Grundlæggende vejledning om IPTables (Linux Firewall) Tips/kommandoer
Denne vejledning guider dig, hvordan firewall fungerer i Linux-operativsystemet, og hvad er IPTables i Linux? Firewall bestemmer skæbnen for pakker, der kommer ind og ud i systemet. IPTables er en regelbaseret firewall, og den er forudinstalleret på det meste af Linux-operativsystemet. Som standard kører det uden nogen regler. IPTables var inkluderet i Kernel 2.4, før det blev kaldt ipchains eller ipfwadm. IPTables er et frontend-værktøj til at tale med kernen og beslutter, at pakkerne skal filtreres. Denne vejledning kan hjælpe dig med grove idéer og grundlæggende kommandoer for IPTables, hvor vi vil beskrive praktiske iptables-regler, som du kan henvise til og tilpasse efter dit behov.
Forskellige tjenester bruges til forskellige protokoller som:
- iptables gælder for IPv4.
- ip6tables gælder for IPv6.
- arptables gælder for ARP.
- ebtables gælder for Ethernet-rammer ..
IPTables hovedfiler er:
- /etc/init.d/iptables - init-script til start | stop | genstart og gem regelsæt.
- /etc/sysconfig/iptables - hvor regelsæt gemmes.
- /sbin/iptables - binær.
Der er i øjeblikket tre tabeller.
- Filter
- NAT
- Mangle
På nuværende tidspunkt er der i alt fire kæder:
- INPUT: Standardkæde, der stammer fra systemet.
- OUTPUT: Standardkæde, der genereres fra systemet.
- VIDERE: Standardkædepakker sendes via en anden grænseflade.
- RH-Firewall-1-INPUT: Den brugerdefinerede brugerdefinerede kæde.
Bemærk: Ovenfor hovedfiler kan variere lidt i Ubuntu Linux.
Sådan starter, stopper og genstarter Iptabe Firewall.
# /etc/init.d/iptables start # /etc/init.d/iptables stop # /etc/init.d/iptables restart
Brug følgende kommando for at starte IPTables ved systemstart.
#chkconfig --level 345 iptables on
Gemme IPTables-regelsæt med nedenstående kommando. Hver gang systemet genstartede og genstartede IPTables-tjenesten, blev de eksisterende regler skyllet ud eller nulstillet. Under kommandoen gemmes TPTables-regelsæt i/etc/sysconfig/iptables-filen som standard, og regler anvendes eller gendannes, hvis IPTables skylles ud.
#service iptables save
Kontrol af status for IPTables/Firewall. Valgmuligheder “-L” (Listeregelsæt), “-v” (detaljeret) og “-n” (vises i numerisk format).
iptables -L -n -v Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 6 396 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT 5 packets, 588 bytes) pkts bytes target prot opt in out source destination
Vis IPTables-regler med tal. Ved hjælp af argumentet ”–line-numre” kan du tilføje eller fjerne regler.
iptables -n -L -v --line-numbers Chain INPUT (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination 1 51 4080 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 2 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 3 0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 4 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 5 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination 1 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT 45 packets, 5384 bytes) num pkts bytes target prot opt in out source destination
Skylning eller sletning af IPTables-regler. Kommandoen nedenfor fjerner alle regler fra tabeller. Tag sikkerhedskopiering af regelsæt, før du udfører ovenstående kommando.
iptables -F
Sletning eller tilføjelse af regler, lad os først se reglerne i kæder. Nedenstående kommandoer skal vise regelsæt i INPUT- og OUTPUT-kæder med regelnumre, som hjælper os med at tilføje eller slette regler
iptables -L INPUT -n --line-numbers Chain INPUT (policy ACCEPT) num target prot opt source destination 1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 5 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
iptables -L OUTPUT -n --line-numbers Chain OUTPUT (policy ACCEPT) num target prot opt source destination
Lad os sige, hvis du vil slette regel nr. 5 fra INPUT-kæden. Brug følgende kommando.
iptables -D INPUT 5
For at indsætte eller tilføje en regel til INPUT-kæden mellem 4 og 5 regelsæt.
iptables -I INPUT 5 -s ipaddress -j DROP
Vi har lige forsøgt at dække grundlæggende anvendelser og funktioner i IPTables til nybegyndere. Du kan oprette komplekse regler, når du har fuldstændig forståelse af TCP/IP og god viden om din opsætning.