Iptables ist eine großartige Firewall, die im Netfilter-Framework von Linux enthalten ist. Eine Firewall ist ein Netzwerksicherheitssystem, das den ein- und ausgehenden Netzwerkverkehr anhand vorgegebener Sicherheitsregeln überwacht und steuert.
Die manuelle Konfiguration von iptables ist für Uneingeweihte eine Herausforderung. Glücklicherweise stehen viele Konfigurationstools zur Verfügung:z. B. fwbuilder, bastille und ufw.
Erste Konzepte: Paket :ein logischer Container, der den Datenfluss darstellt
Protokoll :eine Sprache und ein Satz von Regeln, die Netzwerkgeräte über
Port betreiben :eine numerische Bezeichnung, die ein bestimmtes Protokoll darstellt
IPtables-Regeln:
- MANGEL
- Regeln zum Modifizieren der Pakete
- NAT (Network Address Translation)
- PRÄROUTING
- POSTROUTING
- FILTER
- EINGABE
- AUSGABE
- WEITER
Die iptables-Regeln verwalten die Pakete eines bestimmten Protokolls, wenn Sie beispielsweise eine Internetverbindung verweigern möchten, kann iptables dies tun.
IPtables-Konfiguration
Sehen Sie, welche Regeln bereits konfiguriert sind.
# iptables -L
Dadurch kann jeder von überall auf alles zugreifen. Löschen Sie die Regeln von iptables # iptables -F
Richtlinien
a. ACCEPT Allow the traffic
b. DROP Deny the traffic
Beispiel:Wenn die Standardrichtlinien von INPUT DROP sind, verweigert die Firewall den gesamten Internetverkehr.
Wenn Sie die Richtlinien ändern möchten, können Sie dies mit dem folgenden Befehl tun:
iptables -P CHAIN POLITICS
Ihr System schützen:Regeln
Einstellung des INPUT auf DROP
Zulassen der Pakete aus Ihrem LAN (zuerst müssen Sie die lokale IP-Adresse mit dem Befehl „ifconfig“ kennen).
# iptables -A INPUT -s 192.168.100.0/24 -j ACCEPT
Zulassen des Internetverkehrs
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Alle ausgehenden Datenverkehr zulassen
# iptables -A OUTPUT -j ACCEPT
Zulassen von HTTP- und HTTPS-Verbindungen von überall (die normalen Ports für Websites
# iptables -A INPUT -p tcp --dport 80 -j ACCEPT # iptables -A INPUT -p tcp --dport 443 -j ACCEPT
Zulassen von SSH-Verbindungen. Die –dport-Nummer ist dieselbe wie in /etc/ssh/sshd_confi
# iptables -A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT
Blockieren einer IP-Adresse mit iptables
Die Politik für INPUT muss DROP sein
Fügen Sie eine neue Regel hinzu, um den Datenverkehr für die entsprechende IP-Adresse (archlinux.org ip) zu löschen
# iptables -A INPUT -s 66.211.214.131 -j DROP
Fügen Sie eine neue Regel hinzu, um den restlichen Internet-Traffic zuzulassen (Alle Regeln zum Sperren des Traffics müssen vor dieser Regel erstellt werden
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Allgemeine iptables-Optionen:
| -A | Anhängen, mit dieser Option wird eine neue Regel hinzugefügt |
| -I | Eine neue Regel einfügen |
| -D | Regel löschen |
| -R | Position einer Regel ändern |
| -L | Listen Sie die Regeln auf |
| -L –Zeilennummern | Positionsnummer jeder Regel anzeigen |
| -F | Alle Regeln löschen |
| -F-KETTE | Löschen Sie die Regeln einer bestimmten Kette |
| -N CHAIN_NAME | Neue Kette erstellen |
| -X-KETTE | Eine Kette löschen |
| -P | Ändern Sie eine Politik |
| iptables -A CHAIN -s | Geben Sie eine Quelle (IP-Adresse) an |
| iptables -A CHAIN -p | Geben Sie das Protokoll an |
| iptables -A CHAIN -p tcp –dport | Geben Sie den Port an |
| iptables -A CHAIN … -j | Bestimmen Sie eine Politik für eine bestimmte Regel |
Iptables hat viele Möglichkeiten, aber dies ist ein grundlegendes Tutorial, wenn Sie mehr Informationen über iptables erfahren möchten, können Sie diesen Links folgen:http://netfilter.org/documentation/
https://wiki.debian.org/iptables
https://wiki.archlinux.org/index.php/Iptables
http://www.faqs.org/docs/linux_network/x-087-2-firewall.future.html