Si të konfiguroni telefonat inteligjentë dhe PC. Portali informativ
  • në shtëpi
  • Lajme
  • Konfigurimi i filtrit net duke përdorur iptables. Një grup minimal rregullash Iptables për detyrat tipike

Konfigurimi i filtrit net duke përdorur iptables. Një grup minimal rregullash Iptables për detyrat tipike

18.08.2019 Lajme

Detyra kryesore muri i zjarrit(firewall) filtrimi dhe përpunimi i paketave që kalojnë nëpër rrjet. Kur analizoni një paketë hyrëse, muri i zjarrit vendos fatin e kësaj pakete: hidhni paketën ( RËZË), pranoni paketën ( PRANOJ) ose bëni diçka tjetër me të.

V Linux firewall është një modul kernel i quajtur netfilter dhe është një grup grepash për të punuar me grupin e rrjetit. Ndërfaqja për modifikimin e rregullave me të cilat muri i zjarrit përpunon paketat është mjeti i dobishëm iptables për IPv4 dhe shërbime ip6 tabela për IPv6.

E gjithë puna e filtrimit të trafikut kryhet nga bërthama e sistemit. Iptables nuk është një demon dhe nuk krijon procese të reja në sistem. Aktivizo ose çaktivizoje iptables thjesht po dërgon një sinjal në kernel. Shpejtësia e lartë e filtrimit arrihet duke analizuar vetëm titujt e paketave.

Tek veçoritë kryesore iptables lidhen:

  • filtrimi i trafikut bazuar në adresat e dërguesit dhe marrësit të paketave, numrat e portave;
  • ridrejtimi i paketave sipas parametrave të caktuar;
  • organizimi i aksesit në rrjet (SNAT);
  • përcjellja e portit nga rrjeti global në rrjetin lokal (DNAT);
  • kufizimi i numrit të lidhjeve;
  • vendosja e kuotave të trafikut;
  • zbatimi i rregullave sipas orarit;

Le të shqyrtojmë procesin kryesor të punës iptables(burimi i imazhit rigacci.org).

Paketa hyrëse së pari arrin në pajisjen e rrjetit, pas së cilës kapet nga drejtuesi dhe transmetohet në kernel. Pas kësaj, paketa kalon nëpër një numër tabelash dhe vetëm atëherë ajo transmetohet në aplikacionin lokal ose ridrejtohet në një sistem tjetër, nëse është një paketë transit.

V iptables përdoren tre lloje tabelash:

  1. lëmsh- përdoret për të bërë ndryshime në kokën e paketës;
  2. nat- përdoret për të përkthyer adresat e rrjetit;
  3. filtër- për të filtruar trafikun;

Tavolinë e rrafshët

Qëllimi kryesor i tabelës lëmsh- duke bërë ndryshime në kokën e paketës. Në këtë tabelë mund të kryhen veprimet e mëposhtme:

  • vendosja e bitit të llojit të shërbimit;
  • vendosja e fushës Time To Live;
  • vendosja e një etikete në një paketë që mund të kontrollohet në rregulla të tjera;

Zinxhirët në tavolinë lëmsh:

  • PARAPROUTING- përdoret për të bërë ndryshime në paketat në hyrje të iptables, përpara se të vendosni për rrugëtimin;
  • POSTROUTING- përdoret për të bërë ndryshime në paketa në dalje nga iptables, pasi të vendoset për rrugëtimin;
  • HYRJE- përdoret për të bërë ndryshime në paketa përpara se ato të transferohen në aplikacionin lokal;
  • PRODHIM- përdoret për të modifikuar paketat që vijnë nga aplikacioni brenda iptables;
  • PËRPARA- përdoret për të bërë ndryshime në paketat tranzit;

Tabela Nat

Tabela përdoret për përkthimin e adresës së rrjetit dhe kur haset një paketë për të krijuar një lidhje të re. Në këtë tabelë mund të kryhen veprimet e mëposhtme:

  • DNAT (Përkthimi i adresës së rrjetit të destinacionit)- konvertimi i adresës së destinacionit në kokën e paketës;
  • SNAT (Përkthimi i adresës së rrjetit burimor)- ndryshimi i adresës së burimit të paketës;
  • MASKARADA- përdoret për të njëjtat qëllime si SNAT por ju lejon të punoni me adresa IP dinamike;

Zinxhirët në këtë tabelë:

  • PARAPROUTING- përdoret për të bërë ndryshime në pako në hyrje të iptables;
  • PRODHIM- përdoret për të përkthyer adresat në pako përpara rrugëtimit të mëtejshëm;
  • POSTROUTING- përdoret për konvertimin e paketave përpara dërgimit të tyre në rrjet;

Tabela e filtrit

Tabela përdoret për filtrimin e paketave. Ekzistojnë tre zinxhirë në këtë tabelë:

  1. HYRJE- zinxhir për paketat hyrëse;
  2. PËRPARA- zinxhir për paketat e përcjella (transit);
  3. PRODHIM- zinxhir për paketat dalëse;

Një paketë që kalon nëpër këto zinxhirë mund t'i nënshtrohet veprimeve: PRANOJ, RËZË, REFUZOJE, REGJISTRI.

Për ta përmbledhur, paketa e mbërritur kalon nëpër zinxhirin e rregullave. Çdo rregull përmban gjendje dhe qëllimi(veprim). Nëse paketa plotëson kushtin, atëherë ajo dërgohet në objektiv, përndryshe rregulli tjetër në zinxhir zbatohet në paketë. Nëse paketa nuk plotëson asnjë nga kushtet në zinxhir, atëherë veprimi i paracaktuar zbatohet për të.

Zinxhir tabela
filtër nat lëmsh
HYRJE + +
PËRPARA + +
PRODHIM + + +
PARAPROUTING + +
POSTROUTING + +

Shërbimi Iptables

Instalimi i iptables

# për Arch Linux yaourt -S iptables # Për Ubuntu sudo apt-get instaloni iptables

Duke ekzekutuar iptables

# nën Arch Linux sudo systemctl aktivizoni iptables sudo systemctl start iptables # Nën shërbimin sudo të Ubuntu nisin iptables

Rregullat e ruajtjes

# për Arch Linux sudo sh -c "iptables-save> /etc/iptables/iptables.rules" # për Ubuntu sudo sh -c "iptables-save> /etc/iptables.rules"

Rivendosja e rregullave nga një skedar

Iptables-rivendos< firewall-config

Çdo rregull në iptablesështë një linjë e veçantë e formuar sipas rregullave të caktuara dhe që përmban kritere dhe veprime. Në terma të përgjithshëm, rregulli ka formatin e mëposhtëm:

Komanda Iptables [-t table]

  • tabela t - specifikon emrin e tabelës për të cilën do të krijohet rregulli;
  • komanda - një komandë që përcakton një veprim iptables- shtoni një rregull, fshini një rregull, etj .;
  • përputhje - vendos kriteret e testimit me të cilat përcaktohet nëse një paketë i nënshtrohet rregullit apo jo;
  • objektivi / kërcimi - çfarë veprimi duhet të kryhet kur kriteri plotësohet;

Komandat e Iptables:

  • -A - shtoni një rregull në zinxhir, rregulli do të shtohet në fund të zinxhirit;
  • -D - hiqni rregullin nga zinxhiri;
  • -R - zëvendësoni një rregull me një tjetër;
  • -I - fut një rregull të ri në zinxhir;
  • -L - shfaq listën e rregullave në zinxhirin e specifikuar;
  • -F - pastron të gjitha rregullat në zinxhirin e specifikuar;
  • -Z - rivendosni të gjithë numëruesit në zinxhirin e specifikuar;
  • -N - krijoni një zinxhir të ri me emrin e specifikuar;
  • -X - fshini zinxhirin;
  • -P - vendos politikën e paracaktuar për zinxhirin;
  • -E - riemërtoni zinxhirin e përdoruesit;

Shembuj të komandave të Iptables

Paketat mund të filtrohen sipas parametrave të mëposhtëm:

Burimi i paketës

Opsioni -s përdoret për të filtruar sipas burimit. Për shembull, ne do të mohojmë të gjitha paketat hyrëse nga hosti 192.168.1.95:

Iptables -A INPUT -s 192.168.1.95 -j DROP

Ju mund të përdorni një emër domaini për të specifikuar adresën e hostit:

Iptables -A INPUT -s test.host.net -j DROP

Ju gjithashtu mund të specifikoni të gjithë për rrjetin:

Iptables -A INPUT -s 192.168.1.0/24 -j DROP

Mund të përdorni edhe mohimin (shenjën!). Për shembull, të gjitha paketat nga hostet përveç 192.168.1.96 do të fshihen:

Iptables -NJË HYRJE! -s 192.168.1.96 -j DROP

Lejo që trafiku të rrjedhë në localhost:

Iptables -A INPUT 1 -i lo -j PRANOJ

Regjistrimi i përpjekjeve për mashtrim me prefiksin "IP_SPOOF A:" dhe heqja e lidhjes

Iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j LOG --log-prefiksi "IP_SPOOF A:" iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP

Adresa e destinacionit

Për ta bërë këtë, duhet të përdorni opsionin -d. Për shembull, ne do t'i mohojmë të gjitha paketat dalëse te hosti 192.168.1.95:

Iptables -A OUTPUT -d 192.168.156.156 -j DROP

Refuzo qasjen në burim

Iptables -A OUTPUT -d vk.com -j REFUZOJ

Ashtu si në rastin e burimit të paketës, mund të përdorni adresat për rrjetet dhe emrat e domeneve. Mohimi gjithashtu funksionon.

Protokolli

Opsioni -p tregon protokollin. Mund të përdoret të gjitha, icmp, tcp, udp ose numrin e protokollit (nga / etj / protokollet).

