Basis Guide iwwer IPTables (Linux Firewall) Tipps/Kommandoen

Dësen Tutorial guidéiert Iech wéi Firewall am Linux Betribssystem funktionnéiert a wat ass IPTables am Linux? Firewall entscheet Schicksal vu Paketen déi erakommen an erausgoen am System. IPTables ass eng Regel baséiert Firewall an et ass virinstalléiert op de meeschte Linux Betribssystem. Par défaut leeft et ouni Regelen. IPTables gouf am Kernel 2.4 abegraff, ier et ipchains oder ipfwadm genannt gouf. IPTables ass e Front-End-Tool fir mam Kernel ze schwätzen an entscheet d'Päckchen ze filteren. Dëse Guide kann Iech hëllefe graff Iddi a Basisbefehle vun IPTables, wou mir praktesch iptables Reegele beschreiwen, déi Dir referéiert a personaliséiert wéi Äre Besoin.

Verschidde Servicer gi fir verschidde Protokoller benotzt wéi:

  1. iptables gëllt fir IPv4.
  2. ip6tables gëlt fir IPv6.
  3. arptables gëllt fir ARP.
  4. ebtables gëllen fir Ethernet Frames..

IPTables Haaptdateien sinn:

  1. /etc/init.d/iptables - init Skript fir unzefänken|stoppen|Restart a späichere Regelsets.
  2. /etc/sysconfig/iptables – wou Regelsets gespäichert sinn.
  3. /sbin/iptables – binär.

Et sinn am Moment dräi Dëscher.

  • Filter
  • NAT
  • Mangel

Am Moment sinn et insgesamt véier Ketten:

  1. INPUT: Standardkette, déi aus dem System stamen.
  2. OUTPUT: Standardkette generéiert vum System.
  3. FORWARD: Default Kette Pakete ginn duerch eng aner Interface geschéckt.
  4. RH-Firewall-1-INPUT : Déi Benotzerdefinéiert Benotzerdefinéiert Kette.

Bemierkung: Uewe Haaptdateien kënnen an Ubuntu Linux liicht ënnerscheeden.

Wéi starten, stoppen an nei starten Iptabe Firewall.

# /etc/init.d/iptables start 
# /etc/init.d/iptables stop
# /etc/init.d/iptables restart

Fir IPTables beim Systemboot ze starten, benotzt de folgende Kommando.

#chkconfig --level 345 iptables on

Spueren IPTables Regelen mat ënnen Kommando. All Kéier wann de System nei gestart an den IPTables Service nei gestart huet, sinn déi existéierend Reegelen ausgesinn oder zréckgesat. Ënnert Kommando späichert TPTables Regelsets an /etc/sysconfig/iptables Datei par défaut a Regele ginn applizéiert oder restauréiert am Fall vun IPTables ausspülen.

#service iptables save

Iwwerpréift de Status vun IPTables/Firewall. Optiounen -L (Lëscht Regelset), -v (Verbose) an -n (Weist am numeresche Format).

 iptables -L -n -v

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    6   396 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 5 packets, 588 bytes)
 pkts bytes target     prot opt in     out     source               destination

Weist IPTables Regele mat Zuelen. Mat der Hëllef vum Argument –line-numbers kënnt Dir Regelen addéieren oder ewechhuelen.

 iptables -n -L -v --line-numbers

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1       51  4080 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
3        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
4        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
5        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 45 packets, 5384 bytes)
num   pkts bytes target     prot opt in     out     source               destination

Spülen oder läschen IPTables Regelen. Ënner Kommando wäert all d'Regele vun Dëscher ewechzehuelen. Huelt Reegele Backup ier Dir uewe Kommando ausféiert.

 iptables -F

Reegelen läschen oder derbäisetzen, loosst eis fir d'éischt d'Regele a Ketten gesinn. Ënner Befehle solle Regelsets an INPUT an OUTPUT Ketten mat Regelnummeren weisen, déi eis hëllefen Reegelen ze addéieren oder ze läschen

 iptables -L INPUT -n --line-numbers

Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
2    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
3    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
4    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
5    REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited
 iptables -L OUTPUT -n --line-numbers
Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

Loosst eis soen, wann Dir d'Regel Nr 5 aus der INPUT Kette wëllt läschen. Benotzt de folgende Kommando.

 iptables -D INPUT 5

Fir d'Regel an der INPUT Kette anzeginn oder anzeféieren tëscht 4 a 5 Regelen.

 iptables -I INPUT 5 -s ipaddress -j DROP

Mir hu just probéiert Basisnotzungen a Funktiounen vun IPTables fir Ufänger ze decken. Dir kënnt komplex Reegelen erstellen wann Dir e komplette Verständnis vun TCP/IP hutt a gutt Kenntnisser vun Ärem Setup.