IPTABLES

Iptables je aplikacija za konfiguracijo tabel Linux Kernel požarnega zidu.

Osnovni ukazi:

iptables -L (izpiše trenutna pravila požarnega zidu)

-A ( dodaj pravilo v “rule chain”. Rule chains se delijo na INPUT, FORWARD,  OUTPUT)

-m conntrack ( pravilo deluje na podlagi stanja povezave)

–cstate (definiraj listo stanj za pravila. Možne so naslednje možnosti:

1. NEW – Povezava še ni bila vzpostavljena

2. RELATED – Povezava je nova, vendar je vezana na povezavo, ki je že vzpostavljena.

3.ESTABLISHED – Povezava je vzpostavljena

4. INVALID – Prometa ni bilo možno identificirati.

-m limit ( Pravilo velja le za čas, ki smo ga navedli)

-l limit ( Največji možen čas pravila)

-p ( vrsta protokola )

–dport ( “destination port”, vhodne povezave filtriramo po vhodnih vratih)

-j (“jump”, pošlji paket na določeno tarčo. Iptables ima privzeto štiri vrste tarč:

1. ACCEPT (sprejmi paket)

2. REJECT (zavrnemo paket in vrnemo “reject” pošiljatelju)

3.DROP ( zavrzi paket in ne pošlji odgovora pošiljatelju)

4.LOG ( zabeleži paket in nadaljuj pregled pravil)

–log-prefix ( dodaj tekst pred vpisom v dnevnik)

–log-level ( sistemski dnevnik ima več nivojev zapisa (podrobnost podatkov))

-i (pravilo velja le, če paket pride na pravo mrežno kartico)

-v (prikaži več informacij ob vstopu paketa)

-s –source (IP naslov[/maska] pošiljatelja)

-d –destination (IP naslov[/maska] prejemnika)

-o –out-interface (ime outputa + ime kartice)

Primeri:

1. Stanje iptables pred urejanjem (privzete nastavitve)

2. Odprimo port za spletni strežnik (port 80) in SSH dostop.

iptables -A INPUT -p tcp –dport 80 -j ACCEPT

iptables -A INPUT -p tcp –dport 22 -j ACCEPT (to pomeni, da bo odprt privzeti port 22 za SSH. Če ga imate na drugem portu vnesti številko porta namesto SSH)

Sedaj imamo odprta WWW in SSH porta. Če želimo ostale povezave onemogočiti vnesemo naslednje pravilo:

iptables -A INUPUT -j DROP

Stanje Iptables po pisanju pravil:

Če želimo dodati novo pravilo recimo za “loopback” povezave, ga moramo dati pred “DROP all — anywhere”, ker bodo vse povezave po tem pravilu zavržene.

iptables -I INPUT 1 -i lo -j ACCEPT

Z ukazom “iptables -L -v” dobimo bolj podrobne informacije o paketih.

V PRIMERU PONOVNEGA ZAGONA RAČUNALNIKA BODO VSE NASTAVITVE IZIGINILE. Če želite nastavitve shraniti trajno vnesite ukaz

“/etc/init.d/iptables save”

Leave a Reply

Your email address will not be published. Required fields are marked *

Internetna zaščita

Copyright © 2013. All Rights Reserved.