Lejo kërkesat e jehonës hyrëse

Iptables -A INPUT -p icmp --icmp-lloj jehonë-kërkesë -j ACCEPT

Porta e burimit

Lejo të gjitha paketat dalëse nga porti 80:

Iptables -A INPUT -p tcp --sport 80 -j PRANOJ

Blloko të gjitha kërkesat hyrëse në portin 80:

Iptables -A INPUT -p tcp --dport 80 -j DROP

Për të specifikuar portin, duhet të specifikoni protokollin (tcp ose udp). Mund të përdoret mohimi.

Hap gamën e portit

Iptables -A INPUT -m gjendje --state NEW -m tcp -p tcp --dport 7000: 7010 -j ACCEPT

Porti i destinacionit

Lejo lidhjet HTTP

Iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp -i eth0 --dport 22 -j ACCEPT

Lejon marrjen e të dhënave nga serveri DHCP

Iptables -A INPUT -p UDP --dport 68 --sport 67 -j ACCEPT

  • Telekomanda shfrytëzimi i gabimeve të softuerit për ta bërë atë jofunksional;
  • Përmbytje- dërgimi i një numri të madh të paketave të pakuptimta në adresën e viktimës. Objektivi i përmbytjes mund të jetë një kanal komunikimi ose burime makinerie. Në rastin e parë, rryma e paketave merr të gjithë gjerësinë e brezit dhe nuk i jep makinës së sulmuar aftësinë për të përpunuar kërkesat legjitime. Në të dytin, burimet e makinës kapen duke përdorur thirrje të shumta dhe shumë të shpeshta për çdo shërbim që kryen një operacion kompleks dhe intensiv me burime. Kjo mund të jetë, për shembull, një thirrje e gjatë në një nga komponentët (skriptin) aktiv të serverit në internet. Serveri shpenzon të gjitha burimet e makinës në përpunimin e kërkesave të sulmuesit, dhe përdoruesit duhet të presin. Përmbytja mund të jetë e ndryshme: përmbytje ICMP, përmbytje SYN, përmbytje UDP dhe përmbytje HTTP

Mbledhja e informacionit në lidhje me lidhjet e rrjetit

Shikoni lidhjet e hapura

Netstat -ntu | awk "(print 5 $)" | prerë -d: -f1 | renditi | uniq -c | rendit -n

Numri i lidhjeve në portën 80

Netstat -na | grep ": 80 \" | wc -l

Deponimi i lidhjes TCP (në cilin domen shkojnë më shpesh kërkesat)

Domeni i portit Tcpdump -npi eth0

Vërshimet SYN mund të kontrollohen duke numëruar numrin e lidhjeve gjysmë të hapura TCP

Netstat -na | grep ": 80" | grep SYN_RCVD

Mbrojtje kundër llojeve të ndryshme të përmbytjeve.

Përmbytja e ICMP. Një metodë shumë primitive e bllokimit të gjerësisë së brezit dhe krijimit të ngarkesave në grupin e rrjetit përmes dërgimit monoton të kërkesave ICMP ECHO (ping). Ai zbulohet lehtësisht duke analizuar fluksin e trafikut në të dy drejtimet: gjatë një sulmi të përmbytjes ICMP, ato janë pothuajse identike. Një mënyrë pothuajse pa dhimbje e mbrojtjes absolute bazohet në çaktivizimin e përgjigjeve ndaj kërkesave të ICMP ECHO:

Sysctl net.ipv4.icmp_echo_ignore_all = 1

Ose duke përdorur iptabels:

Iptables -A INPUT -p icmp -j DROP --icmp-lloj 8

SYN përmbytje. Një nga mënyrat e zakonshme jo vetëm për të bllokuar kanalin e komunikimit, por edhe për të vendosur grupin e rrjetit të sistemit operativ në një gjendje ku nuk mund të pranojë më kërkesa për lidhje të reja. Bazuar në një përpjekje për të inicializuar një numër të madh lidhjesh të njëkohshme TCP duke dërguar një paketë SYN me një adresë kthimi që nuk ekziston. Pas disa përpjekjeve për të dërguar një paketë përgjigjeje ACK në një adresë të paarritshme, shumica e sistemeve operative do të vendosin në radhë lidhjen e parregulluar. Dhe vetëm pas përpjekjes së n-të lidhja mbyllet. Meqenëse fluksi i paketave ACK është shumë i madh, së shpejti radha mbushet dhe kerneli refuzon të përpiqet të hapë një lidhje të re. Bots më të zgjuar DoS gjithashtu analizojnë sistemin përpara fillimit të një sulmi në mënyrë që të dërgojnë kërkesa vetëm për të hapur portet vitale. Është e lehtë të identifikosh një sulm të tillë: thjesht përpiquni të lidheni me një nga shërbimet.

IPTables është një mjet i përdorur për të menaxhuar muret e zjarrit në Linux. Është një mjet i fuqishëm dhe i dobishëm për lidhjet e padëshiruara. I gjithë procesi është i mbështjellë në rregullat iptables, të cilat mund të modifikohen dhe shikohen. Për më shumë informacion, shihni artikullin.

Historia e krijimit

Përpara IPTables në Linux përdorën murin e zjarrit IPFW, të huazuar nga BSD. Më pas, me kernelin 2.4 Linux, ai erdhi me murin e zjarrit Netfilter dhe mjetin IPTables për ta menaxhuar atë. Në metodologjinë e punës së saj janë ruajtur të gjitha aspektet dhe janë zgjeruar paksa funksionalisht.

Struktura dhe struktura e IPT-tabelave

Kur një paketë hyn në murin e zjarrit, ajo kalon nëpër disa kontrolle. Kjo mund të jetë një kontroll ose ndonjë analizë tjetër e nivelit të kernelit. Pastaj është radha për të kaluar nëpër zinxhirin PREROUTING. Më pas, kontrollohet sipas të cilit ndodh ridrejtimi në zinxhirin tjetër. Nëse paketa nuk ka një adresë, si, për shembull, në TCP, atëherë ajo drejtohet në zinxhirin FORWARD. Në rastet kur ka një adresë specifike, vijon zinxhiri INPUT dhe më pas demonët ose shërbimet për të cilat është menduar. Përgjigja prej tyre duhet gjithashtu të kalojë nëpër disa zinxhirë, për shembull OUTPUT. Lidhja e fundit në këtë proces është zinxhiri POSTROUTING.

Tani pak për zinxhirët. Secila prej tyre përmban disa tabela. Emrat e tyre mund të përsëriten, por kjo nuk ndikon në asnjë mënyrë në punë, pasi ato nuk janë të ndërlidhura.

Tabelat, nga ana tjetër, përmbajnë disa rregulla. Në fakt, një rregull është një kusht i caktuar që duhet të plotësohet nga paketa që kontrollohet. Në varësi të rezultatit, një veprim i caktuar kryhet në paketë.

Kështu, duke kaluar nëpër të gjitha fazat e rrjetit, paketa viziton në mënyrë sekuenciale të gjithë zinxhirët dhe në secilin kontrollohet për pajtueshmërinë me kushtin e një rregulli të caktuar. Nëse tabela nuk gjenerohet nga përdoruesi, atëherë kryhet veprimi i paracaktuar, në thelb, është ACCEPT, i cili ju lejon të vazhdoni të lëvizni më tej, ose DROP, i cili ndalon paketën.

Zinxhirët e paracaktuar vijnë në kategoritë e mëposhtme:

  • PARAPROUTING... Përpunimi fillestar i të gjitha paketave hyrëse.
  • HYRJE... Këtu përfshihen ato paketa që dërgohen direkt në kompjuterin lokal.
  • PËRPARA... Përdoret për "paketat transit" që ndjekin tabelën e rrugëzimit.
  • PRODHIM... Përdoret për paketat dalëse.
  • POSTROUTING... Faza e fundit në kalimin e të gjithë zinxhirëve nga paketa dalëse.

Përveç zinxhirëve të integruar, përdoruesit mund të krijojnë ose fshijnë të tyret.

Shikimi dhe Menaxhimi i Rregullave të IPTables

Siç u përmend më herët, të gjithë zinxhirët përmbajnë kushte të caktuara për paketat. Shërbimi IPTables përdoret për të parë dhe menaxhuar rregullat e IPTables. Çdo rregull individual është një linjë me një sërë kushtesh për paketat, si dhe veprime mbi to, në varësi të rezultatit.

Formati i komandës duket si ky: iptables [-t emri i tabelës që përpunohet] komanda që thirret [kriteret] [veprimi që do të kryhet].

Çdo gjë që përmbahet mund të hiqet. Nëse ky është një parametër që specifikon një tabelë, atëherë do të përdoret filtri. Për të përdorur një emër specifik, duhet të shtoni çelësin -t. Komanda e thirrur ju lejon të thirrni veprimin e kërkuar, për shembull, të shtoni ose hiqni një rregull IPTables. "Kriteri" specifikon parametrat me të cilët do të bëhet përzgjedhja. Dhe te “aksioni” zbatohet veprimi, i cili duhet të kryhet nëse plotësohet kushti.

Komandat për krijimin dhe shikimin e rregullave të IPTables

  • Shtojca (-A). Kur përdorni komandën, ju specifikoni zinxhirin dhe tabelën në të cilën dëshironi të shtoni rregullin e kërkuar. Vlera e ekipit është se e bën atë në fund të të gjithë listës.
  • Fshij (-D). Siç nënkupton edhe emri, ai heq rregullin. Si parametra, mund të specifikoni emrin e plotë dhe numrat që u janë caktuar atyre.
  • Riemërto-zinxhiri (-E). Ndryshon emrin e zinxhirit. Komanda specifikon emrin e vjetër, pastaj emrin e ri.
  • Flush (-F). Pastrimi absolutisht i të gjitha rregullave të një tabele specifike.
  • Fut (-I). Kjo komandë fut rregullin e kërkuar në vendin e treguar nga numri.
  • Lista (- L). Shikimi i rregullave iptables. Nëse nuk specifikohet asnjë tabelë, atëherë do të përdoret filtri i paracaktuar.
  • Politika (-P). Përdoret politika e paracaktuar për zinxhirin e specifikuar.
  • Zëvendësoni (-R). Ndryshon rregullin nën numrin e specifikuar në atë të kërkuar.
  • Zinxhiri i fshirjes (-X). Kjo komandë fshin të gjithë zinxhirët e krijuar. Do të mbeten vetëm ato të para-instaluara.
  • Zero (-Z). Do të rivendosë numëruesit e të dhënave të transmetuara në zinxhirin e specifikuar.

