Iptables și reguli dinamice (păstrează statul), execut instalarea, configurarea, întreținerea serverelor

Nu există reguli dinamice în iptables. Apelați corect - urmăriți starea de păstrare a stării.

În Iptables, există astfel de tipuri de stare (disponibile dacă modulul "state" este încărcat cu "-m state"):

NEW - Toate pachetele care stabilesc o nouă conexiune (de exemplu, o solicitare de conectare)

ESTABLISHED - Toate pachetele care aparțin conexiunii stabilite (De exemplu răspunsul GET al serverului web)

RELATED - Pachete care nu aparțin conexiunii stabilite (adică acele pachete care fac parte din noile conexiuni inițiate de conexiunea ESTABLISHED deja stabilită), dar legate de aceasta. (De exemplu, modul FTP în modul activ utilizează conexiuni diferite pentru transferul de date.) Aceste conexiuni sunt conectate.)

INVALID - Pachete care nu pot fi identificate dintr-un motiv sau altul. De exemplu, erorile ICMP care nu aparțin conexiunilor existente

Acum, să trecem la crearea regulilor. În primul rând, vom schimba politicile implicite:

iptables -P INPUT DROP
iptables -P DROP OUTPUT

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

Și în sfârșit - regulile de urmărire a stării:

iptables -U INPUT -m stat - stat ESTABLISHED, RELATED -j ACCEPT
iptables -A OUTPUT -m state -state ESTABLISHED, RELATED -j ACCEPT

Prin aceasta am creat un firewall complet închis. Acum rămâne să adăugăm reguli de permisiune. Iată câteva exemple:

- sunt permise numai ping-urile de ieșire

iptables -A INPUT -p icmp - tip de tip ec-răspuns -j ACCEPT
iptables -A OUTPUT -p icmp - tip de tip ec-request -j ACCEPT

- permitem accesul la server prin ssh:

iptables -A INPUT -p tcp -m stare -state NEW --dot 22 -j ACCEPT

Iată lista completă a firewallului nostru:

iptables -F
iptables -P INPUT DROP
iptables -P DROP OUTPUT
iptables -A INPUT -i lo -j ACCEPT
iptables -U INPUT -m stat - stat ESTABLISHED, RELATED -j ACCEPT
iptables -A INPUT -p icmp - tip de tip ec-răspuns -j ACCEPT
iptables -A INPUT -p tcp -m stare -state NEW --dot 22 -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -m state -state ESTABLISHED, RELATED -j ACCEPT
iptables -A OUTPUT -p icmp - tip de tip ec-request -j ACCEPT

Faptul este că, în conformitate cu aceste reguli, firewall-ul nu deconectează conexiunea ESTABLISHED. Dacă doriți să forțați acest lucru, cea mai bună opțiune este:

iptables -I INPUT 1-s 10.10.10.10 -m stat - stat ESTABLISHED, RELATED -j DROP

Dacă folosiți lanțul FORWARD. atunci va avea nevoie de astfel de reguli:

iptables -P FORWARD DROP
iptables -A FORWARD -i $ INET_IFACE -m state -state ESTABLISHED, RELATED -j ACCEPT
iptables -A FORWARD -i $ LAN_IFACE -m stare - stare NOU, ESTABLISHED, RELATED -j ACCEPT

Navigare după înregistrări

Articole similare