Basis Guide iwwer IPTables (Linux Firewall) Tipps/Kommandoen
Dësen Tutorial guidéiert Iech wéi Firewall am Linux Betribssystem funktionnéiert a wat ass IPTables am Linux? Firewall entscheet Schicksal vu Paketen déi erakommen an erausgoen am System. IPTables ass eng Regel baséiert Firewall an et ass virinstalléiert op de meeschte Linux Betribssystem. Par défaut leeft et ouni Regelen. IPTables gouf am Kernel 2.4 abegraff, ier et ipchains oder ipfwadm genannt gouf. IPTables ass e Front-End-Tool fir mam Kernel ze schwätzen an entscheet d'Päckchen ze filteren. Dëse Guide kann Iech hëllefe graff Iddi a Basisbefehle vun IPTables, wou mir praktesch iptables Reegele beschreiwen, déi Dir referéiert a personaliséiert wéi Äre Besoin.
Verschidde Servicer gi fir verschidde Protokoller benotzt wéi:
- iptables gëllt fir IPv4.
- ip6tables gëlt fir IPv6.
- arptables gëllt fir ARP.
- ebtables gëllen fir Ethernet Frames..
IPTables Haaptdateien sinn:
- /etc/init.d/iptables - init Skript fir unzefänken|stoppen|Restart a späichere Regelsets.
- /etc/sysconfig/iptables – wou Regelsets gespäichert sinn.
- /sbin/iptables – binär.
Et sinn am Moment dräi Dëscher.
- Filter
- NAT
- Mangel
Am Moment sinn et insgesamt véier Ketten:
- INPUT: Standardkette, déi aus dem System stamen.
- OUTPUT: Standardkette generéiert vum System.
- FORWARD: Default Kette Pakete ginn duerch eng aner Interface geschéckt.
- RH-Firewall-1-INPUT : Déi Benotzerdefinéiert Benotzerdefinéiert Kette.
Bemierkung: Uewe Haaptdateien kënnen an Ubuntu Linux liicht ënnerscheeden.
Wéi starten, stoppen an nei starten Iptabe Firewall.
# /etc/init.d/iptables start # /etc/init.d/iptables stop # /etc/init.d/iptables restart
Fir IPTables beim Systemboot ze starten, benotzt de folgende Kommando.
#chkconfig --level 345 iptables on
Spueren IPTables Regelen mat ënnen Kommando. All Kéier wann de System nei gestart an den IPTables Service nei gestart huet, sinn déi existéierend Reegelen ausgesinn oder zréckgesat. Ënnert Kommando späichert TPTables Regelsets an /etc/sysconfig/iptables Datei par défaut a Regele ginn applizéiert oder restauréiert am Fall vun IPTables ausspülen.
#service iptables save
Iwwerpréift de Status vun IPTables/Firewall. Optiounen -L (Lëscht Regelset), -v (Verbose) an -n (Weist am numeresche Format).
iptables -L -n -v Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 6 396 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT 5 packets, 588 bytes) pkts bytes target prot opt in out source destination
Weist IPTables Regele mat Zuelen. Mat der Hëllef vum Argument –line-numbers kënnt Dir Regelen addéieren oder ewechhuelen.
iptables -n -L -v --line-numbers Chain INPUT (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination 1 51 4080 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 2 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 3 0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 4 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 5 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination 1 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT 45 packets, 5384 bytes) num pkts bytes target prot opt in out source destination
Spülen oder läschen IPTables Regelen. Ënner Kommando wäert all d'Regele vun Dëscher ewechzehuelen. Huelt Reegele Backup ier Dir uewe Kommando ausféiert.
iptables -F
Reegelen läschen oder derbäisetzen, loosst eis fir d'éischt d'Regele a Ketten gesinn. Ënner Befehle solle Regelsets an INPUT an OUTPUT Ketten mat Regelnummeren weisen, déi eis hëllefen Reegelen ze addéieren oder ze läschen
iptables -L INPUT -n --line-numbers Chain INPUT (policy ACCEPT) num target prot opt source destination 1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 5 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
iptables -L OUTPUT -n --line-numbers Chain OUTPUT (policy ACCEPT) num target prot opt source destination
Loosst eis soen, wann Dir d'Regel Nr 5 aus der INPUT Kette wëllt läschen. Benotzt de folgende Kommando.
iptables -D INPUT 5
Fir d'Regel an der INPUT Kette anzeginn oder anzeféieren tëscht 4 a 5 Regelen.
iptables -I INPUT 5 -s ipaddress -j DROP
Mir hu just probéiert Basisnotzungen a Funktiounen vun IPTables fir Ufänger ze decken. Dir kënnt komplex Reegelen erstellen wann Dir e komplette Verständnis vun TCP/IP hutt a gutt Kenntnisser vun Ärem Setup.