IPT-taulukoiden (Linux-palomuuri) perusvihjeitä/komentoja

Tämä opetusohjelma opastaa, kuinka palomuuri toimii Linux-käyttöjärjestelmässä ja mikä on IPTable Linuxissa? Palomuuri päättää järjestelmään saapuvien ja lähtevien pakettien kohtalon. IPTables on sääntöihin perustuva palomuuri, ja se on esiasennettu useimpiin Linux-käyttöjärjestelmiin. Oletuksena se toimii ilman sääntöjä. IPTables sisällytettiin Kernel 2.4: een, ennen kuin sitä kutsuttiin ipchainsiksi tai ipfwadmiksi. IPTables on etupäätyökalu keskustelemaan ytimen kanssa ja päättää paketit suodatettavaksi. Tämä opas voi auttaa sinua karkeasti käsittelemään ja käsittelemään IPTable-taulukoita, joissa aiomme kuvata käytännön iptables-sääntöjä, joita voit viitata ja räätälöidä tarpeidesi mukaan.

Eri protokollia varten käytetään erilaisia palveluita:

iptables koskee IPv4: ää.
ip6taulukot koskevat IPv6: ta.
arptables koskee ARP: tä.
ebtable-taulukot koskevat Ethernet-kehyksiä.

IPTables-päätiedostot ovat:

/etc/init.d/iptables - init-komento aloittaa | stop | käynnistä uudelleen ja tallenna sääntöjoukot.
/etc/sysconfig/iptables - mihin säännöt tallennetaan.
/sbin/iptables - binaarinen.

Tällä hetkellä on kolme taulukkoa.

Suodata
NAT
Mangle

Tällä hetkellä ketjuja on kaikkiaan neljä:

INPUT: Oletusketju, joka on peräisin järjestelmästä.
OUTPUT: Oletusketju, joka generoidaan järjestelmästä.
ETEEN: Oletusketjupaketit lähetetään toisen käyttöliittymän kautta.
RH-palomuuri-1-INPUT: Käyttäjän määrittelemä mukautettu ketju.

Huomaa: Päätiedostojen yläpuolella voi olla hieman eroja Ubuntu Linuxissa.

Kuinka käynnistää, pysäyttää ja käynnistää Iptabe-palomuuri uudelleen.

# /etc/init.d/iptables start 
# /etc/init.d/iptables stop
# /etc/init.d/iptables restart

Käynnistä IPTables järjestelmän käynnistyessä seuraavalla komennolla.

#chkconfig --level 345 iptables on

IPTables-sääntöjoukkojen tallentaminen alla olevalla komennolla. Aina kun järjestelmä uudelleenkäynnistää ja käynnistää IPTables-palvelun uudelleen, poistuvat säännöt nollautuvat tai nollautuvat. Komennon Tallenna TPTables -sääntöjoukot oletusarvoisesti tiedostossa/etc/sysconfig/iptables ja sääntöjä käytetään tai palautetaan, jos IPTable-levyt huuhtoutuvat.

#service iptables save

IPT-taulukoiden/palomuurin tilan tarkistaminen. Vaihtoehdot “-L” (Luettelosääntöjoukko), “-v” (Verbose) ja “-n” (Näyttää numeerisessa muodossa).

 iptables -L -n -v

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    6   396 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 5 packets, 588 bytes)
 pkts bytes target     prot opt in     out     source               destination

Näytä IPTables-säännöt numeroilla. Argumentin ”–linjanumerot” avulla voit lisätä tai poistaa sääntöjä.

 iptables -n -L -v --line-numbers

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1       51  4080 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
3        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
4        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
5        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 45 packets, 5384 bytes)
num   pkts bytes target     prot opt in     out     source               destination

IPTable-sääntöjen tyhjentäminen tai poistaminen. Alla oleva komento poistaa kaikki säännöt taulukoista. Ota sääntöjoukkojen varmuuskopio ennen yllä olevan komennon suorittamista.

 iptables -F

Poistetaan tai lisätään sääntöjä, katsotaan ensin säännöt ketjuina. Alla olevien komentojen tulee näyttää sääntöjoukot INPUT- ja OUTPUT-ketjuissa sääntöjen numeroilla, jotka auttavat meitä lisäämään tai poistamaan sääntöjä

 iptables -L INPUT -n --line-numbers

Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
3    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
4    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
5    REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

 iptables -L OUTPUT -n --line-numbers
Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

Oletetaan, että haluat poistaa säännön nro 5 INPUT-ketjusta. Käytä seuraavaa komentoa.

 iptables -D INPUT 5

Lisätään tai lisätään sääntö INPUT-ketjuun 4–5 sääntöjoukon välillä.

 iptables -I INPUT 5 -s ipaddress -j DROP

Olemme juuri yrittäneet kattaa aloittelijoille tarkoitettujen IPT-taulukoiden peruskäytännöt ja toiminnot. Voit luoda monimutkaisia sääntöjä, kun olet ymmärtänyt täysin TCP/IP: n ja tuntenut asetukset oikein.