באמצעות Iptables על לינוקס
מדריך זה ינסה להסביר כיצד להשתמש iptables על לינוקס קל להבין שפה.
תוכן[להתחבא]
|
סקירה כללית
Iptables הוא חומת אש המבוססת על כללים, אשר יעבד כל חוק לפי הסדר עד שימצא אחד שמתאים.
Todo: יש כאן דוגמה
שימוש
השירות iptables הוא בדרך כלל מותקן מראש על הפצה לינוקס שלך, אבל לא ממש פועל כל הכללים. תוכלו למצוא את כלי השירות כאן על רוב ההפצות:
/ sbin / iptables
חסימת כתובת IP יחידה
באפשרותך לחסום כתובת IP באמצעות הפרמטר -s, במקום 10.10.10.10 עם הכתובת שאתה מנסה לחסום. שים לב בדוגמה זו שהשתמשנו בפרמטר -I (או גם ב- insert) במקום בתוספת, מכיוון שאנו רוצים לוודא שהכלל הזה מופיע תחילה, לפני כל כללי ההיתר.
/ sbin / iptables -I INPUT-s 10.10.10.10-D DROP
מאפשר לכל תנועה מכתובת IP
אתה יכול לחלופין לאפשר את כל התנועה מכתובת IP באמצעות אותו פקודה כמו לעיל, אבל החלפת DROP עם ACCEPT. עליך לוודא שכלל זה מופיע תחילה, לפני כל כללי DROP.
/ sbin / iptables-INPUT -s 10.10.10.10 -ההנחה
חסימת נמל מכל הכתובות
באפשרותך לחסום יציאה לחלוטין מלגשת אליה דרך הרשת באמצעות מתג -Dport והוספת היציאה של השירות שברצונך לחסום. בדוגמה זו, נחסום את יציאת mysql:
/ sbin / iptables-INPUT -P tCP - dport 3306-DROP
מאפשר יציאה בודדת מ IP יחיד
באפשרותך להוסיף את הפקודה -s יחד עם הפקודה dport כדי להגביל עוד יותר את הכלל ליציאה מסוימת:
/ sbin / iptables-INPUT -p tcp-s 10.10.10.10 - דפורט 3306 -JCEPT
הצגת הכללים הנוכחיים
באפשרותך להציג את הכללים הנוכחיים באמצעות הפקודה הבאה:
/ sbin / iptables -L
זה אמור לתת לך פלט דומה לזה:
(ACPPT) יעד היעד היעד המקור optce הכל - 192.168.1.1/24 מקום ACCEPT כל 10.10.10.0/24 מקום DROP tcp - בכל מקום בכל מקום TCP DPT: SSH DROP tcp - בכל מקום בכל מקום dcpt: MySQL
הפלט בפועל יהיה קצת יותר, כמובן.
ניקוי הכללים הנוכחיים
ניתן לנקות את כל הכללים הנוכחיים באמצעות פרמטר השטיפה. זה מאוד שימושי אם אתה צריך לשים את הכללים בסדר הנכון, או כאשר אתה בודק.
/ sbin / iptables - פלאש
הפצה ספציפית
בעוד רוב הפצות לינוקס כוללים צורה של iptables, חלקם כוללים גם עטיפות שהופכות את הניהול קצת יותר קל. לרוב אלה "addons" לקחת את הטופס של scripts init אשר מטפלים באתחול iptables על ההפעלה, אם כי כמה הפצות כוללות גם יישומים עטיפה מלא blown אשר מנסים לפשט את המקרה המשותף.
ג'נטו
ה iptables script על ג'נטו מסוגל לטפל בתרחישים נפוצים רבים. בתור התחלה, זה מאפשר לך להגדיר iptables לטעון על ההפעלה (בדרך כלל מה שאתה רוצה):
rc- עדכון להוסיף iptables ברירת המחדל
באמצעות script init, ניתן לטעון ולמחוק את חומת האש עם פקודה קלה לזכור:
/etc/init.d/iptables start /etc/init.d/iptables stop
התסריט init מטפל בפרטים של המשך תצורת חומת האש הנוכחית שלך על Start / stop. לכן, חומת האש שלך תמיד במצב שבו עזבת את זה. אם עליך לשמור באופן ידני כלל חדש, script ה- init יכול לטפל גם כן:
/etc/init.d/iptables שמור
בנוסף, תוכל לשחזר את חומת האש למצב שמור קודם (עבור המקרה שבו ניסית את הכללים ועכשיו ברצונך לשחזר את תצורת העבודה הקודמת):
/etc/init.d/iptables טען מחדש
לבסוף, התסריט init יכול לשים iptables למצב "פאניקה", שבו כל תנועה נכנסת ויוצאת חסומה. אני לא בטוח למה זה מצב שימושי, אבל כל חומת האש של לינוקס נראה שיש את זה.
/etc/init.d/iptables פאניקה
אזהרה: אל תפעיל את מצב הפאניקה אם אתה מחובר לשרת באמצעות SSH; אתה רצון להיות מנותק! הפעם היחידה שאתה צריך לשים iptables למצב פאניקה הוא בזמן שאתה פיזית מול המחשב.
