Коришћење Иптаблес на Линуку
Овај водич ће покушати да објасни како користити иптаблес на линуку у лако разумљивом језику.
Цонтентс[сакрити]
|
Преглед
Иптаблес је заштитни зид заснован на правилима, који ће обрадити свако правило док не пронађе ону која одговара.
Тодо: укључите пример овде
Употреба
Услужни програм иптаблес је обично прединсталиран на вашој линук дистрибуцији, али заправо не покреће никаква правила. Услужни програм ћете наћи овде на већини дистрибуција:
/ сбин / иптаблес
Блокирање једне ИП адресе
Можете блокирати ИП помоћу параметра -с, замјењујући 10.10.10.10 адресом коју покушавате блокирати. У овом примеру ћете приметити да смо користили параметар -И (или -инсерт воркс) уместо аппенд-а, јер желимо да се уверимо да се ово правило појављује прво, пре било ког правила за дозволу.
/ сбин / иптаблес -И ИНПУТ -с 10.10.10.10 -ј ДРОП
Дозволи сав промет са ИП адресе
Можете наизменично дозволити сав саобраћај са ИП адресе користећи исту команду као горе, али замењујући ДРОП са АЦЦЕПТ. Морате бити сигурни да се ово правило појављује прво, пре било каквих ДРОП правила.
/ сбин / иптаблес -А ИНПУТ -с 10.10.10.10 -ј АЦЦЕПТ
Блокирање порта са свих адреса
Порт можете у потпуности блокирати тако да му се приступа преко мреже помоћу прекидача -дпорт и додавања порта услуге коју желите блокирати. У овом примеру ћемо блокирати мискл порт:
/ сбин / иптаблес -А ИНПУТ -п тцп --дпорт 3306 -ј ДРОП
Дозвољавање једног порта из једног ИП-а
Можете додати наредбу -с заједно с наредбом -дпорт да бисте додатно ограничили правило на одређени порт:
/ сбин / иптаблес -А ИНПУТ -п тцп -с 10.10.10.10 --дпорт 3306
Преглед тренутних правила
Можете погледати тренутна правила користећи следећу команду:
/ сбин / иптаблес -Л
Ово би требало да вам да излаз сличан следећем:
Ланац ИНПУТ (полици АЦЦЕПТ) циљна прот опт изворна одредница АЦЦЕПТ алл - 192.168.1.1/24 нигде мискл
Наравно, стварни излаз ће бити мало дужи.
Брисање постојећих правила
Можете избрисати сва тренутна правила користећи параметар флусх. Ово је врло корисно ако требате поставити правила у исправном редослиједу, или када тестирате.
/ сбин / иптаблес - флусх
Специфична за дистрибуцију
Док већина Линук дистрибуција укључује иптаблес, неке од њих укључују и омотаче који чине управљање мало лакшим. Најчешће се ти "додаци" појављују у облику иницијалних скрипти које воде рачуна о иницијализацији иптаблес-а при покретању, иако неке дистрибуције укључују и потпуне враппер апликације које покушавају поједноставити уобичајени случај..
Гентоо
Тхе иптаблес Инит скрипта на Гентоо-у је способна да обради многе уобичајене сценарије. За почетак, омогућава вам да конфигуришете иптаблес за учитавање при покретању (обично оно што желите):
рц-упдате додај иптаблес дефаулт
Помоћу инит скрипте могуће је учитати и избрисати заштитни зид помоћу команде која се лако памти:
/етц/инит.д/иптаблес старт /етц/инит.д/иптаблес стоп
Инит скрипта обрађује детаље задржавања тренутне конфигурације фиревалл-а на старт / стоп. Дакле, ваш заштитни зид је увек у стању у ком сте га оставили. Ако морате ручно да сачувате ново правило, инит скрипта може да обради и ово:
/етц/инит.д/иптаблес саве
Осим тога, можете да вратите свој заштитни зид на претходно сачувано стање (за случај када сте експериментисали са правилима и сада желите да вратите претходну радну конфигурацију):
/етц/инит.д/иптаблес релоад
Коначно, инит скрипта може ставити иптаблес у “паниц” мод, гдје је блокиран сав долазни и одлазни промет. Нисам сигуран зашто је овај мод користан, али изгледа да га имају сви Линук фиревалл-и.
/етц/инит.д/иптаблес паниц
Упозорење: Не покрећите режим панике ако сте повезани на ваш сервер преко ССХ; ти ће бе дисцоннецтед! Једини пут када ставите иптаблес у паниц мод је док сте ви физички испред рачунара.
