binarno.

Trenutno obstajajo tri tabele.

  • Filter
  • NAT
  • Mangle

Trenutno obstajajo štiri verige:

  1. INPUT: privzeta veriga, ki izvira iz sistema.
  2. IZHOD: privzeta generacija verige iz sistema.
  3. NAPREJ: Privzeti verižni paketi se pošiljajo prek drugega vmesnika.
  4. RH-Firewall-1-INPUT: Uporabniško določena veriga po meri.

Opomba: zgoraj glavne datoteke se lahko v Ubuntu Linux nekoliko razlikujejo.

Kako zagnati, ustaviti in znova zagnati požarni zid Iptabe.

# /etc/init.d/iptables start 
# /etc/init.d/iptables stop
# /etc/init.d/iptables restart

Če želite zagnati IPTables ob zagonu sistema, uporabite naslednji ukaz.

#chkconfig --level 345 iptables on

Shranjevanje naborov pravil IPTables z spodnjim ukazom. Vsakič, ko je sistem znova zagnal in znova zagnal storitev IPTables, so se obstoječa pravila splakovala ali ponastavila. Pod ukazom privzeto shrani nabore pravil TPTables v datoteko/etc/sysconfig/iptables in pravila se uporabijo ali obnovijo, če se IPTables izbriše.

#service iptables save

Preverjanje stanja IPTables/Firewall. Možnosti “-L” (nabor pravil seznama), “-v” (podrobno) in “-n” (prikaže v številčni obliki).

 iptables -L -n -v

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    6   396 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 5 packets, 588 bytes)
 pkts bytes target     prot opt in     out     source               destination

Prikaži pravila IPTables s številkami. S pomočjo argumenta “–line-numbers” lahko dodate ali odstranite pravila.

 iptables -n -L -v --line-numbers

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1       51  4080 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
3        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
4        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
5        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 45 packets, 5384 bytes)
num   pkts bytes target     prot opt in     out     source               destination

Odpiranje ali brisanje pravil IPTables. Spodaj bo ukaz odstranil vsa pravila iz tabel. Pred izvajanjem zgornjega ukaza vzemite varnostno kopijo nabora pravil.

 iptables -F

Če izbrišete ali dodate pravila, si jih najprej oglejmo v verigah. Spodaj ukazi prikažejo nabore pravil v INPUT in OUTPUT verigah s številkami pravil, ki nam bodo pomagala dodajati ali brisati pravila

 iptables -L INPUT -n --line-numbers

Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
3    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
4    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
5    REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited
 iptables -L OUTPUT -n --line-numbers
Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

Recimo, če želite črtati pravilo št. 5 iz verige INPUT. Uporabite naslednji ukaz.

 iptables -D INPUT 5

Če želite vstaviti ali dodati pravilo v verigo INPUT med 4 in 5 nabori pravil.

 iptables -I INPUT 5 -s ipaddress -j DROP

Pravkar smo poskušali zajeti osnovne načine uporabe in funkcije IPTables za begineer. Ko popolnoma razumete TCP/IP in dobro poznate svojo nastavitev, lahko ustvarite zapletena pravila.