Iptables és dinamikus szabályok (keep state), a beállítások elvégzésére és karbantartása szerverek

Olyan dolog, mint a dinamikus szabályok iptables nem létezik. Megfelelően nevezik - keep state követési állapot.

Az iptables létezik ilyen típusú állapot (álló, ha a modul „állam” betöltve keresztül „-m state”):

ÚJ - Minden csomagokat, egy új kapcsolatot (például kapcsolat létrehozása kérés)

LÉTRE - Minden tartozó csomagok meglévő kapcsolat (vagyis GET válasz web -server)

KAPCSOLÓDÓ - csomagot, amely nem tartozik egyetlen létező kapcsolat (vagyis azokat a csomagokat, amelyek részét képezik az új vegyületek, amelyek kezdeményezte a már létrejött kapcsolat hozható létre), de társul hozzá. (Példa - FTP aktív üzemmódban használja a különböző adatkapcsolatok vannak csatlakoztatva Ezek a vegyületek.).

ÉRVÉNYTELEN - csomagokat, nem lehet az egyik vagy másik ok azonosítására. Mint például ICMP hibák nem tartoznak a meglévő kapcsolatok

Most viszont, hogy a szabályok megalkotását. Az első lépés az, hogy változtassa meg az alapértelmezett politika:

iptables -P INPUT DROP
iptables -P OUTPUT DROP

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

És végül - a jogot arra, hogy figyelemmel kíséri a feltétel:

iptables -A INPUT -m state --state LÉTRE, KAPCSOLÓDÓ -j ACCEPT
iptables -A OUTPUT -m state --state LÉTRE, KAPCSOLÓDÓ -j ACCEPT

Ily módon hoztunk létre egy teljesen zárt tűzfalat. Most kell hozzá teszi szabályokat. Íme néhány példa:

- hogy csak a kimenő pingek

iptables -A INPUT -p icmp --icmp típusú echo-reply -j ACCEPT
iptables -A OUTPUT -p icmp --icmp típusú echo-request -j ACCEPT

- lehetővé teszi a hozzáférést a szerverhez keresztül ssh:

iptables -A INPUT -p tcp -m state --state ÚJ --dport 22 -j ACCEPT

De a teljes lista a tűzfalon:

iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state LÉTRE, KAPCSOLÓDÓ -j ACCEPT
iptables -A INPUT -p icmp --icmp típusú echo-reply -j ACCEPT
iptables -A INPUT -p tcp -m state --state ÚJ --dport 22 -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -m state --state LÉTRE, KAPCSOLÓDÓ -j ACCEPT
iptables -A OUTPUT -p icmp --icmp típusú echo-request -j ACCEPT

Az a tény, hogy amikor ezek a szabályok nem tűzfal válik felépített kapcsolatot. Ha azt szeretnénk, hogy erőt, hogy ezt - a legjobb megoldás:

iptables -I INPUT 1 -s 10.10.10.10 -m state --state LÉTRE kapcsolódó -j DROP

Ha ön használ egy lánc előre. akkor szükség lesz a következő szabályok vonatkoznak:

iptables -P FORWARD DROP
iptables -A FORWARD -i $ INET_IFACE -m state --state LÉTRE, KAPCSOLÓDÓ -j ACCEPT
iptables -A FORWARD -i $ LAN_IFACE -m state --state ÚJ, meggyökeresedett KAPCSOLATOS -j ACCEPT

Hozzászólás navigáció

Kapcsolódó cikkek