Iptables для начинающих. Первые шаги.
Четверг, 29 сентября 2011 г.Рубрика: *NIX_*BSD сиcтемы -> В помощь сисадмину
Метки: iptables
Просмотров: 21477
Подписаться на комментарии по RSS
Все кто перешел на Linux рано или поздно услышат это волшебное слова - iptables.
Про iptables есть много литература на просторах интернета, и кому будет интересно может ее найти и ознакомиться. Вот отличная статья - Руководство по iptables (Iptables Tutorial 1.1.19).
Эту заметку пишу для себя, чтоб когда понадобиться, для быстрой настройки, тупо сделать copy/paste.
1. Ограничением доступ в нашу сеть извне.В принципе мы знаем какие приложения у нас работает на сервере (ssh,httpd,named и т.д.) и какие порты открыты, но для полной уверенности все же про сканируем сервер, а может что нового узнаем. Для примера наш внешний интерфейс ppp0 (211.11.11.11).
$ nmap -A -T4 211.11.11.11
Полный вывод nmap', 'Скрыть')"> Полный вывод nmap
Закрываем все порты за исключением 22 (ssh) и 80 (http), которые будем светить в интернет.
Но тут надо обратить внимания, что при добавлении правил iptables важно помнить о том, что их порядок имеет значение. Например, если одно правило отбрасывает все пакеты из локальной подсети 192.168.100.0/24, и добавляется (-A) ещё одно правило, пропускающее пакеты от узла 192.168.100.100 (расположенного в запрещённой локальной подсети),добавленное правило не будет работать. Сначала надо добавить правило, пропускающее 192.168.100.100,а затем правило, блокирующее подсеть!! Чтобы вставить правило в произвольное место существующей цепочки, укажите -I,затем название этой цепочки и позицию (1,2,3,...,n), в которой должно располагаться правило.
Например:
iptables -I INPUT 1 -i lo -p all -j ACCEPT
это правило, пропускающее трафик устройства замыкания на себя, оказывается в цепочке INPUT первым правилом.
Пишем наши правила:
$ iptables -A INPUT -i ppp0 -p tcp --dport 22 -j ACCEPT
$ iptables -A INPUT -i ppp0 -p tcp --dport 80 -j ACCEPT
пишу ..
Оставьте комментарий!