GNU/Linux >> LINUX-Kenntnisse >  >> Linux

Iptables-Tutorial für Anfänger – Schlüsselkonzepte

Für jedes System ist die Firewall ein Muss für die Sicherheit. In Linux-Systemen kann eine Firewall mit dem Befehlszeilendienstprogramm iptables implementiert werden. Es ist sehr leistungsfähig zum Festlegen von Firewall-Regeln für verbesserte Sicherheit. Unter der Haube interagieren iptables mit Paketfilter-Hooks des Netzwerk-Stacks des Kernels, der als Netfilter-Framework (http://www.netfilter.org/) bekannt ist. Es kann Paketfilter- und NAT-Regeln verwalten.

Hinweis:In der Praxis behandelt iptables IPv4-Regeln und ip6tables http://linux.die.net/man/8/ip6tables behandelt IPv6-Regeln.

Erste Schritte mit iptables

Das Dienstprogramm iptables verwendet ein Tabellenkonzept, um die Firewall-Regeln zu organisieren. Tabellen wiederum enthalten eine Reihe von Ketten. Und Ketten enthalten eine Reihe von Regeln.

Es gibt vier Arten von Tabellen.

1. Tabelle filtern
2. NAT-Tabelle
3. Mangeltisch
4. Rohtabelle
5. Sicherheitstabelle

Tabelle filtern

Es ist das Standard-iptable. Diese Tabelle entscheidet, ob ein Paket zu seinem Ziel zugelassen werden soll oder nicht. Ein typisches Paket, das die Filtertabelle erreicht, durchläuft eine der folgenden drei Ketten.

1. Eingabekette – Wenn ein Paket an Ihren Server gesendet wird, durchläuft es die INPUT-Kette.
2. Ausgabe – Wenn die Paketquelle Ihr Server ist, dann geht es durch die Ausgabekette.
3. Weiterleiten – Wenn die Pakete, weder die Quelle noch das Ziel, zu Ihrem Server gehören, dann geht es durch die Weiterleitungskette. Dies bedeutet, dass das Paket von einer anderen NIC Ihres Servers weitergeleitet wird. Dies geschieht normalerweise, wenn Ihr Linux-System als Router fungiert.

Sie können die Filtertabelle in Ihrem System mit dem folgenden Befehl anzeigen.

sudo iptables -t filter --list

NAT-Tabelle

Die NAT-Tabelle enthält die folgenden Ketten.

1. PREROUTING-Kette – Diese Kette ist hauptsächlich für DNAT (Destination NAT)

2. POSTROUTING-Kette – Diese Kette ist hauptsächlich für SNAT (Source NAT)

Hinweis:Lesen Sie mehr über DNAT und SNAT mit dem Beispiel von hier .

3. OUTPUT-Kette – Wenn die Pakete lokal zugestellt werden, wird diese Kette verwendet.

Sie können die NAT-Tabelle mit dem folgenden Befehl anzeigen.

sudo iptables -t filter --list

Mangle-Tabelle

Diese Tabelle wird hauptsächlich zum Ändern der IP-Header verwendet. Es hat die folgenden Ketten.

1. VORROUTING
2. AUSGANG
3. WEITER
4. EINGABE
5. POSTROUTING

Zeigen Sie die Mangle-Tabellenliste mit dem folgenden Befehl an.

sudo iptables -t mangle --list

Rohtabelle

Diese Tabelle bietet einen Mechanismus zum Markieren von Paketen zum Deaktivieren der Verbindungsverfolgung. http://people.netfilter.org/pablo/docs/login.pdf

Die Mangle-Tabelle hat die folgenden Ketten

1. VORROUTING
2. OUTPUT-Kette

Zeigen Sie die Rohtabellenliste mit dem folgenden Befehl an.

sudo iptables -t raw --list

Sicherheitstabelle

Diese Tabelle ist mit SELINUX verwandt. Es legt den SELINUX-Kontext für Pakete fest. Genauer gesagt wird es für die obligatorische Zugriffskontrolle verwendet https://en.wikipedia.org/wiki/Mandatory_access_control

Zeigen Sie die Sicherheitstabellenliste mit dem folgenden Befehl an.

sudo iptables -t security --list

Linux
  1. Linux-CD-Befehls-Tutorial für Anfänger (8 Beispiele)

  2. Linux-Kommando-Tutorial für Anfänger (5 Beispiele)

  3. Linux-df-Befehls-Tutorial für Anfänger (8 Beispiele)

  4. Linux Date Command Tutorial für Anfänger (8 Beispiele)

  5. Linux du Command Tutorial für Anfänger (10 Beispiele)

Linux-nm-Befehls-Tutorial für Anfänger (10 Beispiele)

Linux OD Command Tutorial für Anfänger (6 Beispiele)

Linux w Command Tutorial für Anfänger (5 Beispiele)

Linux ss Command Tutorial für Anfänger (8 Beispiele)

Bash-Scripting-Tutorial für Anfänger

Bash Heredoc-Tutorial für Anfänger