Iptables и динамични правила (запази състояние), се представят за настройка и поддръжка на сървъри

Такова нещо като динамични правила за IPTABLES не съществува. Правилно нарича - дръжте държавен статут проследяване.

В Iptables съществува такъв тип статус (на разположение, ако "състояние" на модула се зарежда чрез "-m състояние"):

НОВО - Всички пакети за създаване на нова връзка (например установяване на връзка заявка)

СЪЗДАДЕНА - Всички пакети, принадлежащи към съществуваща връзка (т.е., да получите отговор уеб -server)

СВЪРЗАНИ - Пакети, които не принадлежат към съществуваща връзка (т.е., тези пакети, които са част от новите съединения, които се инициирани от създадената вече е установена връзка), но свързани с нея. (Пример - FTP в активен режим използва различни връзки за данни са свързани Тези съединения.).

НЕВАЛИДНИ - пакети, които може да не са за една или друга причина се идентифицират. Такива като ICMP грешки не принадлежат към съществуващите връзки

Сега е ред на създаването на правила. Първата стъпка е да се промени политиката си по подразбиране:

IPTABLES -P INPUT DROP
IPTABLES -P OUTPUT DROP

IPTABLES -A INPUT -i ето -j ACCEPT
IPTABLES -A OUTPUT -o ето -j ACCEPT

И най-накрая - правото да следи за състоянието:

IPTABLES -A INPUT -m състояние --state установена, СВЪРЗАНИ -j ACCEPT
IPTABLES -A OUTPUT -м състояние --state установена, СВЪРЗАНИ -j ACCEPT

По този начин ние сме създали напълно затворена защитна стена. Сега ние трябва да добавим и разрешите на правилата. Ето няколко примера:

- позволява само изходящи пинг

IPTABLES -A INPUT -p ICMP --icmp тип ехо отговор -j ACCEPT
IPTABLES -A OUTPUT -p ICMP --icmp тип ехо-запитване -j ACCEPT

- осигуряване на достъп до сървъра чрез SSH:

IPTABLES -A INPUT -p TCP -м състояние --state NEW --dport 22 -j ACCEPT

Но пълното изброяване на нашата защитна стена:

IPTABLES -F
IPTABLES -P INPUT DROP
IPTABLES -P OUTPUT DROP
IPTABLES -A INPUT -i ето -j ACCEPT
IPTABLES -A INPUT -m състояние --state установена, СВЪРЗАНИ -j ACCEPT
IPTABLES -A INPUT -p ICMP --icmp тип ехо отговор -j ACCEPT
IPTABLES -A INPUT -p TCP -м състояние --state NEW --dport 22 -j ACCEPT
IPTABLES -A OUTPUT -o ето -j ACCEPT
IPTABLES -A OUTPUT -м състояние --state установена, СВЪРЗАНИ -j ACCEPT
IPTABLES -A OUTPUT -p ICMP --icmp тип ехо-запитване -j ACCEPT

Факт е, че когато тези правила не са защитна стена разделя осъществена връзка. Ако искате да се принуди да направи това - най-добрият вариант:

IPTABLES -I INPUT 1 -s 10.10.10.10 -м състояние --state установена, СВЪРЗАНИ -j DROP

Ако използвате верига напред. след това ще се нуждаете от следните правила:

IPTABLES -P FORWARD DROP
IPTABLES -A FORWARD -i $ INET_IFACE -м състояние --state, създадени, СВЪРЗАНИ -j ACCEPT
IPTABLES -A FORWARD -i $ LAN_IFACE -м състояние --state NEW, създадена, СВЪРЗАНИ -j ACCEPT

навигация в публикациите

Свързани статии

Купчина комутатори Cisco, извършете настройка и поддръжка на сървъри