Pentru a începe să definească o anumită terminologie:
iptables - un instrument de linie de comandă, interfața de gestionare a firewall-ului.
Regula - un membru al criteriului de acțiune și contra.
Chain - o secvență ordonată de reguli.
Tabelul - un set de siruri de caractere de bază și personalizate.
ieșire Mai multe verbose
Lucrul cu regulile
* Regula numărul puteți vedea în producția verbose
Ștergeți tabelul de la regulile
Modificarea politicii de stat
Includerea transmite pachete între interfețe
Pentru a face acest lucru, decomentați liniile corespunzătoare din /etc/sysctl.conf
Și se aplică modificările de comandă
Avem un server cu serverul Ubuntu 16.04.01 și două interfețe de rețea:
ens32 IP 192.168.1.51/24 - arată la rețeaua externă.
ens33 IP 192.168.100.2/24 - arată în rețeaua internă.
În rețeaua internă are o mașină client care rulează Windows 10, care are o singură interfață de rețea cu IP 192.168.100.11/24
În mod implicit, toate lanțurile utilizate politicile de soluționare.
Modificarea politicii privind interzicerea INPUT lanțuri și URMAT
Astfel, ne-am interzis orice conexiuni de intrare la router (INPUT DROP), precum și conexiuni de intrare și de ieșire pentru rețeaua internă (FORWARD DROP) spre exterior.
Important! iptables este utilizat pentru a lucra cu protocolul IPv4. Pentru a lucra cu IPv6 nevoie pentru a utiliza ip6tables de utilitate. Având în vedere că rețeaua nu este planificată pentru a utiliza protocolul IPv6, interdicția pe ea conexiuni
Permisul orice traficul de intrare pe interfața loopback
Regulile pentru rețeaua externă
Când router-ul trimite un pachet cu o cerere de conectare la interfața externă, a declanșat lanțul de IEȘIRE politica de rezoluție, pachetul se execută cu succes. Apoi, gazda la care este inițiată o conexiune, trimite un pachet de răspuns, care este acoperit de politica interzice lanțului de intrare. Compusul nu trece. Pentru a compus au fost procedând astfel:
Rezolva suport conexiuni stabilite anterior
Rezolva ping (ping) pe interfața externă
Regulile pentru rețeaua internă
Adăugați o regulă NAT pentru pachetele de mascare a merge din interior spre exterior
Sau cel puțin așa pentru o adresă IP dinamică pe interfața externă
Rezolva suport conexiuni stabilite anterior
Se permite comunicarea prin (ping) de la rețeaua internă extern
cereri dns rezolva la server cu IP 192.168.1.1
Rezolva traficul web din rețeaua internă la extern
resursele interne Publicarea în rețeaua externă
Publicarea pe extern 33899 portul de interfață, o resursă internă cu portul IP 192.168.100.11 3389
Publicarea pe portul de interfață externă 8080 de pe serverul de web local, care rulează pe router pe interfața internă cu IP 192.168.100.2 portul 80. De asemenea, serverul web trebuie să fie disponibile pentru gazde pe rețeaua internă pe portul 80.
fișier normele de conservare
Toate regulile de mai sus sunt stocate în memoria RAM și rula până când reporniți. Pentru a salva este utilizat de către fișierul reguli iptables-save utilitate.
Activarea normelor în momentul pornirii
Pentru a restaura un fișier din regulile utilizate iptables-restore de utilitate.
Adăugarea /etc/network/if-pre-up.d/iptables script
Adăugați posibilitatea de executare
Regulile descrise mai sus au o vedere detaliată, în scopul de a arăta mai clar activitatea firewall. Înregistrarea poate fi simplificată prin specificarea doar parametrii necesari.