Pak për parametrat e përzgjedhjes së paketës

Ato mund të ndahen përafërsisht në tre lloje:

  • Kriteret e përgjithshme... Ato mund të specifikohen për çdo rregull. Ata nuk kërkojnë lidhjen e shtesave dhe moduleve speciale, dhe gjithashtu nuk varen nga cili protokoll do të përdoret.
  • Jo kritere të përgjithshme. Ato vihen në dispozicion duke përdorur kritere të përgjithshme.
  • E qartë. Për të përdorur këtë lloj, duhet të lidhni shtojca speciale për netfilter. Përveç kësaj, komanda duhet të përdorë çelësin -m.

Vlen të flasim pak për parametrat e hasur shpesh të përdorur në analizën e paketave:

  • Protokolli (-p). Tregon protokollin.
  • Burimi (-s). Ky parametër përcakton adresën IP të burimit nga erdhi paketa. Mund të specifikohet në disa mënyra. Një host specifik, adresë ose një nënrrjet i tërë.
  • Destinacioni (-d). Adresa e destinacionit të paketës. Gjithashtu, si ai i mëparshmi, mund të përshkruhet në disa mënyra.
  • Ndërfaqja e brendshme (-i). Specifikon ndërfaqen hyrëse të paketës. Përdoret kryesisht për NAT ose në sisteme me ndërfaqe të shumta.
  • Ndërfaqja e jashtme (-o). Ndërfaqja dalëse.

Disa shembuj

Për të parë rregullat e IPTables nat? ju duhet të përdorni komandën - "iptables -L -t nat". Kontrolloni statusin e përgjithshëm të murit të zjarrit - "iptables -L -n -v". Përveç kësaj, kjo komandë ju lejon të shihni rregullat e IPTables që janë të disponueshme në të gjithë sistemin. Fusni një rregull në një vend të caktuar në tabelë, për shembull, midis rreshtit të parë dhe të dytë - "iptables -I INPUT 2 -s 202.54.1.2 -j DROP". Pastaj shikoni nëse është shtuar - "iptables -L INPUT -n --line-numbers".

Për të bllokuar një adresë specifike, për shembull 12.12.12.12 - "iptables -A INPUT -s 12.12.12.12 -j DROP".

Referenca e Iptables - "man iptables". Nëse keni nevojë për informacion mbi një komandë specifike - "iptables -j DROP -h".

Së fundi

Përdorni komandat IPTables me kujdes, pasi konfigurimi i gabuar (pa vetëdije) mund të çojë në dështime të rrjetit ose dështim të plotë. Prandaj, ia vlen të studioni manualet dhe udhëzimet në detaje përpara se të konfiguroni. Në duart e duhura, IPTables mund të shndërrohen në një mbrojtës të besueshëm të lidhjeve të rrjetit. Administratorët e sistemit përdorin në mënyrë aktive programin për të krijuar lidhje të izoluara nga aksesi i paautorizuar.

Parimi i vendosjes

Sintaksa e përgjithshme për përdorimin e iptables është:

iptables -t<таблица> <команда> <цепочка>[dhoma]<условие> <действие>

<таблица>

Rregullat e Netfilterit shpërndahen në 4 tabela, secila prej të cilave ka qëllimin e vet (më shumë detaje më poshtë). Specifikohet me tastin -t, por nëse ky parametër nuk specifikohet, veprimi do të kryhet për tabelën - filtrin e paracaktuar.

<команда>

Komandat tregojnë se çfarë lloj veprimi ne kryejmë në netfilter, për shembull, të krijojmë ose fshijmë një rregull.

<цепочка>

Çdo tabelë ka zinxhirë, për secilën prej të cilëve krijohen vetë rregullat. Për shembull, për tabelën e filtrit të mësipërm, ekzistojnë tre zinxhirë të paracaktuar - INPUT (paketat hyrëse), OUTPUT (dalëse) dhe FORWARD (transit).

[dhoma]

Disa komanda kërkojnë të specifikoni një numër rregulli, për shembull, për fshirje ose modifikim.

<условие>

Një kusht përshkruan kriteret për përpunimin e një rregulli të veçantë.

<действие>

Epo, në fakt, çfarë të bëjmë me paketën nëse i përshtatet kritereve të kushtit.

* Për të qenë të drejtë, vlen të theksohet se çelësi i veprimit nuk duhet të shkojë në fund. Thjesht ky format gjendet më shpesh në udhëzime dhe e bën më të lehtë leximin e rregullave.

Çelësat Iptables dhe shembuj të përdorimit të tyre

Për të punuar me tabela (iptables -t)

Si kujtesë, të gjitha rregullat në netfilter janë të shpërndara në tabela. Për të punuar me një tabelë specifike, duhet të përdorni çelësin -t.

Komandat

Çelësat e mëposhtëm përcaktojnë se çfarë bën programi iptables.

Celës Përshkrimi dhe shembuj
-A Shtimi i një rregulli në fund të listës:
iptables -A INPUT -s 192.168.0.15 -j DROP
mohoni hyrjen nga 192.168.0.15.
-D Heqja e një rregulli:
iptables -D HYRJA 10
fshini rregullin në zinxhirin INPUT me numër 10.
- Unë Futja e një rregulli në një pjesë të caktuar të listës:
iptables -I INPUT 5 -s 192.168.0.15 -j DROP
futni rregullin e 5-të në listë.
-R Zëvendësimi i rregullit.
iptables -R OUTPUT 5 -s 192.168.0.15 -j ACCEPT
zëvendësoni rregullin tonë të 5-të nga ndalues ​​në lejues.
-F Pastrimi i rregullave në zinxhir.
iptables -F INPUT
-Z Rivendosja e statistikave.
iptables -Z INPUT
-N Krijimi i zinxhirit.
iptables -N CHAINNEW
-X Fshirja e një zinxhiri.
iptables -X CHAINNEW
-P Përcaktimi i një rregulli të paracaktuar.
iptables -P INPUT DOP
-E Riemërtoni zinxhirin.
iptables -E ZINXHIRIN E ZHINJORËVE

Kushtet

Këta çelësa përcaktojnë kushtet e rregullit.

Celës Përshkrimi dhe shembuj
-fq Protokolli i rrjetit. Opsionet e vlefshme janë TCP, UDP, ICMP ose ALL.
iptables -A HYRJE -p tcp -j PRANOJ
lejojnë të gjitha lidhjet hyrëse tcp.
-s Adresa e burimit - emri i hostit, adresa IP ose nënrrjeti në shënimin CIDR.
iptables -A INPUT -s 192.168.0.50 -j DROP
mohoni hyrjen nga hosti 192.168.0.50
-d Adresa e destinacionit. Parimi i përdorimit është i ngjashëm me ndërprerësin e mëparshëm -s.
iptables -A OUTPUT -d 192.168.0.50 -j DROP
mohoni daljen në host 192.168.0.50
-i Përshtatësi i rrjetit përmes të cilit merren paketat (INPUT).
iptables -A INPUT -i eth2 -j RËZI
mohoni hyrjen për ndërfaqen ethernet eth2.
-o Përshtatës i rrjetit nga i cili largohen paketat (OUTPUT).
iptables -A OUTPUT -o eth3 -j PRANOJ
lejojnë daljet nga ndërfaqja ethernet eth3.
--dport Porti i destinacionit.
iptables -A INPUT -p tcp --dport 80 -j PRANOJ
lejoni hyrjen në portin 80.
-- sport Porta e burimit.
iptables -A INPUT -p tcp --sport 1023 -j DROP
mohoni hyrjen nga porti 1023.

Çelësat e listuar gjithashtu mbështesin ndërtimin duke përdorur shenjën ! ... Ai e përmbys gjendjen, për shembull
iptables -A INPUT -s! 192.168.0.50 -j PIKE
do të mohojë lidhjen me të gjithë hostet përveç 192.168.0.50.

Veprimet

Veprimet që duhen kryer në një paketë që përputhet me kriteret e kushtit. Çdo tabelë ka grupin e vet të veprimeve të vlefshme. Specifikuar duke përdorur një çelës -j.

tabela Veprimi Përshkrim
filtër PRANOJ Zgjidh paketën.
RËZË E mohon paketën.
REFUZOJE Parandalon dërgimin e mesazhit te burimi.
nat MASKARADA Për paketat dalëse, zëvendëson adresën IP të burimit me adresën e ndërfaqes nga e cila largohet paketa.
SNAT Ngjashëm me MASQUERADE, por duke specifikuar një ndërfaqe rrjeti specifike, adresa e së cilës do të përdoret për mashtrim.
DNAT Mashtrimi i adresës për paketat hyrëse.
RIDIREJTO Ridrejton kërkesën në një port tjetër në të njëjtin sistem.
lëmsh TOS Modifikimi i fushës TOS (përparësia e trafikut).
DSCP Ndryshimi i DSCP (gjithashtu prioritizimi i trafikut).
TTL Ndryshoni TTL (jetën e paketës).
HL Ngjashëm me TTL, por për IPv6.
SHENJË Shënimi i paketës. Përdoret për filtrim ose formësim të mëvonshëm.
KONTMARK Shënimi i lidhjes.
TCPMSS Ndryshimi i vlerës MTU.

