Linux'ta Iptables Kullanımı
Bu kılavuz, Linux'ta iptables'ın nasıl anlaşılacağı dilinin nasıl kullanılacağını açıklamaya çalışacaktır..
içindekiler[saklamak]
|
genel bakış
Iptables, kurala dayalı bir güvenlik duvarıdır ve her kuralı eşleşen olana kadar sırayla işler..
Yapılacaklar: buraya bir örnek ekleyin
kullanım
İptables yardımcı programı genellikle linux dağıtımınıza önceden yüklenmiştir, ancak gerçekte herhangi bir kural çalıştırmamaktadır. Yardımcı programı çoğu dağıtımda burada bulabilirsiniz:
/ Sbin / iptables
Tek bir IP Adresini Engelleme
Bir IP'yi -s parametresini kullanarak, 10.10.10.10'u engellemeye çalıştığınız adresle değiştirerek engelleyebilirsiniz. Bu örnekte, ekleme yerine -I parametresini (veya -insert de çalışır) kullandığımızı not edersiniz, çünkü bu kuralın herhangi bir izin verilen kuraldan önce ilk önce görünmesini sağlamak istiyoruz..
/ sbin / iptables -I GİRİŞ -s 10.10.10.10 -j DAMLA
IP Adresinden Tüm Trafiğe İzin Verilmesi
Yukarıdaki gibi aynı komutu kullanarak, ancak DROP'u ACCEPT ile değiştirerek alternatif olarak tüm IP adreslerinden gelen trafiğe izin verebilirsiniz. Herhangi bir DROP kuralından önce bu kuralın göründüğünden emin olmanız gerekir..
/ sbin / iptables -Bir GİRİŞ -s 10.10.10.10 -j KABUL ET
Tüm Adreslerden Bağlantı Noktasını Engelleme
-Dport anahtarını kullanarak ve engellemek istediğiniz servisin bağlantı noktasını ekleyerek bir bağlantı noktasına tamamen ağ üzerinden erişilmesini engelleyebilirsiniz. Bu örnekte, mysql portunu bloke edeceğiz:
/ sbin / iptables -Bir GİRİŞ -p tcp --dest 3306 -j DROP
Tek IP'den Tek Bağlantı Noktasına İzin Verme
Kuralı belirli bir bağlantı noktasıyla daha da sınırlandırmak için -s komutunu -dport komutuyla birlikte ekleyebilirsiniz:
/ sbin / iptables -Bir GİRİŞ -p tcp -s 10.10.10.10 - spor 3306 -j KABUL
Mevcut Kuralları Görüntüleme
Aşağıdaki komutu kullanarak mevcut kuralları görüntüleyebilirsiniz:
/ sbin / iptables -L
Bu size aşağıdakine benzer bir çıktı vermelidir:
Zincir GİRİŞİ (politika KABUL EDİLDİR) hedef koruma tercihi kaynak hedefi HESABI tümü - 192.168.1.1/24 Her yerde her şeyi kabul et - 10.10.10.0/24 her yerde DROP tcp - her yerde her yerde tcp dpt: ssh DROP tcp - her yerde her yerde tcp dpt: mySQL
Gerçek çıktı elbette biraz daha uzun olacak.
Mevcut Kuralların Silinmesi
Flush parametresini kullanarak tüm geçerli kuralları temizleyebilirsiniz. Kuralları doğru sıraya koymanız gerekirse veya test ederken bu çok kullanışlıdır..
/ sbin / iptables - floş
Dağıtım Özgü
Çoğu Linux dağıtımı bir iptables biçimi içerirken, bazıları yönetimi kolaylaştıran paketleyicileri de içerir. Çoğu zaman bu “eklentiler” başlangıçta iptables'ı başlatmaya özen gösteren init scriptleri biçimini alırken, bazı dağıtımlar genel durumu basitleştirmeye çalışan tam gelişmiş sarmalayıcı uygulamaları da içerir..
Gentoo
iptables Gentoo'daki init betiği birçok ortak senaryoyu yönetme yeteneğine sahiptir. Yeni başlayanlar için, iptables'ı başlangıçta yüklemek üzere yapılandırmanıza olanak tanır (genellikle istediğiniz şeyi):
rc-update varsayılan iptables ekle
İnit betiğini kullanarak, güvenlik duvarını hatırlaması kolay bir komutla yüklemek ve silmek mümkündür:
/etc/init.d/iptables start /etc/init.d/iptables stop
İnit betiği, geçerli güvenlik duvarı yapılandırmanıza start / stop'da devam etmenin ayrıntılarını işler. Bu nedenle, güvenlik duvarınız her zaman bıraktığınız durumdadır. Yeni bir kuralı manuel olarak kaydetmeniz gerekirse, init betiği de bunu yapabilir:
/etc/init.d/iptables save
Ek olarak, güvenlik duvarınızı önceki kaydedilmiş durumuna geri yükleyebilirsiniz (kurallarla deneme yaptığınız ve şimdi önceki çalışma yapılandırmasını geri yüklemek istediğiniz durum için):
/etc/init.d/iptables yeniden yükle
Son olarak, init betiği iptables'ları gelen ve giden tüm trafiğin engellendiği “panik” bir moda sokabilir. Bu modun neden kullanışlı olduğundan emin değilim, ancak tüm Linux güvenlik duvarları buna sahip gibi görünüyor.
/etc/init.d/iptables panik
Uyarı: Sunucunuza SSH ile bağlıysanız panik modunu başlatmayın; sen irade bağlantıyı kes! IPtable'ı panik moduna geçirmen gereken tek zaman, fiziksel olarak bilgisayarın önünde.