Grundlegendes Nutzungs-Tutorial zur IPTABLES-Firewall unter LINUX

Vorwort

Für Produktions-VPS mit öffentlicher IP werden nur die erforderlichen Ports geöffnet, d. h. zur Steuerung von IP und Port wird ACL (Access Control List) verwendet.

Hier können Sie das Benutzermodus-Tool der Linux-Firewall Netfilter verwenden

Iptables hat 4 Tabellen: raw–>mangle (ändert die Originaldaten der Nachricht)–>nat (definiert die Adressübersetzung)–>filter (definiert die Regeln zum Zulassen oder Nichtzulassen)

Jede Tabelle kann mit mehreren Ketten konfiguriert werden:

* Für Filter gilt, dass sie grundsätzlich nur auf drei Ketten erfolgen können: INPUT, FORWARD, OUTPUT

* Für NAT ist dies im Allgemeinen nur auf drei Ketten möglich: PREROUTING, OUTPUT, POSTROUTING

* Für Mangle können alle fünf Ketten verwendet werden: PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING

Detaillierte Erklärung der drei Ketten der Filtertabelle:

* INPUT-Kette: Filtert alle Pakete, deren Zieladresse lokal ist

* FORWARD-Kette: Filtert alle Datenpakete, die durch diese Maschine gehen

* OUTPUT-Kette: filtert alle Datenpakete, die vom lokalen Rechner generiert werden

Lernen durch Analogie:

[Beispiel]: Alle Besuche filtern:
iptables -t Filter -A INPUT -s 0.0.0.0/0.0.0.0 -d XXXX -j DROP

[Beispiel]: Öffnen Sie Port 22 von SSH iptables -I INPUT -s 0.0.0.0/0.0.0.0 -d XXXX -p tcp --dport 22 -j ACCEPT

[Beispiel]: Öffnen Sie Port 80 iptables -A INPUT -s 0.0.0.0/0.0.0.0 -d XXXX -p tcp --dport 80 -j ACCEPT


[Beispiel]: Daten von 124 dürfen nicht durch 174 IP passieren
iptables -A AUSGABE -p tcp -s 45.32.102.124 -d 157.240.22.174 -j ABLEHNEN 

[Beispiel] Druckt die aktuell gültigen iptables-Regeln aus (-n zeigt die IP-Adresse an)
iptables -L -n

Angeben des Portbereichs in der Linux-IPTables-Firewall

iptables -I INPUT -p tcp --dport 700:800 -j DROP 
iptables -I INPUT -s 11.129.35.45 -p tcp --dport 700:800 -j AKZEPTIEREN

1. 700:800 bedeutet alle Ports zwischen 700 und 800

2. :800 bedeutet alle Ports 800 und darunter

3. 700: zeigt 700 und alle Ports darüber an

Der Effekt dieses Beispiels besteht darin, dass die Ports 700-800 unter Verwendung des Whitelist-Mechanismus nur für die IP-Adresse 11.129.35.45 geöffnet werden.

Snat, Dnat iptables-Verwendung:

Quelladressübersetzung (Snat): iptables -t nat -A -s private IP -j Snat –to-source öffentliche IP

Zieladressübersetzung (Dnat): iptables -t nat -A -PREROUTING -d öffentliche IP -j Dnat –zum Ziel private IP

Detaillierte Erklärung des iptables-Befehls

Häufig verwendete iptables-Befehlsoptionen sind:

-P: Legen Sie die Standardrichtlinie fest (legen Sie fest, ob die Tür standardmäßig geschlossen oder offen sein soll), beispielsweise: iptables -P INPUT (DROP|ACCEPT)
-F: FLASH, lösche die Regelkette (beachte die Verwaltungsberechtigungen jeder Kette)
-N:NEW unterstützt Benutzer beim Erstellen einer neuen Kette, zum Beispiel: iptables -N inbound_tcp_web bedeutet, eine Verbindung zur TCP-Tabelle herzustellen, um das Web zu überprüfen.
-X: wird zum Löschen benutzerdefinierter leerer Ketten verwendet
-Z: Kette löschen
-A: Anhängen
-I num: insert, fügt die aktuelle Regel als Nummer ein
-R num: Replays ersetzt/ändert die Regelnummer
-D num: Löschen, geben Sie die Anzahl der zu löschenden Regeln explizit an
-L: Regeldetails anzeigen, etwa „iptables -L -n -v“
-s gibt die Quell-IP-Adresse an
-d gibt die Ziel-IP-Adresse an
DROP bedeutet Verwerfen (Ablehnen)
ACCEPT bedeutet Akzeptanz
-p gibt das anwendbare Protokoll an, z. B. tcp

Weitere Beispiele:

[Beispiel] Fügen Sie iptables-Regeln hinzu, um Benutzern den Zugriff auf die Website mit dem Domänennamen www.sexy.com zu verbieten.

iptables -I FORWARD -d www.sexy.com -j DROP

[Beispiel] Fügen Sie iptables-Regeln hinzu, um Benutzern den Zugriff auf die Website mit der IP-Adresse 20.20.20.20 zu verweigern.

iptables -I FORWARD -d 20.20.20.20 -j DROP

[Beispiel] Fügen Sie iptables-Regeln hinzu, um Clients mit der IP-Adresse 192.168.1.X den Internetzugriff zu verweigern.

iptables -I FORWARD -s 192.168.1.X -j DROP

[Beispiel] Fügen Sie iptables-Regeln hinzu, um allen Clients im Subnetz 192.168.1.0 den Internetzugriff zu verweigern.

iptables -I FORWARD -s 192.168.1.0/24 -j DROP

[Beispiel] Verbieten Sie allen Clients im Subnetz 192.168.1.0 das Herunterladen mit dem FTP-Protokoll.

iptables -I FORWARD -s 192.168.1.0/24 -p tcp –dport 21 -j DROP

[Beispiel] Erzwingen Sie, dass alle Clients auf den Webserver unter 192.168.1.x zugreifen.

iptables -t nat -I PREROUTING -i eth0 -p tcp –dport 80 -j DNAT –zum Ziel 192.168.1.x:80

[Beispiel] Die Verwendung des ICMP-Protokolls ist verboten.

iptables -I INPUT -i ppp0 -p icmp -j DROP

Zusammenfassen

Das Obige ist der vollständige Inhalt dieses Artikels. Ich hoffe, dass der Inhalt dieses Artikels einen gewissen Lernwert für Ihr Studium oder Ihre Arbeit hat. Wenn Sie Fragen haben, können Sie eine Nachricht hinterlassen. Vielen Dank für Ihre Unterstützung von 123WORDPRESS.COM.