IPT-taulukoiden (Linux-palomuuri) perusvihjeitä/komentoja
Tämä opetusohjelma opastaa, kuinka palomuuri toimii Linux-käyttöjärjestelmässä ja mikä on IPTable Linuxissa? Palomuuri päättää järjestelmään saapuvien ja lähtevien pakettien kohtalon. IPTables on sääntöihin perustuva palomuuri, ja se on esiasennettu useimpiin Linux-käyttöjärjestelmiin. Oletuksena se toimii ilman sääntöjä. IPTables sisällytettiin Kernel 2.4: een, ennen kuin sitä kutsuttiin ipchainsiksi tai ipfwadmiksi. IPTables on etupäätyökalu keskustelemaan ytimen kanssa ja päättää paketit suodatettavaksi. Tämä opas voi auttaa sinua karkeasti käsittelemään ja käsittelemään IPTable-taulukoita, joissa aiomme kuvata käytännön iptables-sääntöjä, joita voit viitata ja räätälöidä tarpeidesi mukaan.
Eri protokollia varten käytetään erilaisia palveluita:
- iptables koskee IPv4: ää.
- ip6taulukot koskevat IPv6: ta.
- arptables koskee ARP: tä.
- ebtable-taulukot koskevat Ethernet-kehyksiä.
IPTables-päätiedostot ovat:
- /etc/init.d/iptables - init-komento aloittaa | stop | käynnistä uudelleen ja tallenna sääntöjoukot.
- /etc/sysconfig/iptables - mihin säännöt tallennetaan.
- /sbin/iptables - binaarinen.
Tällä hetkellä on kolme taulukkoa.
- Suodata
- NAT
- Mangle
Tällä hetkellä ketjuja on kaikkiaan neljä:
- INPUT: Oletusketju, joka on peräisin järjestelmästä.
- OUTPUT: Oletusketju, joka generoidaan järjestelmästä.
- ETEEN: Oletusketjupaketit lähetetään toisen käyttöliittymän kautta.
- RH-palomuuri-1-INPUT: Käyttäjän määrittelemä mukautettu ketju.
Huomaa: Päätiedostojen yläpuolella voi olla hieman eroja Ubuntu Linuxissa.
Kuinka käynnistää, pysäyttää ja käynnistää Iptabe-palomuuri uudelleen.
# /etc/init.d/iptables start # /etc/init.d/iptables stop # /etc/init.d/iptables restart
Käynnistä IPTables järjestelmän käynnistyessä seuraavalla komennolla.
#chkconfig --level 345 iptables on
IPTables-sääntöjoukkojen tallentaminen alla olevalla komennolla. Aina kun järjestelmä uudelleenkäynnistää ja käynnistää IPTables-palvelun uudelleen, poistuvat säännöt nollautuvat tai nollautuvat. Komennon Tallenna TPTables -sääntöjoukot oletusarvoisesti tiedostossa/etc/sysconfig/iptables ja sääntöjä käytetään tai palautetaan, jos IPTable-levyt huuhtoutuvat.
#service iptables save
IPT-taulukoiden/palomuurin tilan tarkistaminen. Vaihtoehdot “-L” (Luettelosääntöjoukko), “-v” (Verbose) ja “-n” (Näyttää numeerisessa muodossa).
iptables -L -n -v Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 6 396 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT 5 packets, 588 bytes) pkts bytes target prot opt in out source destination
Näytä IPTables-säännöt numeroilla. Argumentin ”–linjanumerot” avulla voit lisätä tai poistaa sääntöjä.
iptables -n -L -v --line-numbers Chain INPUT (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination 1 51 4080 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 2 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 3 0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 4 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 5 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination 1 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT 45 packets, 5384 bytes) num pkts bytes target prot opt in out source destination
IPTable-sääntöjen tyhjentäminen tai poistaminen. Alla oleva komento poistaa kaikki säännöt taulukoista. Ota sääntöjoukkojen varmuuskopio ennen yllä olevan komennon suorittamista.
iptables -F
Poistetaan tai lisätään sääntöjä, katsotaan ensin säännöt ketjuina. Alla olevien komentojen tulee näyttää sääntöjoukot INPUT- ja OUTPUT-ketjuissa sääntöjen numeroilla, jotka auttavat meitä lisäämään tai poistamaan sääntöjä
iptables -L INPUT -n --line-numbers Chain INPUT (policy ACCEPT) num target prot opt source destination 1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 5 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
iptables -L OUTPUT -n --line-numbers Chain OUTPUT (policy ACCEPT) num target prot opt source destination
Oletetaan, että haluat poistaa säännön nro 5 INPUT-ketjusta. Käytä seuraavaa komentoa.
iptables -D INPUT 5
Lisätään tai lisätään sääntö INPUT-ketjuun 4–5 sääntöjoukon välillä.
iptables -I INPUT 5 -s ipaddress -j DROP
Olemme juuri yrittäneet kattaa aloittelijoille tarkoitettujen IPT-taulukoiden peruskäytännöt ja toiminnot. Voit luoda monimutkaisia sääntöjä, kun olet ymmärtänyt täysin TCP/IP: n ja tuntenut asetukset oikein.