Shembuj të komandave të përdorura zakonisht iptables

Komandat e zakonshme

Shikoni rregullat me numrat e tyre:

iptables -L --linja-numrat

Për secilën tabelë, duhet të shikoni rregullat veçmas:

iptables -t nat -L --linja-numrat

Hiqni të gjitha rregullat:

Vendos rregullat e paracaktuara:

iptables -P INPUT DOP

iptables -P RËNIM OUTPUT

* në këta shembuj, si parazgjedhje, për të gjitha paketat hyrëse (INPUT) dhe dalëse (OUTPUT), rregulli i mohimit (DROP) do të funksionojë.

Lejo të gjitha

Metoda 1. Duke shtuar një rregull:

iptables -I HYRJA 1 -j PRANOJ

iptables -I OUTPUT 1 -j PRANOJ

iptables -I PËRPARA 1 -j PRANOJ

* Këto tre komanda do të krijojnë rregulla që lejojnë të gjitha paketat hyrëse, dalëse dhe transitore.

Metoda 2. Duke pastruar rregullat:

* këtu fillimisht heqim të gjitha rregullat (-F), më pas vendosim politikën e paracaktuar - lejojmë hyrjen, daljen dhe transitin (-S).

Metoda 3. Çaktivizimi i shërbimit (është i përshtatshëm për të çaktivizuar murin e zjarrit për një kohë për të diagnostikuar problemet):

shërbimi iptables ndalet

Puna me rregulla

Shtoni një rregull në fund të listës:

iptables -A INPUT -p tcp --dport 25 -j PRANOJ

iptables -A INPUT -p tcp -s! 192.168.0.25 --dport 993 -i eth0 -j PRANO

Shto gamën e portit:

iptables -A INPUT -p tcp --dport 3000: 4000 -j ACCEPT

* në këtë rast, nga 3000 në 4000.

Fut rregullin:

iptables -I PËRPARA 15 -p udp -d 8.8.8.8 --dport 53 -i eth1 -j PRANO

Blloko një adresë IP specifike nga porti 25:

iptables -I INPUT 1 -s 1.1.1.1 -p tcp --dport 25 -j DROP

Përcjellja e portit

Ka dy mënyra për të konfiguruar.

1. Rregullat PREROUTING + POSTROUTING:

iptables -t nat -A PREROUTING -p tcp -m tcp -d 19.8.232.80 --dport 22 -j DNAT --to-destinacioni 192.168.1.15:2222

iptables -t nat -A POSTROUTING -p tcp -m tcp -s 192.168.1.15 --sport 2222 -j SNAT --to-burimi 19.8.232.80:22

* ku 19.8.232.80 - adresën në të cilën dëgjojmë kërkesat për lidhje; 22 - port për përcjellje; 192.168.1.15 - adresa IP e brendshme, në të cilën ne transferojmë të gjitha kërkesat; 2222 - port i brendshëm.

2. Rregullat PREROUTING + PËRPARA:

iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 22 -j DNAT --to-destinacioni 192.168.1.15:2222

iptables -A PËRPARA -p tcp -d 192.168.1.15 --dport 22 -m gjendje --state I RI, I KRIJUAR, I LIDHUR -j PRANO

Iptables është kryesisht përgjegjës për filtrimin e paketave. Konfigurimi manual i iptables është një detyrë mjaft e frikshme. Mos prisni të kuptoni këtë fotografi. Për fat të mirë, ka shumë mjete që mund t'ju ndihmojnë nëse nuk i keni kuptuar ende iptables dhe ju duhet urgjentisht të siguroni sistemin: fwbuilder, firestarter, guarddog, arno firewall - në fakt, ky është një GUI për iptables. Përgjigja e qartë është se nuk ka më mirë. Varet nga ju që të zgjidhni. Megjithatë, artikulli i sotëm i kushtohet veçanërisht iptables dhe është i ndarë në dy pjesë: teori dhe praktikë. Më të paduruarit mund ta bëjnë pjesën praktike menjëherë, megjithëse kjo qasje nuk rekomandohet.

Kujdes! Të gjitha veprimet me iptables kryhen në emër të përdoruesit të privilegjuar!

Teoria

Formati i regjistrimit iptables iptables [-t tabela] [komandë] [veprim] Shembull: filtri iptables -t -A HYRJE PRANO

Veprimet

  • PRANO - Prano paketën
  • DROP - Hidhni një paketë
  • DNAT - Konvertoni adresën e destinacionit
  • SNAT - Ndryshoni adresën IP dalëse në kokën e paketës
  • LOG - Regjistro paketat dhe ngjarjet
  • SHENJË - Vendosni një shenjë në një paketë
  • MASQUERADE - Ndryshoni adresën IP dalëse në kokën e paketës (ndryshe nga SNAT - punoni me IP dinamike)
  • QUEUE - Vendosni në radhë një paketë për përpunim
  • REDIRECT - Ridrejto paketën / transmetimin në një port tjetër
  • REFUZO - Hiq paketën + njofto sistemin në distancë për këtë. se pakoja e saj u refuzua
  • RETURN - Ndaloni lëvizjen e paketës përgjatë zinxhirit aktual dhe kthehuni në zinxhirin thirrës

Komandat

  • -A - Shtoni rregullin në zinxhir
  • -D - Hiqni rregullin nga zinxhiri
  • -R - Zëvendësoni një rregull me një tjetër
  • -I - Fut një rregull të ri
  • -L - Listoni rregullat ekzistuese
  • -F - Rivendos rregullat
  • -Z - Numëruesit zero në zinxhirin e specifikuar
  • -N - Krijon një zinxhir të ri me emrin e dhënë
  • -X - Fshini zinxhirin
  • -P - Vendosni politikën e paracaktuar për zinxhirin e zgjedhur
  • -E - Riemërtoni zinxhirin e personalizuar

Kriteret (të përgjithshme)

  • -p - Specifikoni llojin e protokollit
  • -s është IP-ja e burimit të paketës
  • -d - adresa IP e marrësit të paketës
  • -j - Specifikoni veprimin për rregullin
  • -i - Ndërfaqja nga e cila është marrë paketa
  • -o - Specifikoni emrin e ndërfaqes së daljes
  • -f - Zgjero rregullin në të gjitha fragmentet e paketës

Kriteret e TCP:

  • –Tcp-flamujt - Specifikoni maskën dhe flamujt e paketës

Kriteret e UDP:

  • –Sport - Porti nga i cili është dërguar paketa
  • –Dport - Porti në të cilin adresohet paketa

Më shumë në iptables për njeriun

Praktikoni

Shikimi i konfigurimit aktual

$ sudo iptables -L INPUT Zinxhiri (POLITIKA ACCEPT) objektivi prot opt

Nëse shihni diçka të tillë, atëherë muri juaj i zjarrit nuk është konfiguruar ende dhe lejon gjithçka. Le ta rregullojmë situatën.

Vendosja e politikës së paracaktuar

  • iptables -P INPUT DROP - bllokon paketat hyrëse
  • iptables -P OUTPUT ACCEPT - lejojnë paketat dalëse
  • iptables -P FORWARD DROP - përpunon paketat që kanë mbërritur në server nga një makinë tjetër dhe janë në pritje të përcjelljes së mëtejshme. Në shembull, ai është i bllokuar. Në këtë rast, do t'ju duhet të shtoni rregulla për makinat e besuara.

Meqenëse paketat hyrëse INPUT janë të bllokuara, le të shkruajmë rregullin:

$ sudo iptables -A INPUT -m gjendje --state LIDHET, E KRIJUAR -j ACCEPT

Kjo do të lejojë marrjen e paketave nga një lidhje e krijuar më parë dhe pranimin e paketave të reja të krijuara nga kjo lidhje.

Ose duke specifikuar llojin e protokollit:

$ sudo iptables -A INPUT -p TCP -m gjendja --gjendja E KRIJUAR, TË LIDHUR -j ACCEPT $ sudo iptables -A INPUT -p UDP -m gjendja --gjendja E KRIJUAR, TË LIDHUR -j ACCEPT

Tani ndërfaqja lokale:

$ sudo iptables -A HYRJE -i lo -j PRANOJ

  • E RE - të dhëna që nisin një lidhje të re.
  • E vendosur - një paketë që vjen nga një lidhje e krijuar tashmë.
  • RELATED - paketë e re e të dhënave, por e krijuar nga lidhja e vjetër e krijuar
  • E PAVALETË - kaq e kuptueshme

$ sudo iptables-save> /etc/iptables.up.rules

Aktivizo këto rregulla:

$ sudo iptables-restore< /etc/iptables.up.rules

Dhe shikoni ndryshimin:

$ sudo iptables-L

Nisja e iptable-ve në fillimin e sistemit:

Në drejtorinë /etc/init.d, krijoni një skedar me emrin iptables

$ sudo prek /etc/init.d/iptables

Ne përshkruajmë sa vijon në të:

#! / bin / sh / sbin / iptables-restore< /etc/iptables.up.rules

Le ta bëjmë skedarin iptables të ekzekutueshëm:

$ sudo chmod + x /etc/init.d/iptables

Shtojeni atë në autorun

$ sudo update-rc.d -n parazgjedhjet e iptables

Ekzekutimi i iptables në lidhjen e rrjetit:

$ sudo echo "#! / sbin / iptables-restore"> /etc/network/if-up.d/iptables.up.rules $ sudo iptables-save >> /etc/network/if-up.d/iptables. up.rules $ sudo chmod + x /etc/network/if-up.d/iptables.up.rules

Shënim: në çdo kohë mund të kontrolloni nëse rregullat tuaja janë të ngarkuara thjesht duke futur iptables-save nga root

Për archlinux, ruajtja e rregullave iptables bëhet me komandën:

$ sudo rc.d ruani iptables

Një skrip i vogël fillestar (rregullat, iptables faq) për një desktop ose server të thjeshtë. Në këtë rast, shembuj të punës me portet e një ose një softueri tjetër që funksionon në kompjuterin tuaj. Masat e sigurisë duhet të respektohen në çdo kompjuter. Miti se Linux është më i sigurt nuk është i vërtetë, gjithçka varet nga duart e ngathët të administratorit. Ka sisteme Windows të mbrojtura mirë, si dhe sisteme Linux që janë të hapura për pothuajse këdo. Prandaj, duhet të mendoni akoma pak për mbrojtjen e rrjetit të kompjuterit tuaj. Më poshtë janë shtuar disa rregulla iptables që mund të jenë të dobishme në fillim.

