Различия
Показаны различия между двумя версиями страницы.
Следующая версия | Предыдущая версия | ||
каталог_статей:безопастность:настройка_iptables [2015/12/22 10:39] korotish создано |
каталог_статей:безопастность:настройка_iptables [2015/12/22 11:00] korotish |
||
---|---|---|---|
Строка 7: | Строка 7: | ||
Iptables имеет 3 таблицы: | Iptables имеет 3 таблицы: | ||
Таблица filter имеет 3 цепочки: | Таблица filter имеет 3 цепочки: | ||
- | FORWARD - правила в данной цепочке применяются ко всем пакетам, | + | |
- | INPUT - правила в данной цепочке применяются к входящим пакетам предназначенным для локальных служб. | + | * FORWARD - правила в данной цепочке применяются ко всем пакетам, |
- | OUTPUT - правила в данной цепочке применяються к исходящим пакетам от локальных служб. | + | |
+ | | ||
В таблице nat содержатся цепочки правил POSTROUTING, | В таблице nat содержатся цепочки правил POSTROUTING, | ||
Таблица mangle содержит цепочки, | Таблица mangle содержит цепочки, | ||
Строка 15: | Строка 17: | ||
В системах подобных CentOS все правила загружаемые при запуске службы iptables хранятся в файле / | В системах подобных CentOS все правила загружаемые при запуске службы iptables хранятся в файле / | ||
Для сохранения добавленных цепочек необходимо выполнить команду: | Для сохранения добавленных цепочек необходимо выполнить команду: | ||
- | # service iptables save | + | < |
В системах подобных Debian для упрпавления службой iptables необходимо установить пакет iptables-persistent выполнив следующую команду: | В системах подобных Debian для упрпавления службой iptables необходимо установить пакет iptables-persistent выполнив следующую команду: | ||
- | # apt-get install iptables-persistent | + | < |
В этом случае цепочки правил будут храниться в файлах / | В этом случае цепочки правил будут храниться в файлах / | ||
Примеры создания цепочек: | Примеры создания цепочек: | ||
- | iptables -t filter -nL | + | < |
- | iptables -nL — отобразить все цепочки правил | + | < |
- | iptables -t nat -L — отобразить все цепочки правил в NAT-таблице | + | < |
- | iptables -t filter -F или iptables -F — очистить все цепочки правил в filter-таблице | + | < |
- | iptables -t nat -F — очистить все цепочки правил в NAT-таблице | + | < |
- | iptables -t filter -X — удалить все пользовательские цепочки правил в filter-таблице | + | < |
- | iptables -t filter -A INPUT -p tcp –dport telnet -j ACCEPT — позволить входящее подключение telnet' | + | < |
- | iptables -t filter -A OUTPUT -p tcp –dport http -j DROP — блокировать исходящие HTTP-соединения | + | < |
- | iptables -t filter -A FORWARD -p tcp –dport pop3 -j ACCEPT — позволить «прокидывать» (forward) POP3-соединения | + | < |
- | iptables -t filter -A INPUT -j LOG –log-prefix «DROP INPUT» — включить журналирование ядром пакетов, | + | < |
- | iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE — включить NAT (Network Address Translate) исходящих пакетов на интерфейс eth0. Допустимо при использовании с динамически выделяемыми ip-адресами. | + | < |
- | iptables -t nat -A PREROUTING -d 192.168.0.1 -p tcp -m tcp –dport 22 -j DNAT –to-destination 10.0.0.2:22 — перенаправление пакетов, | + | < |
Для подключению модуля geoip в iptables необходимо установить этот модуль вместе с дополнительными модулями фаервола: | Для подключению модуля geoip в iptables необходимо установить этот модуль вместе с дополнительными модулями фаервола: | ||
- | # apt-get install xtables-addons-common libtext-csv-xs-perl | + | < |
Так же необходимо собрать базы содержашие диапозоны IP адресов и стран. Для этого вместе с пакетом xtables-addons были установлены 2 скрипта для скачивания и сборки баз geoip. | Так же необходимо собрать базы содержашие диапозоны IP адресов и стран. Для этого вместе с пакетом xtables-addons были установлены 2 скрипта для скачивания и сборки баз geoip. | ||
Создадим папку в которой будут находиться базы geoip: | Создадим папку в которой будут находиться базы geoip: | ||
- | # mkdir / | + | < |
Далее скачаем и соберем базы geoip: | Далее скачаем и соберем базы geoip: | ||
- | # cd / | + | < |
- | # ./ | + | < |
- | # ./ | + | < |
Теперь можно добавлять правила для блокировки некоторого диапазона IP адресов относящихся с какому-либо региону: | Теперь можно добавлять правила для блокировки некоторого диапазона IP адресов относящихся с какому-либо региону: | ||
- | # iptables -I INPUT ! -i lo -p tcp --dport 80 -m geoip --src-cc US -j DROP - в данном случае будут заблокированы все пакеты приходящие из США на любой сетевой интерфейс кроме локального, | + | < |
- | # iptables -I INPUT ! -i lo -p tcp --dport 80 -m geoip ! --src-cc US -j DROP - в данном случае будут заблокированы все пакеты приходящие из либой страны, | + | < |
===== Смотрите также: ===== | ===== Смотрите также: ===== | ||
+ | * [[Каталог статей: | ||
+ | * [[Каталог статей: | ||
---- | ---- | ||
Актуальность: | Актуальность: | ||
- | |||