„Iptables“ naudojimas „Linux“
Šiame vadove bus bandoma paaiškinti, kaip naudotis „iptables“ linux sistemoje lengvai suprantama kalba.
Turinys[paslėpti]
|
Apžvalga
„Iptables“ yra taisyklėmis pagrįsta užkarda, kuri apdoros kiekvieną taisyklę, kol bus nustatyta, kuri atitinka.
Todo: įtraukite pavyzdį čia
Naudojimas
„Iptables“ įrankis paprastai yra iš anksto įdiegtas jūsų „Linux“ platinimo sistemoje, bet iš tikrųjų neveikia jokių taisyklių. Naudingumą rasite čia:
/ sbin / iptables
Vieno IP adreso blokavimas
Galite blokuoti IP naudodami -s parametrą, pakeičiant 10.10.10.10 adresą, kurį bandote blokuoti. Šiame pavyzdyje pažymėsite, kad mes naudojome -I parametrą (arba -įvesti darbus), o ne priedą, nes norime įsitikinti, kad ši taisyklė pasirodo pirma, prieš bet kurias leidimo taisykles.
/ sbin / iptables -I INPUT -s 10.10.10.10 -j DROP
Viso srauto leidimas iš IP adreso
Galite pakaitomis leisti visą srautą iš IP adreso, naudodami tą pačią komandą kaip ir anksčiau, tačiau pakeičiant DROP su ACCEPT. Turite įsitikinti, kad ši taisyklė pasirodo pirma, prieš bet kokias DROP taisykles.
/ sbin / iptables -A INPUT-S 10.10.10.10 -j ACCEPT
Porto blokavimas iš visų adresų
Naudodami „-port“ jungiklį ir pridedant norimos blokuoti paslaugos prievadą, galite visiškai užblokuoti uostą. Šiame pavyzdyje blokuosime „MySQL“ prievadą:
/ sbin / iptables -A INPUT -p tcp - importas 3306 -j DROP
Leidimas vienam uostui iš vieno IP
„S“ komandą galite pridėti kartu su komanda „-dport“, kad taisyklę būtų galima apriboti konkrečiu prievadu:
/ sbin / iptables -A INPUT -p tcp -s 10.10.10.10 - importas 3306 -j ACCEPT
Dabartinių taisyklių peržiūra
Esamas taisykles galite peržiūrėti naudodami šią komandą:
/ sbin / iptables -L
Tai turėtų suteikti jums panašų rezultatą:
Grandinėlė INPUT (politika ACCEPT) tikslinė prot opt šaltinio paskirties ACCEPT all - 192.168.1.1/24 bet kur ACCEPT visi - 10.10.10.0/24 bet kur DROP tcp - bet kur tcp dpt: ssh DROP tcp - bet kur tcp dpt: mysql
Žinoma, faktinė produkcija bus šiek tiek ilgesnė.
Dabartinių taisyklių išvalymas
Jūs galite išvalyti visas esamas taisykles, naudodami skalavimo parametrą. Tai labai naudinga, jei reikia nustatyti taisykles teisinga tvarka arba bandant.
/ sbin / iptables - praplaukite
Specifinis paskirstymas
Nors dauguma „Linux“ platinimo būdų apima „iptables“ formą, kai kurie iš jų taip pat apima įvynioklius, kurie palengvina valdymą. Dažniausiai šie „priedai“ yra „init“ scenarijai, kurie rūpinasi „iptables“ inicijavimu paleidimo metu, nors kai kuriuose platinimuose taip pat yra pilnos pakuotės programos, kurios bando supaprastinti bendrą atvejį.
Gentoo
The iptables „Gentoo“ „init“ scenarijus gali tvarkyti daugelį bendrų scenarijų. Pradedantiesiems leidžia konfigūruoti „iptables“ įkelti įkrovos metu (paprastai tai, ko norite):
rc-update pridėti iptables numatytąjį
Naudojant „init“ scenarijų, galima įkelti ir išvalyti užkardą lengvai atsimenama komanda:
/etc/init.d/iptables paleisti /etc/init.d/iptables sustabdyti
Pradinis scenarijus tvarko išsamią informaciją apie dabartinės ugniasienės konfigūracijos paleidimą / sustabdymą. Taigi, jūsų užkarda visada yra toje būsenoje, kurią palikote. Jei reikia rankiniu būdu išsaugoti naują taisyklę, pradinis scenarijus taip pat gali tai apdoroti:
/etc/init.d/iptables išsaugoti
Be to, galite atkurti ugniasienę į ankstesnę išsaugotą būseną (tais atvejais, kai eksperimentavote su taisyklėmis ir dabar norite atkurti ankstesnę darbo konfigūraciją):
/etc/init.d/iptables įkraunama iš naujo
Galiausiai, „init“ scenarijus gali įdėti „iptables“ į „panikos“ režimą, kuriame užblokuotas visas gaunamas ir išeinantis srautas. Nežinau, kodėl šis režimas yra naudingas, bet atrodo, kad visos „Linux“ užkardos.
/etc/init.d/iptables panika
Įspėjimas: Nenaudokite panikos režimo, jei esate prisijungę prie serverio per SSH; tu valia atjungti! Vienintelis laikas, kai turėtumėte iptables į panikos režimą, yra tuo metu, kai esate fiziškai priešais kompiuterį.
