See õpetus juhendab teid, kuidas tulemüür töötab Operatsioonisüsteem Linux süsteem ja mis see on IPTabelid Linuxis? Tulemüür otsustab süsteemi saabuvate ja väljaminevate pakettide saatuse. IPTables on reeglitel põhinev tulemüür ja see on enamikule Linuxi operatsioonisüsteemidele eelinstallitud. Vaikimisi töötab see ilma reegliteta. IP -tabelid olid kaasas Kernel 2.4, enne kui seda kutsuti ipchains või ipfwadm. IPTables on kasutajaliides tuumaga rääkimiseks ja otsustab filtreeritavad paketid. See juhend võib aidata teil saada IPTable -ide ligikaudse ettekujutuse ja põhikäsklused, kus kirjeldame praktilisi iptable -reegleid, mida saate viidata ja kohandada vastavalt oma vajadustele.
Erinevate protokollide jaoks kasutatakse erinevaid teenuseid:
IPTable'i peamised failid on järgmised:
Praegu on kolm tabelit.
Praegu on kokku neli ahelat:
Märge: Ülaltoodud põhifailid võivad veidi erineda Ubuntu Linux.
Iptabe tulemüüri käivitamine, peatamine ja taaskäivitamine.
# /etc/init.d/iptables start # /etc/init.d/iptables stop. # /etc/init.d/iptables taaskäivitage
IPTable'i käivitamiseks süsteemi käivitamisel kasutage järgmist käsku.
#chkconfig -tase 345 iptable'i
IPTabeli reeglikomplektide salvestamine alltoodud käsuga. Iga kord, kui süsteem taaskäivitas ja taaskäivitas IPTables'i teenuse, tühistati või lähtestati kehtivad reeglid. Allpool käsk salvesta TPTables reeglikomplektid /etc/sysconfig/iptables fail vaikimisi ja reeglid rakendatakse või taastatakse juhul, kui IPTableid tühjendatakse.
#teenus iptables salvesta
IPTable / tulemüüri oleku kontrollimine. Valikud “-L"(Reeglite loend),"-v"(Paljusõnaline) ja"-n”(Kuvatakse numbrivormingus).
[[e -post kaitstud] ~]# iptables -L -n -v Chain INPUT (poliitika ACCEPT 0 paketid, 0 baiti) pkts bytes target prot opt in out source source 6 396 ACCEPT all - * * 0.0.0.0/0 0.0.0.0/0 olek SEOTUD, ASUTATUD 0 0 ACCEPT icmp - * * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all - lo * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT tcp - * * 0.0.0.0 /0 0.0.0.0/0 olek UUS tcp dpt: 22 0 0 KÕRGA kõik- * * 0.0.0.0/0 0.0.0.0/0 tagasilükkamine-icmp-host-keelatud ahelaga EDASI (poliitika VÕTA VASTU 0 paketti, 0 baiti) pk baiti sihtmärk prot opt in out source source 0 0 REJECT all- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-keelatud Chain OUTPUT (poliitika ACCEPT 5 paketti, 588 baiti) pk baiti sihtmärk prot opt in out source sihtkoht
IPTable -reeglite kuvamine numbritega. Argumendi abil "-rida-numbrid”Saate reegleid lisada või eemaldada.
[[e -post kaitstud]~]# iptables -n -L -v -line -numbrid Ahel INPUT (poliitika VÕTA VASTU 0 paketti, 0 baiti) num pkts baiti sihtmärk prot opt in out lähtekoha sihtkoht. 1 51 4080 VÕTA KÕIK - * * 0.0.0.0/0 0.0.0.0/0 olek SEOTUD, ASUTATUD. 2 0 0 ACCEPT icmp - * * 0.0.0.0/0 0.0.0.0/0. 3 0 0 VÕTA vastu kõik - lo * 0.0.0.0/0 0.0.0.0/0. 4 0 0 VÕTA TCP - * * 0.0.0.0/0 0.0.0.0/0 olek UUS tcp dpt: 22. 5 0 0 Lükka kõik tagasi- * * 0.0.0.0/0 0.0.0.0/0 tagasilükkamine-icmp-host-keelatud ahelaga EDASI (poliitika VÕTA VASTU 0 paketti, 0 baiti) num pkts baiti sihtmärk prot opt in out lähtekoha sihtkoht. 1 0 0 Lükka kõik tagasi- * * 0.0.0.0/0 0.0.0.0/0 tagasilükkamine-icmp-host-keelatud ahela väljundiga (poliitika AKTSEPTEERI 45 paketti, 5384 baiti) num pkts baiti sihtmärk prot opt in out lähtekoha sihtkoht
IPTable -reeglite loputamine või kustutamine. Allolev käsk eemaldab tabelitest kõik reeglid. Enne ülaltoodud käsu täitmist tehke reeglikomplektidest varukoopia.
[[e -post kaitstud] ~]# iptables -F
Reeglite kustutamisel või lisamisel vaatame kõigepealt reegleid ahelates. Allpool olevad käsud kuvavad reeglite komplekti INPUT ja OUTPUT ahelates koos reeglite numbritega, mis aitavad meil reegleid lisada või kustutada
[[e -post kaitstud] ~]# iptables -L SISEND-n-line-numbrid Ahel INPUT (poliitika ACCEPT) num target prot opt allika sihtkoht. 1 VÕTA KÕIK vastu - 0.0.0.0/0 0.0.0.0/0 olek SEOTUD, ASUTATUD. 2 VÕTA vastu icmp - 0.0.0.0/0 0.0.0.0/0. 3 VÕTA KÕIK vastu - 0.0.0.0/0 0.0.0.0/0. 4 VÕTA vastu tcp - 0.0.0.0/0 0.0.0.0/0 olek UUS tcp dpt: 22. 5 REJECT all-0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-keelatud
[[e -post kaitstud] ~]# iptables -L VÄLJUND-n-line-numbrid. Ahela väljund (eeskirjade aktsepteerimine) num target prot opt allika sihtkoht
Oletame, et soovite reegli nr 5 kustutada SISEND kett. Kasutage järgmist käsku.
[[e -post kaitstud] ~]# iptables -D SISEND 5
Reegli lisamiseks või lisamiseks SISEND kett vahele 4 ja 5 reeglistik.
[[e -post kaitstud] ~]# iptables -I INPUT 5 -s ipaddress -j DROP
Oleme just proovinud katta algajatele mõeldud IPTable'i põhilisi kasutusviise ja funktsioone. Saate luua keerukaid reegleid, kui olete TCP/IP -st täielikult aru saanud ja oma seadistusi hästi tundnud.