Startpagina » hoe » Iptables gebruiken op Linux

    Iptables gebruiken op Linux

    Deze gids zal proberen uit te leggen hoe iptables op linux te gebruiken in een eenvoudig te begrijpen taal.

    Inhoud

    [verbergen]

    • 1. Overzicht
    • 2 Gebruik
      • 2.1 Een enkel IP-adres blokkeren
      • 2.2 Alle verkeer toestaan ​​vanaf een IP-adres
      • 2.3 Een poort blokkeren vanuit alle adressen
      • 2.4 Een enkele poort vanaf één IP toestaan
      • 2.5 De ​​huidige regels bekijken
      • 2.6 De huidige regels wissen
    • 3 Distribution-Specific
      • 3.1 Gentoo

    Overzicht

    Iptables is een op regels gebaseerde firewall, die elke regel in de juiste volgorde verwerkt totdat deze een regel vindt die overeenkomt.

    Todo: hier een voorbeeld opnemen

    Gebruik

    Het iptables-hulpprogramma is meestal vooraf geïnstalleerd op uw linux-distributie, maar voert eigenlijk geen regels uit. Je vindt het hulpprogramma hier op de meeste distributies:

    / Sbin / iptables

    Een enkel IP-adres blokkeren

    U kunt een IP blokkeren door de parameter -s te gebruiken en 10.10.10.10 te vervangen door het adres dat u probeert te blokkeren. In dit voorbeeld merk je op dat we de parameter -I (of -insert werkt ook) hebben gebruikt in plaats van de append, omdat we willen zorgen dat deze regel eerst wordt weergegeven, voordat regels worden toegestaan.

    / sbin / iptables -I INPUT -s 10.10.10.10 -j DROP

    Alle verkeer toestaan ​​vanaf een IP-adres

    U kunt afwisselend al het verkeer vanaf een IP-adres toestaan ​​door dezelfde opdracht te gebruiken als hierboven, maar DROP te vervangen door ACCEPT. U moet ervoor zorgen dat deze regel eerst wordt weergegeven, vóór eventuele DROP-regels.

    / sbin / iptables -A INPUT -s 10.10.10.10 -j ACCEPT

    Blokkering van een poort van alle adressen

    U kunt een poort volledig blokkeren voor toegang via het netwerk met behulp van de schakeloptie -dport en de poort toevoegen van de service die u wilt blokkeren. In dit voorbeeld blokkeren we de mysql-poort:

    / sbin / iptables -A INPUT -p tcp --dport 3306 -j DROP

    Een enkele poort toestaan ​​vanaf één IP

    U kunt de opdracht -s samen met de opdracht -dport toevoegen om de regel verder te beperken tot een specifieke poort:

    / sbin / iptables -A INPUT -p tcp -s 10.10.10.10 --dport 3306 -j ACCEPT

    De huidige regels bekijken

    U kunt de huidige regels bekijken met behulp van de volgende opdracht:

    / sbin / iptables -L

    Dit zou u een uitvoer moeten geven die lijkt op het volgende:

    Keten INPUT (beleid ACCEPT) doel prot opt ​​bronbestemming ACCEPT alles - 192.168.1.1/24 overal ACCEPT alles - 10.10.10.0/24 overal DROP tcp - overal waar tcp dpt: ssh DROP tcp - overal en overal tcp dpt: mysql

    De daadwerkelijke uitvoer zal natuurlijk een beetje langer zijn.

    De huidige regels wissen

    U kunt alle huidige regels wissen door de spoelparameter te gebruiken. Dit is erg handig als u de regels in de juiste volgorde of tijdens het testen moet zetten.

    / sbin / iptables --flush

    Distributie-Specific

    Hoewel de meeste Linux-distributies een vorm van iptables bevatten, bevatten sommige ook wrappers die het beheer een beetje gemakkelijker maken. Meestal hebben deze "addons" de vorm van init-scripts die zorgen voor initialisatie van iptables bij het opstarten, hoewel sommige distributies ook volledige wraptoepassingen omvatten die proberen het algemene geval te vereenvoudigen.

    Gentoo

    De iptables init script op Gentoo is geschikt voor veel voorkomende scenario's. Om te beginnen, kunt u iptables configureren om te laden bij opstarten (meestal wat u wilt):

    rc-update add iptables standaard

    Met behulp van het init-script is het mogelijk om de firewall te laden en te wissen met een gemakkelijk te onthouden opdracht:

    /etc/init.d/iptables start /etc/init.d/iptables stop

    Het init-script verwerkt de details van het volhouden van uw huidige firewallconfiguratie bij starten / stoppen. Uw firewall bevindt zich dus altijd in de staat waarin u hem hebt achtergelaten. Als u een nieuwe regel handmatig moet opslaan, kan het init-script dit ook aan:

    /etc/init.d/iptables opslaan

    Bovendien kunt u uw firewall herstellen naar de vorige opgeslagen staat (voor het geval dat u experimenteerde met regels en nu de vorige werkconfiguratie wilt herstellen):

    /etc/init.d/iptables herladen

    Ten slotte kan het init-script iptables in een "paniek" -modus plaatsen, waar al het inkomende en uitgaande verkeer wordt geblokkeerd. Ik weet niet zeker waarom deze modus nuttig is, maar alle Linux-firewalls lijken het te hebben.

    /etc/init.d/iptables paniek

    Waarschuwing: Start de paniekmodus niet als u via SSH bent verbonden met uw server; u zullen ontkoppeld zijn! De enige keer dat u iptables in de paniekmodus plaatst, is terwijl u bent fysiek voor de computer.