Začínáme s Iptables: Udržujte špatné lidi (a roboty) mimo váš server

Zveřejnění: Vaše podpora pomáhá udržovat provoz webu! Za některé služby, které na této stránce doporučujeme, dostáváme poplatek za doporučení.


Iptables je aplikační program operačního systému Linux, který se používá pro konfiguraci tabulek IPv4 používaných bránou firewall jádra Linux. Iptables je součástí většiny linuxových distribucí běžících na jádru 2.4.x nebo novějším.

Iptables je extrémně flexibilní obslužný program firewallu příkazového řádku, který pomocí řetězců politik povoluje nebo blokuje přenos. Je jasně zaměřen na správce systému, protože vyžaduje spuštění zvýšených oprávnění a musí být spuštěn uživatelem root.

Stručná historie

Vývoj projektu iptables začal v roce 1998, v čele s australským vývojářem softwaru Rusty Russell. Iptables byl vytvořen jako nástupce ipchainů, dřívějšího Linuxového firewallového nástroje vytvořeného také Russellem.

Jak se projekt rozšiřoval, Rusty Russell založil v roce 1999 tým Netfilter Core Team. Produkoval rámec Netfilter Linux a iptables a vydal je na základě GNU General Public License. V březnu 2000 byly Netfilter a iptables sloučeny do hlavní řady linuxového jádra.

Vlastnosti a design Iptables

Pro různé protokoly se používají různé moduly jádra – iptables se vztahuje na IPv4, ip6tables na IPv6, arptables do ARP a ebtables do ethernetových rámců.

Iptables se používá k nastavení, údržbě a kontrole tabulek pravidel filtrování paketů IPv4 v linuxovém jádře.

Může být definováno několik různých tabulek, přičemž každá tabulka obsahuje určitý počet vestavěných řetězců nebo uživatelem definovaných řetězců. Každý řetězec je sada pravidel, která mohou odpovídat sadě paketů, zatímco každé pravidlo určuje, co dělat s paketem, který odpovídá. Tomu se říká cíl.

Pokud paket odpovídá pravidlu, jeho osud je určen hodnotou cíle: ACCEPT propustí paket, DROP upustí paket, QUEUE předá paket do uživatelského prostoru, RETURN obnoví další pravidlo v předchozím volajícím řetězci.

V závislosti na konfiguraci jádra a aktivních modulech je k dispozici až pět nezávislých tabulek:

  • Filtr je výchozí tabulka, která obsahuje vestavěné řetězce INPUT, FORWARD a OUTPUT.
  • Nat se používá, když se objeví paket, který vytváří nové připojení, obsahující vestavěné řetězce PREROUTING, OUTPUT a POSTROUTING.
  • Mandl – používá se ke změně speciálních paketů, které obsahují vestavěné řetězy PREROUTING, INPUT, OUTPUT, FORWARD a POSTROUTING.
  • Drsný se používá pro konfiguraci výjimek ze sledování připojení v kombinaci s cílem NOTRACK, poskytuje vestavěné řetězce PREROUTING a OUTPUT.
  • Bezpečnostní se používá pro síťová pravidla povinného přístupu (MAC), s integrovanými řetězci INPUT, OUTPUT a FORWARD.

Možnosti rozpoznané iptables jsou rozděleny na příkazy, parametry a další možnosti.

Použití Iptables

Iptables je obslužný program příkazového řádku předinstalovaný ve většině distribucí Linuxu. V případě, že potřebujete aktualizovat nebo nainstalovat iptables, můžete použít následující příkaz:

sudo apt-get install iptables

Měli byste být velmi opatrní, pokud jste přihlášeni ke vzdálenému serveru a konfigurujete jeho pravidla iptables, protože jeden nesprávný příkaz vás může uzamknout navždy a možná bude nutné jej ručně opravit na serveru.

Ukážeme několik běžných a jednoduchých příkazů použitých při konfiguraci pravidel iptables. Pokud plánujete používat pokročilé funkce iptables, měli byste zkontrolovat některé zdroje iptables, které poskytujeme níže.

