Pamata rokasgrāmata par IPTables (Linux ugunsmūris) Padomi/komandas
Šī apmācība palīdzēs jums uzzināt, kā ugunsmūris darbojas Linux operētājsistēmā un kas ir IPTables Linux? Ugunsmūris izlemj sistēmā ienākošo un izejošo pakešu likteni. IPTables ir uz noteikumiem balstīts ugunsmūris, un tas ir iepriekš instalēts lielākajā daļā Linux operētājsistēmas. Pēc noklusējuma tas darbojas bez noteikumiem. IPTables tika iekļauts kodolā 2.4, pirms to sauca par ipchains vai ipfwadm. IPTables ir priekšgala rīks, lai runātu ar kodolu un izlemtu filtrēt paketes. Šī rokasgrāmata var palīdzēt iegūt aptuvenu IPTable ideju un pamatkomandas, kur mēs aprakstīsim praktiskus iptables noteikumus, kurus jūs varat atsaukties un pielāgot atbilstoši savām vajadzībām.
Dažādiem protokoliem tiek izmantoti dažādi pakalpojumi kā:
- iptables attiecas uz IPv4.
- ip6tabulas attiecas uz IPv6.
- arptables attiecas uz ARP.
- ebtable attiecas uz Ethernet rāmjiem.
IPTables galvenie faili ir:
- /etc/init.d/iptables - init skripts, lai sāktu | stop | restartējiet un saglabājiet likumu kopas.
- /etc/sysconfig/iptables - kur tiek saglabātas kārtulu kopas.
- /sbin/iptables - binārs.
Pašlaik ir trīs galdi.
- Filtrēt
- NAT
- Mangle
Pašlaik ir četras ķēdes:
- INPUT: noklusējuma ķēde, kas nāk no sistēmas.
- OUTPUT: noklusējuma ķēdes ģenerēšana no sistēmas.
- PIRMS: noklusējuma ķēdes paketes tiek sūtītas caur citu saskarni.
- RH-Firewall-1-INPUT: lietotāja definēta pielāgotā ķēde.
Piezīme. Virs galvenajiem failiem Ubuntu Linux var nedaudz atšķirties.
Kā startēt, apturēt un restartēt Iptabe ugunsmūri.
# /etc/init.d/iptables start # /etc/init.d/iptables stop # /etc/init.d/iptables restart
Lai sāktu IPTables sistēmas sāknēšanas laikā, izmantojiet šo komandu.
#chkconfig --level 345 iptables on
IPTables kārtulu kopu saglabāšana ar komandu zemāk. Ikreiz, kad sistēma restartē un restartē pakalpojumu IPTables, esošie noteikumi tiek izdzēsti vai atiestatīti. Zem komandas saglabāt TPTables likumu kopas failā/etc/sysconfig/iptables pēc noklusējuma un noteikumi tiek lietoti vai atjaunoti, ja IPTables izskalo.
#service iptables save
IPTable/Firewall statusa pārbaude. Opcijas “-L” (Sarakstu likumu kopa), “-v” (Raksturīga) un “-n” (Parāda ciparu formātā).
iptables -L -n -v Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 6 396 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT 5 packets, 588 bytes) pkts bytes target prot opt in out source destination
Parādīt IPTables kārtulas ar cipariem. Ar argumenta “–line-numbers” palīdzību jūs varat pievienot vai noņemt kārtulas.
iptables -n -L -v --line-numbers Chain INPUT (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination 1 51 4080 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 2 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 3 0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 4 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 5 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination 1 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT 45 packets, 5384 bytes) num pkts bytes target prot opt in out source destination
IPTables kārtulu izdzēšana vai dzēšana. Zemāk esošā komanda no tabulām noņems visus noteikumus. Pirms izpildāt iepriekš minēto komandu, veiciet noteikumu kopu dublēšanu.
iptables -F
Dzēšot vai pievienojot kārtulas, vispirms redzēsim kārtulas ķēdēs. Zemāk komandās INPUT un OUTPUT ķēdēs tiek parādīti likumu kopas ar noteikumu numuriem, kas mums palīdzēs pievienot vai dzēst kārtulas
iptables -L INPUT -n --line-numbers Chain INPUT (policy ACCEPT) num target prot opt source destination 1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 5 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
iptables -L OUTPUT -n --line-numbers Chain OUTPUT (policy ACCEPT) num target prot opt source destination
Pieņemsim, ka vēlaties izdzēst kārtulu Nr. 5 no INPUT ķēdes. Izmantojiet šādu komandu.
iptables -D INPUT 5
Lai ievietotu vai pievienotu kārtulu INPUT ķēdē starp 4 un 5 kārtulu kopu.
iptables -I INPUT 5 -s ipaddress -j DROP
Mēs tikko mēģinājām aptvert IPTable pamatlietojumus un funkcijas iesācējiem. Pēc pilnīgas TCP/IP izpratnes un labām zināšanām par iestatīšanu jūs varat izveidot sarežģītus noteikumus.