Zëvendësohet në mënyrë specifike $ IPT me / sbin / iptables, nëse dikujt i duhet vetëm një rregull për të mos ndryshuar asgjë - thjesht kopjoni dhe ekzekutoni. Natyrisht, këtu ka ende pak rregulla, nuk ka VPN të ndryshme, etj., nëse dëshironi, shtoni.

Këto rreshta mund të kopjohen tërësisht në çdo skript dhe thjesht ta ekzekutojnë atë. Për raste të zakonshme, kjo është mjaft e mjaftueshme. Nëse ndonjë aplikacion nuk mund të hyjë në internet, regjistrimi është shtuar posaçërisht. Thjesht hapni bishtin -f / var / log / syslog (ose tuajin nëse nuk është Ubuntu) dhe shikoni! Nëse keni ndonjë pyetje, shtoni ato në diskutim, ne do ta zgjidhim atë së bashku.

PS Përveç këtyre rregullave, mendoni se çfarë të merrni nga artikulli "TCP Optimization".

Si të hiqni një rregull në iptables

Postuar nga Alexey Ubozhenko

Disa herë kam hasur në faktin se edhe njerëzit që nuk janë budallenj në përgjithësi bëjnë gabime absolutisht të pafalshme. Për shembull, ata hapin portin në të cilin funksionon baza e të dhënave në të gjithë Internetin.

Blogu i administrimit të sistemit. Artikuj rreth Linux, Windows, ruajtjes së NetApp dhe virtualizimit.

Ky është shpesh rasti për fillestarët e DevOps të cilët kanë koduar gjatë gjithë jetës së tyre dhe tani përgjegjësitë e tyre përfshijnë gjithashtu ngritjen e serverëve. Ka udhëzime të mira në rrjet për konfigurimin bazë të murit të zjarrit në Linux dhe nix të tjera, por shpesh këto janë fletë për shumë ekrane. Pra, shpresojmë se dikush do ta ketë të dobishëm këtë tutorial më konciz.

E rëndësishme!Është shumë e lehtë të shkrepësh gabimisht një makinë në atë mënyrë që të mos hysh më në të. Kjo është veçanërisht e vërtetë për pritjen në cloud. Për shembull, nëse në AWS mbyllni të gjitha portet nga 1024 në 65536, për ndonjë arsye makina mbyllet pas një rindezjeje. përgjithësisht të gjitha portet. Nëse jeni duke pritur në retë, është më mirë të konfiguroni murin e zjarrit përmes ndërfaqes së uebit të pritur.

Një shënim i shpejtë për terminologjinë. Firewall i ndërtuar në kernel Linux quhet Netfilter, dhe iptables është mjeti i dobishëm për menaxhimin e këtij muri zjarri. Shumë njerëz gabimisht mendojnë se muri i zjarrit quhet iptables. Kjo nuk eshte e vertete. Duke thënë diçka të tillë si "Unë po filtro paketat me iptables" u tregon të tjerëve se ju jeni analfabet.

Në përgjithësi, cilat detyra mund të zgjidhen duke përdorur Netfilter:

  • Lejo / refuzo trafikun hyrës në porte specifike duke përdorur protokolle specifike (IPv4 / IPv6, TCP / UDP) nga adresat e specifikuara (IP, MAC) ose nënrrjetet;
  • Gjithçka është e njëjtë për trafikun në dalje;
  • Ju mund, për shembull, të injoroni plotësisht të gjitha paketat ICMP;
  • Konfigurimi i NAT, shikoni postimin në lidhje me instalimin dhe konfigurimin e OpenVPN;
  • Kam dëgjuar se gurutë e vërtetë mund të krijojnë mbrojtje kundër DDoS dhe forcës brutale, të kufizojnë aksesin në rrjet në aplikacione, përdorues ose grupe specifike dhe të bëjnë gjëra të tjera të çmendura;

Vini re se mjeti iptables më dukej në fillim jashtëzakonisht i papërshtatshëm në krahasim me ipfw në FreeBSD. Për fat të mirë, pas punës me të për një kohë, të gjitha këto shumë flamuj si -A, -D, -j dhe të tjerë bëhen të njohur, kështu që jini të durueshëm. Le të hedhim një vështrim në komandat kryesore.

Trego të gjitha rregullat:

Ju mund të vini re se Netfilter ka një lloj "zinxhirësh" - të paktën INPUT, OUTPUT dhe FORWARD.

Unë personalisht kam gjithashtu një zinxhir Docker në makinën time. Për herë të parë, ju mund të mendoni për dy të parat si të gjithë trafikun hyrës dhe dalës, respektivisht, dhe të harroni përkohësisht pjesën tjetër. Shanset janë të mira që nuk do t'ju nevojiten kurrë fare.

Hiqni të gjitha rregullat:

Ndrysho zinxhirin e politikës (sjellja e parazgjedhur):

iptables -P INPUT DOP
iptables -P HYRJE PRANO

Refuzo qasjen nga hosti/nënrrjeti:

iptables -A INPUT -s 123.45.67.89 -j DROP
iptables -A INPUT -s 123.45.0.0/16-j DROP

Ju gjithashtu mund të përdorni emra domenesh:

iptables -A INPUT -s shembull.com -j DROP

Ndalimi i lidhjeve dalëse:

iptables -A OUTPUT -d 123.45.67.89 -j DROP

Negativët mund të përdoren në rregullat:

iptables -A INPUT! -s 123.45.67.89 -j DROP

Fshirja e një rregulli sipas numrit të tij në zinxhir:

iptables -D HYRJA 1

Heqja e një rregulli bazuar në atë që bën:

iptables -D INPUT -s 123.45.67.89 -j DROP

Opsioni -p tregon protokollin. Ju mund të përdorni të gjitha, icmp, tcp, udp, ose numrin e protokollit nga / etc / protokollet. Flamuri -sport tregon portin nga i cili është dërguar paketa, dhe -dport tregon portin e destinacionit:

iptables -A INPUT -p tcp -sport80-j PRANOJ
iptables -A INPUT -p tcp -dport80-j PRANOJ

Vendosni një rregull në fillim të një zinxhiri:

iptables -I INPUT ...

Ose mund të specifikoni një pozicion specifik:

iptables-save> /etc/iptables.rules

Rregullat e rivendosjes:

iptables-restore

Tani le të shohim disa shembuj praktikë. Ky është, për shembull, emulimi i një ndarjeje neto në një test që kontrollon sjelljen e një aplikacioni që përdor Akka Cluster:

ekzekutoni (nyja 1, s "iptables -A INPUT -s $ node2 -j DROP")
ekzekutoni (nyja 1, s "iptables -A INPUT -s $ node3 -j DROP")
ekzekutoni (nyja 1, s "iptables -A OUTPUT -d $ node2 -j DROP")
ekzekutoni (nyja 1, s "iptables -A OUTPUT -d $ node3 -j DROP")

Rimëkëmbja është saktësisht e njëjtë, përveç se flamuri -A zëvendësohet me flamurin -D.

Një shembull tjetër. Kërkohet të zbuloni se cilat porte po dëgjojnë në makinë dhe të mbyllni ato shtesë. Shkojmë te makina dhe themi:

Shembull i daljes:

Lidhje aktive në internet (vetëm serverë)
Proto Recv-Q Send-Q Adresa Lokale Adresa e huaj Shteti PID / Emri i programit
tcp 0 0 0.0.0.0:80 0.0.0.0:* DËGJO 3210 / nginx
tcp 0 0 0.0.0.0:4369 0.0.0.0:* DËGJO 1789 / epmd
tcp 0 0 0.0.0.0:22 0.0.0.0:* DËGJO 797 ​​/ sshd
tcp 0 0 127.0.0.1:5432 0.0.0.0:* DËGJO 990 / postgres

Nginx dhe SSHd po shfletojnë internetin, kjo është mirë. PostgreSQL dëgjon vetëm ndërfaqen lokale, kështu që nuk ka asnjë problem as me të. Por epmd del jashtë (mund ta kontrolloni me telnet nga një makinë tjetër), dhe kjo nuk është e mirë. Mund të mbyllni vetëm portin 4369. Si ta bëni këtë u tregua më lart. Ose mund të shkoni edhe më tej dhe të mohoni të gjitha lidhjet nga jashtë në portin 81 dhe më të vjetër:

iptables -A INPUT -m multiport \
-p tcp —dports81: 65535! -s 127.0.0.0/8-j DROP

Kjo përdor zgjerimin multiport për të specifikuar intervalet e porteve.

Ne kontrollojmë që gjithçka funksionon. Nëse është në rregull, ruani rregullat:

iptables-save> /etc/iptables.rules

Për të marrë rregullat në nisjen e sistemit, krijoni një skedar të ri /etc/network/if-pre-up.d/iptables:

iptables-restoredalje0

...dhe ne themi:

chmod + x /etc/network/if-pre-up.d/iptables

Kjo metodë është verifikuar për të punuar në Ubuntu 14.04 LTS.

Debian gjithashtu duhet të funksionojë. Ju mund të gjeni një përshkrim të një mënyre alternative për të rivendosur rregullat e murit të zjarrit në fillimin e sistemit në artikullin e përmendur tashmë rreth OpenVPN.

