Научете как да използвате IPTABLES на Debian, тетрадка обикновен администратор)

Създаване на защитна стена / маршрутизация конфигурация скрипт

Създай свой собствен файл - нека го наречем като Netfilter
Ние събрахме сценария в /etc/init.d/
Осъществяване изпълним файл: коригират + х /etc/init.d/netfilter
Предписани в стандартната заглавния файл за черупки скрипт: # / хамбар / Баш!
Добавяне на скрипт за стартиране: актуализация-rc.d Netfilter подразбиране
ЗАДАЧИ: описва процес за повече от други разпределения, като не се използва SYSV Init

Сега имаме скрипт, който ще се изпълнява всеки път, когато системата се рестартира. Тя трябва да бъде попълнено с неговото съдържание. При конфигуриране на защитната стена трябва да използвате правилото "един добър администратор" - отрече всичко и да позволи присъствието на необходимо само да, които наистина се нуждаят от достъп.

#! / Bin / Баш
IPTABLES -F INPUT
IPTABLES -F OUTPUT
IPTABLES -F FORWARD
#iptables -A INPUT -p TCP -j ACCEPT --dport 22
#iptables -A OUTPUT -p TCP -j ACCEPT --sport 22
IPTABLES -P INPUT DROP
IPTABLES -P OUTPUT DROP
IPTABLES -P FORWARD DROP

Оставя входящи връзки

С цел да се позволи входящо TCP-връзка е необходимо да се сценарият да добавите ред: IPTABLES -A INPUT -p TCP --dport 80 -m състояние --state NEW -j ACCEPT В този случай, разрешен достъп до порт 80 (обикновено има HTTP -server)

При прекарване на конфигурацията трябва да се вземат под внимание следните точки (събрани въз основа на най-популярните заблуди)

На хоста в мрежата 192.168.1.0/24 - регистрирай маршрут до 192.168.2.0/24 мрежа чрез 192.168.1.1 - като Linux. IP маршрут добавите 192.168.2.0/24 чрез 192.168.1.1
На хоста в мрежата 192.168.2.0/24 - регистрирай маршрут до 192.168.1.0/24 мрежа чрез 192.168.2.1 - като Linux. IP маршрут добавите 192.168.1.0/24 чрез 192.168.2.1
На рутера, за да се даде възможност на маршрута на пакетите: ехо 1> / ргос / сис / нето / ipv4 / ip_forward - линия трябва да бъдат добавени към скрипта 😉
На рутера за да позволи преминаването на пакети през защитната стена (вж. Chain НАПРЕД)

Пакети, преминаващи през рутер падането във веригата напред. Например, за да позволи на потребителите в мрежата 192.168.1.0/24 достъп до уеб сървъри в мрежата в мрежата 192.168.2.0/24:

#! / Bin / Баш
IPTABLES -F INPUT
IPTABLES -F OUTPUT
IPTABLES -F FORWARD
#iptables -A INPUT -p TCP --dport 22 -m състояние --state NEW -j ACCEPT
IPTABLES -P INPUT DROP
IPTABLES -P OUTPUT DROP
IPTABLES -P FORWARD DROP
IPTABLES -A INPUT -p ICMP -j ACCEPT
IPTABLES -A OUTPUT -p ICMP -j ACCEPT
IPTABLES -A INPUT -p TCP -м състояние --state, създадени, СВЪРЗАНИ -j ACCEPT
IPTABLES -A OUTPUT -p TCP -м състояние --state NEW, СВЪРЗАНИ, създадена -j ACCEPT
IPTABLES -A INPUT -p UDP -м състояние --state, създадени, СВЪРЗАНИ -j ACCEPT
IPTABLES -A OUTPUT -p UDP -м състояние --state NEW, СВЪРЗАНИ, създадена -j ACCEPT
ехо 1> / Proc / сис / нето / IPv4 / ip_forward
IPTABLES -A FORWARD -p TCP -s 192.168.1.0/24 -d 192.168.2.0/24 -p TCP --dport 80 -m състояние НОВО, създадена -j ACCEPT
IPTABLES -A FORWARD -p TCP -s 192.168.2.0/24 -d 192.168.1.0/24 -p TCP-м-членка, установили -j ACCEPT

Линия 15 - позволи на маршрута.
Линия 16 - позволи преминаването на пакет от откриване на нова връзка на порт 80 TCP протокол, или към вече prinadlzhaschih ustanovlenmovu връзка на същата порта от домакини в 192.168.1.0/24 мрежа за домакини в мрежата 192.168.2.0/24.
Линия 17 - позволи пакети, принадлежащи към съществуваща връзка

В първия ред на всички пакети идват (-i) с ето известен още като примка интерфейс се приемат безусловно. Във втората - да се остави през ето интерфейс, както и отиде.

Подобно на това:

Свързани статии

Memcrab конфигурирате IPTABLES за защита на вашия уеб сървър, базиран на Debian и Ubuntu