Άρθρο από mc-educate
Βασικά για τα iptables
Σε ορισμένα σενάρια είναι απαραίτητο να αποκλείσετε μια διεύθυνση IP. Το εργαλείο δικτύου iptables προσφέρει μια σειρά από επιλογές για αυτό.
Τα παραδείγματα σε αυτήν τη σελίδα δείχνουν πώς μια διεύθυνση IP ή μεμονωμένες υπηρεσίες μπορούν να αποκλειστούν για μια διεύθυνση IP.
Εγκαταστήστε το iptables
Τα Iptables πρέπει να είναι εγκατεστημένα στο λειτουργικό σύστημα. Ενώ με το Fedora και το CentOS
το iptables είναι ήδη προεγκατεστημένο, πρέπει πρώτα να το εγκαταστήσετε στο Ubuntu.
Ξεκινήστε την εγκατάσταση των iptables με την ακόλουθη εντολή:
| # apt-get install iptables |
Παράμετρος
Το πρόγραμμα iptables μπορεί να κληθεί με έναν αριθμό παραμέτρων - λεπτομέρειες μπορούν να βρεθούν χρησιμοποιώντας το man iptables.
Οι πιο σημαντικές παράμετροι είναι:
iptables [-t <table-name>] <command> <chain-name> <parameter-1> \
<option-1> <parameter-n> <option-n>
| Parameter | Description |
|---|---|
-p, --protocol |
The protocol, such as TCP, UDP, etc. |
-s, --source |
Can be an address, network name, hostname, etc. |
-d, --destination |
An address, hostname, network name, etc. |
-j, --jump |
Specifies the target of the rule; i.e. what to do if the packet matches. |
-g, --goto chain |
Specifies that the processing will continue in a user-specified chain. |
-i, --in-interface |
Names the interface from where packets are received. |
-o, --out-interface |
Name of the interface by which a packet is being sent. |
-f, --fragment |
The rule will only be applied to the second and subsequent fragments of fragmented packets. |
-c, --set-counters |
Enables the admin to initialize the packet and byte counters of a rule. |
Παραδείγματα
Αποκλεισμός μιας διεύθυνσης IP για εισερχόμενα πακέτα δεδομένων
Σε αυτό το παράδειγμα, όλα τα πακέτα δεδομένων που προέρχονται από τη διεύθυνση IP 1.2.3.4 πρέπει να απορριφθούν. Ως αποτέλεσμα, αυτή η διεύθυνση IP θα λαμβάνει μόνο χρονικά όρια σύνδεσης από εδώ και στο εξής. Η εντολή είναι χρήσιμη για τον αποκλεισμό μιας μεμονωμένης διεύθυνσης IP:
| # iptables -A INPUT -s 1.2.3.4 -j DROP |
Αποκλεισμός εύρους διευθύνσεων για εισερχόμενες συνδέσεις
Χρησιμοποιήστε την ακόλουθη εντολή για να αποκλείσετε μια ολόκληρη σειρά διευθύνσεων δικτύου - σε αυτό το παράδειγμα, όλες οι διευθύνσεις IP μεταξύ 1.2.3.0 και 1.2.3.255 είναι αποκλεισμένες:| # iptables -A INPUT -s 1.2.3.0/24 -j DROP |
Αποκλεισμός διεύθυνσης IP για εξερχόμενα πακέτα δεδομένων
Μερικές φορές είναι απαραίτητο να περιορίσετε την πρόσβαση του συστήματός σας σε εξωτερικά συστήματα. Η ακόλουθη εντολή έχει ως αποτέλεσμα ότι οι εφαρμογές του διακομιστή σας δεν μπορούν πλέον να έχουν πρόσβαση στη διεύθυνση IP 1.2.3.4:
# iptables -A OUTPUT -s 1.2.3.4 -j DROP |
Αποκλείστε την πρόσβαση σε μεμονωμένες θύρες
Η ακόλουθη εντολή δεν θα καθιστούσε πλέον δυνατή την πρόσβαση στη θύρα SMTP του διακομιστή σας. Όλες οι προσπάθειες πρόσβασης στη θύρα 25 θα αποκλειστούν με συνέπεια:
# iptables -A INPUT -p tcp --dport 25 -j DROP |
Στο ακόλουθο παράδειγμα, η πρόσβαση στη θύρα 25 περιορίζεται σε συστήματα τρίτων κατασκευαστών.
Δεν θα είναι πλέον δυνατή η αποστολή e-mail σε συστήματα τρίτων:
Δεν θα είναι πλέον δυνατή η αποστολή e-mail σε συστήματα τρίτων:
| # iptables -A OUTPUT -p tcp --dport 25 -j DROP |