Aktuálně nakonfigurovaná pravidla iptables můžete vypsat pomocí:

iptables –L

Ve většině případů budete chtít, aby váš systém ve výchozím nastavení přijímal připojení pomocí těchto příkazů:

iptables –policy INPUT ACCEPT
iptables –policy OUTPUT ACCEPT
iptables –policy FORWARD ACCEPT

Poté můžete pomocí iptables zakázat připojení ze specifických IP adres nebo portů, například:

iptables -A INPUT -s 192.168.10.10 -j DROP

Nebo můžete blokovat připojení z celé řady IP adres, jako je tato:

iptables -A INPUT -s 192.168.10.0/24 -j DROP

V některých konkrétních případech můžete použít opačný přístup k výše popsanému. Můžete odmítnout všechna připojení a ručně zadat ty, které chcete povolit připojení. Toto nastavení lze použít pro servery s citlivými daty, které jsou připojeny k jedinečné IP adrese.

iptables –policy INPUT DROP
iptables –policy OUTPUT DROP
iptables –policy FORWARD DROP
iptables -A INPUT -s 192.168.10.10 -j ACCEPT

Je důležité si uvědomit, že všechny změny provedené v pravidlech iptables nebudou automaticky uloženy. Musíte uložit změny ručně pomocí příkazu, který se může lišit v závislosti na vaší distribuci. Toto je příkaz Ubuntu:

sudo / sbin / iptables-save

V případě, že jste zapomněli uložit změny, které jste provedli v iptables, budou ztraceny při příštím restartu služby iptables.

Příkaz flush můžete také použít k vymazání všech nakonfigurovaných pravidel:

iptables -F

Zdroje Iptables

Existuje mnoho zdrojů pro iptables online, což je pochopitelné, protože iptables je součástí většiny linuxových distribucí. Učení a používání iptables by nemělo být problémem, zejména pokud se spoléháte na kvalitní zdroje, jako jsou tyto:

  • Oficiální příručka Iptables je podrobně popsána a poskytuje užitečný odkaz pro příkazy a parametry iptables.
  • Linux 2.4 Filtrování paketů Dokumentace HOWTO je velmi podrobný popis filtrování paketů napsaný Rustym Russellem. Zvláštní význam má sekce Používání Iptables.
  • Iptables How To je pěkný průchod iptables.

Knihy Iptables

Neexistuje velké množství knih zabývajících se iptables, i když iptables jsou zmíněny v mnoha knihách psaných o Linuxu a firewallech.

Se spoustou kvalitních online zdrojů není divu, že se již více knih zabývajících iptables nezabývá. Proto jsme vybrali pouze jednu knihu o iptables:

  • Linux Iptables Pocket Reference od Gregora Purdyho: Tato kapesní reference vám pomůže v těch kritických okamžicích, kdy vás někdo požádá o otevření nebo zavření portu ve spěchu, a to buď za účelem umožnění nějakého důležitého provozu nebo zablokování útoku. Kniha udržuje jemnou syntaxi rovnou a pomůže vám zapamatovat si všechny hodnoty, které musíte zadat, aby byla co nejbezpečnější.

Závěr

Iptables je široce používaný nástroj, takže rozhodně stojí za zvládnutí, pokud se hodně vaší práce točí kolem serverů založených na Linuxu. Naštěstí její popularita znamená, že iptables se stále aktivně vyvíjejí a nové verze jsou pravidelně uváděny.

Znamená to také, že není k dispozici dostatek kvalitních zdrojů iptables online, ale pokud si užijete zvrásnění papíru, bude těžké najít knihy iptables. Přesto, samotný objem digitálních iptables zdrojů více než vyrovnává nedostatek brožovaných zdrojů.

Iptables je výkonný, ale snadno použitelný nástroj. Každý aspirující linuxový guru by to měl zvládnout.

Další čtení a zdroje

Máme více průvodců, výukových programů a infografik týkajících se používání počítače:

  • Úvod a zdroje pro programování Linuxu: tento hluboký ponor do programování Linuxu spadne do jádra, kde je veškerá akce.
  • Programování sítě s internetovými zásuvkami: Naučte se vše o vytváření sítí na internetu.

Programovací prostředky Unix

Pokud se opravdu dostanete do Linuxu a chcete pro něj začít vytvářet programy, máme skvělé místo, kde se můžete začít učit: Unix Programming Resources.

Konečný seznam nástrojů pro webmastery A-Z
Programovací prostředky Unix

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map