Megtanulják, hogyan kell használni iptables debian, notebook rendes admin)

Létrehozása tűzfal / útválasztási konfigurációs script

Készítsen saját fájl - nevezzük úgy, mint netfilternek
Azt hogy a scriptet /etc/init.d/
Így a fájl futtatható: chmod + x /etc/init.d/netfilter

Előírt standard fejlécfájl shell-script: # / bin / bash!
Add a script az üzembe helyezés: update-rc.d netfilternek defaults
TODO: leírják a folyamatot több, mint más eloszlások, mint például nem használ SYSV Init

Most van egy script, hogy végrehajtásra kerül, valahányszor a rendszer újraindítása. Meg kell tölteni a tartalmát. Ha a tűzfal kell használni a szabályokat „a jó vezető” - tagadja minden, és lehetővé teszi a jelenléte szükséges csak, akik valóban szükségük van.

#! / Bin / bash
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
#iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

Engedélyezése bejövő kapcsolatok

Annak érdekében, hogy a bejövő TCP-kapcsolat szükséges a forgatókönyvet, hogy adjunk egy sort: iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT Ebben az esetben engedélyezett a hozzáférés a 80 portot (általában van http -server)

Amikor routing konfiguráció során figyelembe kell venni a következő pontokat (Collected alapuló népszerű téveszmék)

A fogadó a hálózat 192.168.1.0/24 - regisztrálja útvonal a 192.168.2.0/24 hálózat révén 192.168.1.1 - mint például a Linux. ip route add 192.168.2.0/24 keresztül 192.168.1.1
A fogadó a hálózat 192.168.2.0/24 - regisztrálja útvonal a 192.168.1.0/24 hálózat révén a 192.168.2.1 - mint például a Linux. ip route add 192.168.1.0/24 keresztül 192.168.2.1
A router lehetővé teszi az útvonal csomagok: echo 1> / proc / sys / net / ipv4 / ip_forward - line hozzá kell adni a forgatókönyvet 😉
A router, hogy a folyosón a csomagokat a tűzfal (lásd. Chain FORWARD)

Csomagok áthaladó router esik a lánc előre. Például, hogy a felhasználók a 192.168.1.0/24 hálózat eléréséhez webszerverek a hálózat a hálózat 192.168.2.0/24:

#! / Bin / bash
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
#iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT
iptables -A INPUT -p tcp -m state --state LÉTRE, KAPCSOLÓDÓ -j ACCEPT
iptables -A OUTPUT -p tcp -m state --state ÚJ, ezzel kapcsolatos LÉTRE -j ACCEPT
iptables -A INPUT -p udp -m state --state LÉTRE, KAPCSOLÓDÓ -j ACCEPT
iptables -A OUTPUT -p udp -m state --state ÚJ, ezzel kapcsolatos LÉTRE -j ACCEPT
echo 1> / proc / sys / net / ipv4 / ip_forward
iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 192.168.2.0/24 -p tcp --dport 80 -m state ÚJ, LÉTRE -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.2.0/24 -d 192.168.1.0/24 -p tcp -m state LÉTRE -j ACCEPT

15. sor - lehetővé útvonal.
16. sor - lehetővé teszi a folyosón egy csomag megnyitása új kapcsolat 80-as porton TCP protokollt, vagy egy már prinadlzhaschih ustanovlenmovu kapcsolat az azonos portot házigazdák a 192.168.1.0/24 hálózat házigazdák a hálózat 192.168.2.0/24.
17. sor - lehetővé tartozó csomagok meglévő kapcsolat

Az első sor az összes csomag jön (-i) lo aka visszacsatolási felületen elfogadják feltétel nélkül. A második - így a lo felületet is menni.

Mint ez:

Kapcsolódó cikkek

Memcrab beállítani iptables, hogy megvédje a web-szerver alapú Debian és Ubuntu

előző ◈ a következő