Einführung
Die Einrichtung einer Firewall ist ein wichtiger Schritt bei der Sicherung der meisten modernen Betriebssysteme. Die meisten Linux-Distributionen sind mit verschiedenen Firewall-Tools ausgestattet, mit denen wir unsere Firewall konfigurieren können, und iptables ist eines davon. Während die meisten Artikel Ihnen beibringen, wie Sie Firewall-Regeln mit iptables einrichten, konzentriert sich dieser Artikel darauf, wie Sie sie löschen oder leeren.
Hinweis: Dieses Tutorial behandelt die IPv4-Sicherheit. Unter Linux wird die IPv6-Sicherheit getrennt von IPv4 verwaltet. Zum Beispiel verwaltet „iptables“ nur Firewall-Regeln für IPv4-Adressen, hat aber ein IPv6-Gegenstück namens „ip6tables“, das verwendet werden kann, um Firewall-Regeln für IPv6-Netzwerkadressen zu verwalten.
Voraussetzungen
Bevor Sie dieser Anleitung folgen, müssen Sie Zugriff auf ein Nicht-Root-Superuser-Konto haben, mit sudo-Berechtigungen, die auf Ihrem Server eingerichtet sind. Wenn Sie Ihren Server einrichten müssen, haben wir eine entsprechende Anleitung
- Erste Servereinrichtung mit Ubuntu 14.04
IPtables-Regeln auflisten
Bevor wir die iptables-Regeln löschen, müssen wir die aktuellen Regeln überprüfen, die auf unsere Firewall angewendet werden. Wir können dies mit den folgenden Befehlen tun,
# sudo iptables -L
Kette INPUT (Richtlinie ACCEPT)Ziel Prot Opt Source Ziel Chain FORWARD (Policy ACCEPT)Ziel Prot Opt Source Ziel Chain OUTPUT (Policy ACCEPT)Ziel Prot Opt Source pre>. >.Wir können die aktuellen Regeln auch in einem einfacheren Format sehen, indem wir das Flag -S anstelle des Flags -L verwenden:
# sudo iptables -S-P INPUT ACCEPT-P FORWARD ACCEPT-P OUTPUT ACCEPTIn beiden Ergebnissen sehen wir drei Ketten, die als INPUT, FORWARD und OUTPUT angezeigt werden. Wir sehen auch, dass die Standardrichtlinie jeder Kette als ACCEPT festgelegt ist, aber in den obigen Ergebnissen sind keine tatsächlichen Regeln festgelegt. Dies liegt daran, dass Ubuntu/CentOS nicht mit Standardregeln ausgeliefert wird.
Iptables-Regeln leeren
Bevor Sie alle iptables-Regeln auf Ihrem Server leeren, stellen Sie sicher, dass Sie alle Standardrichtlinien (INPUT, FORWARD, OUTPUT) auf ACCEPT setzen. Der Hauptgrund dafür ist sicherzustellen, dass Sie nicht über SSH von Ihrem Server blockiert werden.
# sudo iptables -P INPUT ACCEPT# sudo iptables -P FORWARD ACCEPT# sudo iptables -P OUTPUT ACCEPTDann leeren Sie nat- und mangle-Tabellen, leeren Sie alle Ketten (-F) und löschen Sie alle Standardketten (-X). Führen Sie dazu die folgenden Befehle nacheinander aus,
# sudo iptables -t mangle -X# sudo iptables -t mangle -F# sudo iptables -t nat -X# sudo iptables -t nat -F# sudo iptables -X# sudo iptables -FNachdem Sie nun alle Regeln geleert haben, überprüfen Sie die aktuellen Regeln mit dem Befehl iptables -S, um sicherzustellen, dass nur die Standardketten wie unten erwähnt angezeigt werden,
# sudo iptables -S-P INPUT ACCEPT-P FORWARD ACCEPT-P OUTPUT ACCEPTIPtables-Regeln speichern
Standardmäßig werden alle Änderungen an den iptables-Regeln beim nächsten Neustart des Servers gelöscht, sofern sie nicht gespeichert werden. Um die iptables-Regeln zu speichern, gehen Sie wie unten beschrieben vor,
Ubuntu:
Um die Iptabels-Regeln dauerhaft zu speichern, können die Einstellungen auf verschiedene Arten gespeichert werden, aber der einfachste Weg ist mit dem „iptables-persistent“-Paket. Dies kann von den Standard-Repositories von Ubuntu heruntergeladen werden:
# sudo apt-get update# sudo apt-get install iptables-persistentSpeichern Sie Ihre Firewall-Regeln mit diesem Befehl:
# sudo invoke-rc.d iptables-persistent saveCentOS (6 und älter):
Führen Sie einfach den folgenden Befehl aus, um iptables-Regeln in CentOS6 und älter zu speichern,
# sudo service iptables save