Burime shtesë për ata që duan të dinë më shumë rreth Netfilter:

Si i konfiguroni muret e zjarrit në serverët tuaj?

Etiketa: Linux, Siguria, Rrjetet.

Shërbimi i linjës së komandës iptables përdoret për të konfiguruar murin e zjarrit të netfilterit të ndërtuar në një sistem të bazuar në kernel Linux.

Ky manual është i përshtatshëm si për dummies që duan të kuptojnë aspektet e sigurisë së rrjetit, ashtu edhe për specialistë me përvojë si një fletë mashtrimi.

Parimi i vendosjes

Sintaksa e përgjithshme për përdorimin e iptables është:

iptables -t<таблица> <команда> <цепочка>[dhoma]<условие> <действие>

<таблица>

Rregullat e Netfilterit shpërndahen në 4 tabela, secila prej të cilave ka qëllimin e vet (më shumë detaje më poshtë). Specifikohet me tastin -t, por nëse ky parametër nuk specifikohet, veprimi do të kryhet për tabelën - filtrin e paracaktuar.

<команда>

Komandat tregojnë se çfarë lloj veprimi ne kryejmë në netfilter, për shembull, të krijojmë ose fshijmë një rregull.

<цепочка>

Çdo tabelë ka zinxhirë, për secilën prej të cilëve krijohen vetë rregullat. Për shembull, për tabelën e filtrit të mësipërm, ekzistojnë tre zinxhirë të paracaktuar - INPUT (paketat hyrëse), OUTPUT (dalëse) dhe FORWARD (transit).

[dhoma]

Disa komanda kërkojnë të specifikoni një numër rregulli, për shembull, për fshirje ose modifikim.

<условие>

Një kusht përshkruan kriteret për përpunimin e një rregulli të veçantë.

<действие>

Epo, në fakt, çfarë të bëjmë me paketën nëse i përshtatet kritereve të kushtit.

* Për të qenë të drejtë, vlen të theksohet se çelësi i veprimit nuk duhet të shkojë në fund. Thjesht ky format gjendet më shpesh në udhëzime dhe e bën më të lehtë leximin e rregullave.

Çelësat Iptables dhe shembuj të përdorimit të tyre

Për të punuar me tabela (iptables -t)

Si kujtesë, të gjitha rregullat në netfilter janë të shpërndara në tabela. Për të punuar me një tabelë specifike, duhet të përdorni çelësin -t.

Komandat

Çelësat e mëposhtëm përcaktojnë se çfarë bën programi iptables.

Celës Përshkrimi dhe shembuj
-A Shtimi i një rregulli në fund të listës:
iptables -A INPUT -s 192.168.0.15 -j DROP
mohoni hyrjen nga 192.168.0.15.
-D Heqja e një rregulli:
iptables -D HYRJA 10
fshini rregullin në zinxhirin INPUT me numër 10.
- Unë Futja e një rregulli në një pjesë të caktuar të listës:
iptables -I INPUT 5 -s 192.168.0.15 -j DROP
futni rregullin e 5-të në listë.
-R Zëvendësimi i rregullit.
iptables -R OUTPUT 5 -s 192.168.0.15 -j ACCEPT
zëvendësoni rregullin tonë të 5-të nga ndalues ​​në lejues.
-F Pastrimi i rregullave në zinxhir.
iptables -F INPUT
-Z Rivendosja e statistikave.
iptables -Z INPUT
-N Krijimi i zinxhirit.
iptables -N CHAINNEW
-X Fshirja e një zinxhiri.
iptables -X CHAINNEW
-P Përcaktimi i një rregulli të paracaktuar.
iptables -P INPUT DOP
-E Riemërtoni zinxhirin.
iptables -E ZINXHIRIN E ZHINJORËVE

Kushtet

Këta çelësa përcaktojnë kushtet e rregullit.

Celës Përshkrimi dhe shembuj
-fq Protokolli i rrjetit. Opsionet e vlefshme janë TCP, UDP, ICMP ose ALL.
iptables -A HYRJE -p tcp -j PRANOJ
lejojnë të gjitha lidhjet hyrëse tcp.
-s Adresa e burimit - emri i hostit, adresa IP ose nënrrjeti në shënimin CIDR.
iptables -A INPUT -s 192.168.0.50 -j DROP
mohoni hyrjen nga hosti 192.168.0.50
-d Adresa e destinacionit. Parimi i përdorimit është i ngjashëm me ndërprerësin e mëparshëm -s.
iptables -A OUTPUT -d 192.168.0.50 -j DROP
mohoni daljen në host 192.168.0.50
-i Përshtatësi i rrjetit përmes të cilit merren paketat (INPUT).
iptables -A INPUT -i eth2 -j RËZI
mohoni hyrjen për ndërfaqen ethernet eth2.
-o Përshtatës i rrjetit nga i cili largohen paketat (OUTPUT).
iptables -A OUTPUT -o eth3 -j PRANOJ
lejojnë daljet nga ndërfaqja ethernet eth3.
-Dport Porti i destinacionit.
iptables -A INPUT -p tcp -dport 80 -j PRANOJ
lejoni hyrjen në portin 80.
-Sport Porta e burimit.
iptables -A INPUT -p tcp -sport 1023 -j DROP
mohoni hyrjen nga porti 1023.

Çelësat e listuar gjithashtu mbështesin ndërtimin duke përdorur shenjën ! .

Vendosja e netfilterit me iptables

Ai e përmbys gjendjen, për shembull
iptables -A INPUT -s! 192.168.0.50 -j PIKE
do të mohojë lidhjen me të gjithë hostet përveç 192.168.0.50.

Veprimet

Veprimet që duhen kryer në një paketë që përputhet me kriteret e kushtit. Çdo tabelë ka grupin e vet të veprimeve të vlefshme. Specifikuar duke përdorur një çelës -j.

tabela Veprimi Përshkrim
filtër PRANOJ Zgjidh paketën.
RËZË E mohon paketën.
REFUZOJE Parandalon dërgimin e mesazhit te burimi.
nat MASKARADA Për paketat dalëse, zëvendëson adresën IP të burimit me adresën e ndërfaqes nga e cila largohet paketa.
SNAT Ngjashëm me MASQUERADE, por duke specifikuar një ndërfaqe rrjeti specifike, adresa e së cilës do të përdoret për mashtrim.
DNAT Mashtrimi i adresës për paketat hyrëse.
RIDIREJTO Ridrejton kërkesën në një port tjetër në të njëjtin sistem.
lëmsh TOS Modifikimi i fushës TOS (përparësia e trafikut).
DSCP Ndryshimi i DSCP (gjithashtu prioritizimi i trafikut).
TTL Ndryshoni TTL (jetën e paketës).
HL Ngjashëm me TTL, por për IPv6.
SHENJË Shënimi i paketës. Përdoret për filtrim ose formësim të mëvonshëm.
KONTMARK Shënimi i lidhjes.
TCPMSS Ndryshimi i vlerës MTU.

Shembuj të komandave të përdorura zakonisht iptables

Komandat e zakonshme

Shikoni rregullat me numrat e tyre:

iptables -L —linja-numrat

Për secilën tabelë, duhet të shikoni rregullat veçmas:

iptables -t nat -L --linja-numrat

Hiqni të gjitha rregullat:

Vendos rregullat e paracaktuara:

iptables -P INPUT DOP

iptables -P RËNIM OUTPUT

* në këta shembuj, si parazgjedhje, për të gjitha paketat hyrëse (INPUT) dhe dalëse (OUTPUT), rregulli i mohimit (DROP) do të funksionojë.

Lejo të gjitha

Metoda 1. Duke shtuar një rregull:

iptables -I HYRJA 1 -j PRANOJ

iptables -I OUTPUT 1 -j PRANOJ

iptables -I PËRPARA 1 -j PRANOJ

* Këto tre komanda do të krijojnë rregulla që lejojnë të gjitha paketat hyrëse, dalëse dhe transitore.

Metoda 2. Duke pastruar rregullat:

* këtu fillimisht heqim të gjitha rregullat (-F), më pas vendosim politikën e paracaktuar - lejojmë hyrjen, daljen dhe transitin (-S).

Metoda 3. Çaktivizimi i shërbimit (është i përshtatshëm për të çaktivizuar murin e zjarrit për një kohë për të diagnostikuar problemet):

Puna me rregulla

Shtoni një rregull në fund të listës:

iptables -A INPUT -p tcp -dport 25 -j PRANOJ

iptables -A INPUT -p tcp -s! 192.168.0.25 —dport 993 -i eth0 -j PRANOJ

Shto gamën e portit:

iptables -A INPUT -p tcp -dport 3000: 4000 -j ACCEPT

* në këtë rast, nga 3000 në 4000.

Fut rregullin:

iptables -I PËRPARA 15 -p udp -d 8.8.8.8 -dport 53 -i eth1 -j PRANO

Përcjellja e portit

Ka dy mënyra për të konfiguruar.

1. Rregullat PREROUTING + POSTROUTING:

iptables -t nat -A PREROUTING -p tcp -m tcp -d 19.8.232.80 —dport 22 -j DNAT —për në destinacion 192.168.1.15:2222

iptables -t nat -A POSTROUTING -p tcp -m tcp -s 192.168.1.15 —sport 2222 -j SNAT —to-burimi 19.8.232.80:22

* ku 19.8.232.80 - adresën në të cilën dëgjojmë kërkesat për lidhje; 22 - port për përcjellje; 192.168.1.15 2222 - port i brendshëm.

