Osnovni vodnik po nasvetih/ukazih za IPTables (požarni zid Linux)
Ta vadnica vas vodi, kako deluje požarni zid v operacijskem sistemu Linux in kaj je IPTables v Linuxu? Požarni zid odloča o usodi dohodnih in odhodnih paketov v sistemu. IPTables je požarni zid, ki temelji na pravilih in je vnaprej nameščen v večini operacijskega sistema Linux. Privzeto deluje brez pravil. IPTables je bil vključen v jedro 2.4, prej pa se je imenoval ipchains ali ipfwadm. IPTables je čelno orodje za pogovor z jedrom in odločanje o paketih za filtriranje. Ta priročnik vam lahko pomaga do grobe ideje in osnovnih ukazov tabel IPTables, kjer bomo opisali praktična pravila iptables, ki jih boste lahko napotili in prilagodili glede na vaše potrebe.
Za različne protokole se uporabljajo različne storitve kot:
- iptables velja za IPv4.
- ip6tables velja za IPv6.
- arptables velja za ARP.
- ebtables velja za Ethernet okvirje ..
Glavne datoteke IPTables so:
- /etc/init.d/iptables - init skript za zagon | zaustavitev | ponovni zagon in shranjevanje naborov pravil.
- /etc/sysconfig/iptables - kjer se shranjujejo nabori pravil.
- /sbin/iptables - binarno.
Trenutno obstajajo tri tabele.
- Filter
- NAT
- Mangle
Trenutno obstajajo štiri verige:
- INPUT: privzeta veriga, ki izvira iz sistema.
- IZHOD: privzeta generacija verige iz sistema.
- NAPREJ: Privzeti verižni paketi se pošiljajo prek drugega vmesnika.
- RH-Firewall-1-INPUT: Uporabniško določena veriga po meri.
Opomba: zgoraj glavne datoteke se lahko v Ubuntu Linux nekoliko razlikujejo.
Kako zagnati, ustaviti in znova zagnati požarni zid Iptabe.
# /etc/init.d/iptables start # /etc/init.d/iptables stop # /etc/init.d/iptables restart
Če želite zagnati IPTables ob zagonu sistema, uporabite naslednji ukaz.
#chkconfig --level 345 iptables on
Shranjevanje naborov pravil IPTables z spodnjim ukazom. Vsakič, ko je sistem znova zagnal in znova zagnal storitev IPTables, so se obstoječa pravila splakovala ali ponastavila. Pod ukazom privzeto shrani nabore pravil TPTables v datoteko/etc/sysconfig/iptables in pravila se uporabijo ali obnovijo, če se IPTables izbriše.
#service iptables save
Preverjanje stanja IPTables/Firewall. Možnosti “-L” (nabor pravil seznama), “-v” (podrobno) in “-n” (prikaže v številčni obliki).
iptables -L -n -v Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 6 396 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT 5 packets, 588 bytes) pkts bytes target prot opt in out source destination
Prikaži pravila IPTables s številkami. S pomočjo argumenta “–line-numbers” lahko dodate ali odstranite pravila.
iptables -n -L -v --line-numbers Chain INPUT (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination 1 51 4080 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 2 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 3 0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 4 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 5 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination 1 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT 45 packets, 5384 bytes) num pkts bytes target prot opt in out source destination
Odpiranje ali brisanje pravil IPTables. Spodaj bo ukaz odstranil vsa pravila iz tabel. Pred izvajanjem zgornjega ukaza vzemite varnostno kopijo nabora pravil.
iptables -F
Če izbrišete ali dodate pravila, si jih najprej oglejmo v verigah. Spodaj ukazi prikažejo nabore pravil v INPUT in OUTPUT verigah s številkami pravil, ki nam bodo pomagala dodajati ali brisati pravila
iptables -L INPUT -n --line-numbers Chain INPUT (policy ACCEPT) num target prot opt source destination 1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 5 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
iptables -L OUTPUT -n --line-numbers Chain OUTPUT (policy ACCEPT) num target prot opt source destination
Recimo, če želite črtati pravilo št. 5 iz verige INPUT. Uporabite naslednji ukaz.
iptables -D INPUT 5
Če želite vstaviti ali dodati pravilo v verigo INPUT med 4 in 5 nabori pravil.
iptables -I INPUT 5 -s ipaddress -j DROP
Pravkar smo poskušali zajeti osnovne načine uporabe in funkcije IPTables za begineer. Ko popolnoma razumete TCP/IP in dobro poznate svojo nastavitev, lahko ustvarite zapletena pravila.