Grundlæggende vejledning om IPTables (Linux Firewall) Tips/kommandoer

Denne vejledning guider dig, hvordan firewall fungerer i Linux-operativsystemet, og hvad er IPTables i Linux? Firewall bestemmer skæbnen for pakker, der kommer ind og ud i systemet. IPTables er en regelbaseret firewall, og den er forudinstalleret på det meste af Linux-operativsystemet. Som standard kører det uden nogen regler. IPTables var inkluderet i Kernel 2.4, før det blev kaldt ipchains eller ipfwadm. IPTables er et frontend-værktøj til at tale med kernen og beslutter, at pakkerne skal filtreres. Denne vejledning kan hjælpe dig med grove idéer og grundlæggende kommandoer for IPTables, hvor vi vil beskrive praktiske iptables-regler, som du kan henvise til og tilpasse efter dit behov.

Forskellige tjenester bruges til forskellige protokoller som:

  1. iptables gælder for IPv4.
  2. ip6tables gælder for IPv6.
  3. arptables gælder for ARP.
  4. ebtables gælder for Ethernet-rammer ..

IPTables hovedfiler er:

  1. /etc/init.d/iptables - init-script til start | stop | genstart og gem regelsæt.
  2. /etc/sysconfig/iptables - hvor regelsæt gemmes.
  3. /sbin/iptables - binær.

Der er i øjeblikket tre tabeller.

  • Filter
  • NAT
  • Mangle

På nuværende tidspunkt er der i alt fire kæder:

  1. INPUT: Standardkæde, der stammer fra systemet.
  2. OUTPUT: Standardkæde, der genereres fra systemet.
  3. VIDERE: Standardkædepakker sendes via en anden grænseflade.
  4. RH-Firewall-1-INPUT: Den brugerdefinerede brugerdefinerede kæde.

Bemærk: Ovenfor hovedfiler kan variere lidt i Ubuntu Linux.

Sådan starter, stopper og genstarter Iptabe Firewall.

# /etc/init.d/iptables start 
# /etc/init.d/iptables stop
# /etc/init.d/iptables restart

Brug følgende kommando for at starte IPTables ved systemstart.

#chkconfig --level 345 iptables on

Gemme IPTables-regelsæt med nedenstående kommando. Hver gang systemet genstartede og genstartede IPTables-tjenesten, blev de eksisterende regler skyllet ud eller nulstillet. Under kommandoen gemmes TPTables-regelsæt i/etc/sysconfig/iptables-filen som standard, og regler anvendes eller gendannes, hvis IPTables skylles ud.

#service iptables save

Kontrol af status for IPTables/Firewall. Valgmuligheder “-L” (Listeregelsæt), “-v” (detaljeret) og “-n” (vises i numerisk format).

 iptables -L -n -v

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    6   396 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 5 packets, 588 bytes)
 pkts bytes target     prot opt in     out     source               destination

Vis IPTables-regler med tal. Ved hjælp af argumentet ”–line-numre” kan du tilføje eller fjerne regler.

 iptables -n -L -v --line-numbers

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1       51  4080 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
3        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
4        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
5        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 45 packets, 5384 bytes)
num   pkts bytes target     prot opt in     out     source               destination

Skylning eller sletning af IPTables-regler. Kommandoen nedenfor fjerner alle regler fra tabeller. Tag sikkerhedskopiering af regelsæt, før du udfører ovenstående kommando.

 iptables -F

Sletning eller tilføjelse af regler, lad os først se reglerne i kæder. Nedenstående kommandoer skal vise regelsæt i INPUT- og OUTPUT-kæder med regelnumre, som hjælper os med at tilføje eller slette regler

 iptables -L INPUT -n --line-numbers

Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
3    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
4    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
5    REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited
 iptables -L OUTPUT -n --line-numbers
Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

Lad os sige, hvis du vil slette regel nr. 5 fra INPUT-kæden. Brug følgende kommando.

 iptables -D INPUT 5

For at indsætte eller tilføje en regel til INPUT-kæden mellem 4 og 5 regelsæt.

 iptables -I INPUT 5 -s ipaddress -j DROP

Vi har lige forsøgt at dække grundlæggende anvendelser og funktioner i IPTables til nybegyndere. Du kan oprette komplekse regler, når du har fuldstændig forståelse af TCP/IP og god viden om din opsætning.