2. Rregullat PREROUTING + PËRPARA:

iptables -t nat -A PREROUTING -p tcp -i eth1 —dport 22 -j DNAT — deri në destinacion 192.168.1.15:2222

iptables -A PËRPARA -p tcp -d 192.168.1.15 —dport 22 -m gjendje —shtet E RE, E KRIJUAR, LIDHUR -j PRANO

* ku eth1- ndërfaqja e rrjetit në të cilën ne dëgjojmë për kërkesat; 22 - port për përcjellje; 192.168.1.15 - adresa IP e brendshme, në të cilën ne transferojmë të gjitha kërkesat; 2222 - port i brendshëm.

Nisja e konfigurimit

Lejo SSH:

iptables -A INPUT -p tcp -dport 22 -j PRANOJ

Ne kemi vendosur politikën e ndalimit të hyrjeve dhe lejojmë të gjitha daljet:

iptables -P OUTPUT PRANOJ

Krijoni një rregull që apt-get të funksionojë siç duhet:

iptables -A INPUT -p tcp —sport 80 -m gjendja —gjendja E KRIJUAR -j PRANO

Lejo ICMP (për komandën ping):

iptables -A HYRJE -p icmp -j PRANOJ

Rregullat e ruajtjes (të përhershme)

Si parazgjedhje, të gjitha rregullat ndalojnë së punuari pas rinisjes së rrjetit ose kompjuterit. Ka disa mënyra për të konfiguruar rregullat për të ruajtur rregullat pas një rindezjeje.

Metoda 1.iptables-save

Ne i ruajmë rregullat në një skedar:

iptables-save> /etc/iptables.rules

Hapni cilësimet e rrjetit:

vi / etc / rrjet / ndërfaqe

dhe shtoni rreshtin:

para-up iptables-restore< /etc/iptables.rules

Metoda 2.iptables-persistent

Instaloni paketën iptables-persistent:

apt install iptables-persistent

Për të ruajtur rregullat, futni komandën:

shërbimi iptables-ruajtja e vazhdueshme

Metoda 3.shërbimi iptables

Punon në versionet më të vjetra Linux:

Metoda 4.iptables.init

Punon në CentOS:

/usr/libexec/iptables/iptables.init ruaj

Ubuntu dhe CentOS

Nuk ka iptables si parazgjedhje në sistemet moderne operative Ubuntu dhe CentOS.

Duhet ta instaloni ose të përdorni shërbime më të reja.

Në CentOS

Firewall-cmd përdoret si një program standard i menaxhimit të murit të zjarrit. Për më shumë detaje, lexoni udhëzimin Si të konfiguroni murin e zjarrit në CentOS.

Nëse keni nevojë të përdorni iptables, instaloni paketën e shërbimeve:

yum instaloni iptables-services

Çaktivizo murin e zjarrit:

systemctl stop firewalld

systemctl çaktivizon murin e zjarrit

Ne aktivizojmë dhe ekzekutojmë iptables:

systemctl mundëson iptables

Në Ubuntu

Ufw tani përdoret për të menaxhuar murin e zjarrit.

Për të punuar me iptables, instaloni paketën e mëposhtme:

apt-get install iptables-persistent

Çaktivizo ufw:

# Rrjetëzimi # Siguria # UNIX # Ubuntu # Linux

A ishte ky tutorial i dobishëm për ju?

PËRTET MURIT TË ZJARRIT:
FIREWALL (Firewall) DHE GATEWAY I INTERNETIT
DEBIAN GNU / LINUX 4.0 ETCH

Një udhëzues praktik për organizimin e aksesit të sigurt në internet
nga një kompjuter i veçantë dhe nga një rrjet lokal në Debian GNU / Linux 4.0 Etch
Pak teori

Çdo lidhje me internetin jo vetëm që bën të mundur lidhjen me serverë dhe faqe të ndryshme, por krijon edhe një rrezik potencial për depërtim në kompjuterin tonë nga jashtë. Ky rrezik nuk duhet neglizhuar, pasi shumica e përpjekjeve për akses të paautorizuar në kompjuterët e përdoruesve nga interneti sot janë pjesë e një biznesi kriminal të mirëorganizuar. Pas një kompromisi të suksesshëm të sistemit tuaj, ata do të përpiqen të përdorin kompjuterin tuaj ose për dërgimin e postës së padëshiruar, ose për organizimin e sulmeve DoS në kompjuterë të tjerë, ose për ndonjë qëllim tjetër të poshtër. Neglizhimi i këtij rreziku, në rastin më të mirë, do të rrisë kostot e trafikut dhe do të ngadalësojë performancën e kompjuterit tuaj; në rastin më të keq, mund t'ju përfshijë padashur në aktivitetet kriminale të grupeve kibernetike.

Situata rëndohet nga fakti se në disa sisteme operative (ende) të përhapura, shumë porte lihen të hapura si parazgjedhje, gjë që lejon një sulmues të lidhet nga Interneti me përdoruesin pa qenë i vetëdijshëm ky i fundit.

Për të parandaluar lidhjet e paautorizuara nga jashtë dhe për të filtruar trafikun hyrës / dalës në sistemin operativ, duhet të përdoret një program i veçantë - muri i zjarrit(Firewall në anglisht), i njohur gjithashtu si muri i zjarrit dhe muri i zjarrit... Më poshtë është një shembull i thjeshtë i konfigurimit të një muri zjarri në një sistem operativ falas. Debian GNU / Linux 4.0.

Përdorimi i një muri zjarri bëhet veçanërisht i rëndësishëm nëse keni më shumë se një kompjuter, por rrjeti i shtëpisë ose i zyrës kompjuterët e të cilëve shkojnë në internet.

Edhe një rrjet i vogël lokal duhet të organizohet siç duhet. Le të themi se keni një pikë aksesi në internet me shpejtësi të lartë (për shembull, një modem ADSL) me një ndërfaqe Ethernet (d.m.th. rrjet).

Ekziston një tundim (i ndezur nga rekomandime analfabete, si, për shembull, në udhëzimet për modemin tim ADSL) për të lidhur modemin direkt me çelësin dhe më pas për t'u lidhur me çelësin të gjitha kompjuterët e rrjetit lokal. Në këtë rast, modemi lëshon në mënyrë dinamike adresat IP lokale përmes switch-it, por rezulton se çdo kompjuter mbetet vetëm me internetin! As një modem dhe as një çelës nuk mund të bëhen pengesë për një keqbërës. Një sulmues mund të skanojë të gjitha kompjuterët e një rrjeti lokal të organizuar në këtë mënyrë.

Zgjidhja logjike dhe e sigurt është krijimi pengesë midis modemit dhe rrjetit lokal - në formën e një kompjuteri të veçantë me një "firewall" (firewall) të konfiguruar në të. Ky kompjuter ka dy ndërfaqe - njëra "duket" në internet (d.m.th. është e lidhur fizikisht me modemin), tjetra është e drejtuar në rrjetin lokal (dhe është i lidhur fizikisht me çelësin në të cilin janë edhe kompjuterët e tjerë. lidhur). Meqenëse kompjuteri ynë me një mur zjarri është tani një pikë nyje për kompjuterët e tjerë për të hyrë në internet, ai quhet gjithashtu portë(Gateway anglisht).

Me një organizim të tillë të rrjetit lokal, probabiliteti i hakimit zvogëlohet ndjeshëm - një sulmues "sheh" vetëm portën nga Interneti, dhe një mur zjarri është instaluar në portë, dhe nuk është e lehtë ta hakosh atë.

Vendosja e iptables në Linux për dummies

Kompjuterët e rrjetit lokal mund të shfletojnë internetin dhe të mbeten relativisht të sigurt.

Konfigurimi i një muri zjarri duke përdorur konfiguruesin arno-iptables-firewall

Për të organizuar një mur zjarri në GNU / Linux përdoret programi iptables, i cili, si rregull, instalohet menjëherë kur instaloni shumicën e shpërndarjeve. V Debian GNU / Linux ju mund ta kontrolloni këtë duke ekzekutuar me të drejtat e administratorit zotësia... Nëse është e nevojshme, instaloni iptables.

Sidoqoftë, konfigurimi manual iptablesështë një detyrë jo e parëndësishme dhe mund të bëhet vetëm nga specialistë të fushës së administrimit të sistemit. Prandaj, për të konfiguruar rregullat me të cilat do të funksionojë muri i zjarrit, është më mirë të përdorni konfigurues special... V Debian GNU / Linux Ky program arno-iptables-firewall... Kur lëshohet, ai shtron një sërë pyetjesh, në bazë të të cilave gjeneron rregulla për funksionimin e murit të zjarrit. iptables.

Ne shkruajmë në tastierë me të drejtat e superpërdoruesit:

#aptitude instaloni arno-iptables-firewall

Në fillim të instalimit, programi do të pyesë nëse vërtet duam të konfigurojmë murin e zjarrit me të. iptables:

Së pari, duhet të specifikoni ndërfaqen e jashtme - "duke kërkuar" në internet, dmth. lidhur me modemin. Cilësimet e ndërfaqes përcaktohen në skedarin e konfigurimit / etj / rrjet / ndërfaqe... Për shembull, mund të duket kështu:

# Kjo është ndërfaqja lo - tregon vetë makinën tonë. auto lo iface lo inet loopback address 127.0.0.1 netmask 255.0.0.0 # Kjo është ndërfaqja eth0, e cila është e lidhur me internetin (modemi ADSL) # E veçanta e saj është që adresa IP i caktohet nga ISP në mënyrë dinamike, # kështu është vendosur opsioni dhcp auto eth0 iface eth0 inet dhcp # Kjo është ndërfaqja që përballet me rrjetin lokal # Adresa e rrjetit lokal do të jetë 192.168.2.0/24 # Për qëllime sigurie në rrjetin lokal, porta ka një adresë IP statike - 192.168.2.1, # prandaj është vendosur opsioni statik # Net mask - 255.255.255.0 # Adresa e transmetimit të rrjetit në këtë rast do të jetë 192.168.2.255 auto eth1 iface eth1 inet adresa statike 192.168.2.1 netmask 192.168.2.1.255.255.25.

Pra, duke parë cilësimet / etj / rrjet / ndërfaqe, i tregojmë konfiguruesit të murit të zjarrit se ndërfaqja jonë e jashtme është eth0:

Kur pyetemi nëse ofruesi na jep një adresë IP në mënyrë dinamike(duke përdorur DHCP), ne përgjigjemi në mënyrë pozitive:

Pyetja tjetër është se çfarë shërbimesh do të ofrohen nga kompjuteri ynë për përdoruesit e jashtëm të internetit. Nuk kemi asnjë! Ne nuk jemi të angazhuar në web hosting profesional dhe nuk kemi ndërmend të shpërndajmë informacion jashtë. E lëmë rreshtin bosh.

Pastaj vjen pyetja nëse do të ofrojmë ndonjë shërbim mbi UDP. Gjithashtu jo - dhe gjithashtu lini rreshtin bosh!

A duhet të marrim ping nga bota e jashtme (d.m.th. të kontrollojmë nëse ka një lidhje me kompjuterin në të cilin është instaluar muri i zjarrit)? Në rastin tonë, kjo është krejtësisht e pranueshme:

Kjo përfundon konfigurimin për një kompjuter individual që nuk është një portë LAN. Nëse synojmë ta përdorim kompjuterin si një portë, duhet t'u përgjigjemi disa pyetjeve të tjera. Ne tregojmë ndërfaqen me të cilën porta po përballet me rrjetin lokal - në rastin tonë është eth1 siç është evidente nga / etj / rrjet / ndërfaqe(përndryshe, për një kompjuter "të vetmuar", lëreni këtë fushë bosh):

Kur u pyet nëse duhet të lejohet përkthimi NAT, d.m.th. përcjellja e trafikut nga Interneti përmes portës në rrjetin lokal dhe anasjelltas, ne përgjigjemi "po" - kjo është një nga detyrat tona kryesore në këtë rast:

Atëherë lind pyetja: cili segment i rrjetit lokal mund të pranohet përmes përcjelljes në rrjetet e jashtme? Të gjithë kompjuterët e rrjetit lokal kanë të drejtën e aksesit në internet; vendosni përsëri vlerën 192.168.2.0/24

Së fundi, ne konfirmojmë dëshirën tonë për të nisur iptables pa verifikim shtesë nga ana jonë të rregullave të murit të zjarrit të krijuara automatikisht nga konfiguruesi:

Pas kësaj, nëse gjithçka shkoi mirë, shfaqet një mesazh i ngjashëm me atë më poshtë. Tani do të shfaqet në çdo nisje të kompjuterit të portës dhe do të informojë për nisjen e suksesshme të murit të zjarrit:

Arno's Iptables Firewall Script v1.8.8c —————————————————————————- Kontrollet e shëndetit kaluan ... OK moduli IPTABLES i zbuluar ...

Ngarkimi i moduleve shtesë IPTABLES: Të gjitha modulet IPTABLES janë ngarkuar! Konfigurimi / proc /…. cilësimet: Aktivizimi i anti-spoof me rp_filter Aktivizimi i mbrojtjes SYN-përmbytjes nëpërmjet SYN-cookies Çaktivizimi i regjistrimit të marsianëve Çaktivizimi i pranimit të mesazheve të ridrejtimit ICMP Vendosja e max. sasia e lidhjeve të njëkohshme me 16384 Aktivizimi i mbrojtjes kundër paketave të drejtuara nga burimi Vendosja e afateve të parazgjedhura të kontrollit Aktivizimi i reduktimit të aftësisë së kryerjes së shërbimit. .. Rregullat e shpëlarjes në tabelën e filtrit Vendosja e politikave të paracaktuara (të sigurta) Përdorimi i "info" të nivelit log për syslogd Vendosja e rregullave të murit të zjarrit: ———————————————————————— —— - Pranimi i paketave nga pajisja loopback lokale Mundësimi i përcaktimit të madhësisë maksimale të paketës nëpërmjet MSS Mundësimi i manipulimit të TOS Regjistrimi i skanimeve të fshehta (sondat nmap etj.) i aktivizuar Regjistrimi i paketave me flamuj TCP të këqij aktivizuar Regjistrimi i paketave të PAVALETA të Regjistrimit të fragmenteve të çaktivizuara aktivizuar Regjistrimi i aksesit nga adresat e rezervuara aktivizuar Vendosja e rregullave kundër mashtrimit Leximi i rregullave të personalizuara IPTABLES nga / etj / arno-iptables-firewall / rregullat e personalizuara Ngarkimi i shtojcave (përdoruesit) Konfigurimi i politikës INPUT për rrjetin e jashtëm (INET): Ena Mbështetje bling për një IP të caktuar DHCP në ndërfaqen (at): eth0 Regjistrimi i hosteve të bllokuar në mënyrë eksplicite aktivizuar Regjistrimi i lidhjeve të mohuara të daljes lokale të aktivizuara. i paketave të ICMP-kërkesës (ping) të rënë të aktivizuara Regjistrimi i paketave të tjera ICMP të rënë aktivizuar Regjistrimi i skanimeve të mundshme të fshehta aktivizuar Regjistrimi i përpjekjeve (të tjera) të lidhjes me portet TCP TË PRIVILEGUARA të aktivizuara Regjistrimi i (të tjera) përpjekjeve për lidhje me portet e PRIVILEGUARA UDP të aktivizuara të tjera) përpjekjet për lidhje të aktivizuara për portet TCP TË PAPRIVILEGUARA Regjistrimi i përpjekjeve (të tjera) për lidhje me portet UDP TË PAPRIVILEGUARA të aktivizuara Regjistrimi i protokolleve të tjera IP (jo TCP / UDP / ICMP) Përpjekjet për lidhje të aktivizuara Regjistrimi i përmbytjes ICMP aktivizuar Aplikimi i politikës INET (INET) për të jashtëm ndërfaqja: eth0 (pa specifikuar një nënrrjet të jashtëm) Konfigurimi i politikës INPUT për ndërfaqen e brendshme (LAN): eth1 Lejimi i kërkesave ICMP (ping) A lejimi i të gjitha protokolleve (të tjera) Konfigurimi i politikës FORWARD për ndërfaqen (et) e brendshme (LAN): eth1 Regjistrimi i lidhjeve të mohuara LAN-> INET FORWARD aktivizuar Konfigurimi i LAN-> Politika INET: Lejimi i kërkesave ICMP (ping) Lejimi i të gjitha (të tjerave ) protokollet Aktivizimi i maskimit (NAT) nëpërmjet ndërfaqes (ve) të jashtme: eth0 Shtimi i hostit (të brendshëm): 192. 168.2.0 / 24 Siguria është FORCUAR për ndërfaqen (t) e jashtme në zinxhirin FORWARD 16 Jan 23:53:12 Zbatohen të gjitha rregullat e murit të zjarrit.

Shënim 1. Në shumicën e rasteve, nisja e suksesshme e murit të zjarrit ndodh pas komunikimit të parë me konfiguruesin. Nëse diçka nuk funksionon, rekomandohet fuqimisht të përsërisni konfigurimin duke e nisur përsëri konfiguruesin me të drejtat e superpërdoruesit:

# dpkg-rikonfiguro arno-iptables-firewall

Kjo do të eliminojë një gabim të rastësishëm që mund të lindë kur u përgjigjeni pyetjeve të konfiguruesit gjatë përvojës së parë me të. Nëse as kjo nuk ju ndihmon, mund të provoni të korrigjoni manualisht skedarin e konfigurimit të programit. arno-iptables-firewall, domethënë: /etc/arno-iptables-firewall/firewall.conf... Mund të jetë e dobishme të vizitoni faqen kryesore të krijuesit të këtij programi në http://rocky.eld.leidenuniv.nl/. Ai përmban një manual shumë informues për të punuar me programin, një FAQ interesante dhe, përveç kësaj, ka informacione për versionet e reja të programit.

Shënim 2. Mos harroni se asnje një mur zjarri nuk mund të japë një garanci 100% të sigurisë së një kompjuteri në internet. Sidoqoftë, nuk mund të neglizhoni mbrojtjen e murit të zjarrit. Ne duhet të bëjmë gjithçka në fuqinë tonë për t'u mbështetur më pas në mëshirën e Zotit. "Nëse Zoti nuk e ruan qytetin, roja është i kotë"(Ps. 126:1).

Burimi i artikullit

Unë shkrova një postim në blog rreth rregullave bazë të Iptables për përdoruesin që punon shumë kohë më parë dhe ju ndoshta duhet ta lexoni atë dhe artikullin përkatës mbi firewall-in Stateful.

Por para kernel 2.6.39 (i cili përfshin dhe mund ta përdorni për të vendosur IP në listën e bardhë nëse keni më shumë se 10 për listën e bardhë (ku 10 është arbitrare)).

Vendosja e iptables për dummies

Gjendja e parë e dorezës që ne e dimë se duam të pranojmë ose heqim, dhe ndërfaqet.

Nëse thjesht dëshironi të lejoni vetëm IP, pa shtetësi

ju keni më shumë gjasa të hasni në probleme me këtë dhe unë sugjeroj përdorimin e shtetit për ta bërë jetën tuaj më të lehtë. Për shembull, moszgjidhja dhe sigurisht që do të shkaktojë probleme për disa aplikacione.

Artikujt kryesorë të lidhur

Si të untethered jailbreak ios 9
Si të untethered jailbreak ios 9
Jailbreak 9 nuk do të instalohet
Jailbreak 9 nuk do të instalohet
Si të ulni në një version të mëparshëm iOS duke kursyer të dhëna të rëndësishme
Si të ulni në një version të mëparshëm iOS duke kursyer të dhëna të rëndësishme
Kategoritë:
© 2021 bumotors.ru. Si të konfiguroni telefonat inteligjentë dhe PC. Portali informativ.