Tutorial IPTABLES firewall linux – comenzi de baza
Pagina 1 din 1
Tutorial IPTABLES firewall linux – comenzi de baza
Tutorial usor de invatat cu comenzile de baza in IPTABLES pentru configurare firewall LINUX.
A.Vi- Owner
- Mesaje : 1946
Data de inscriere : 18/04/2010
Varsta : 26
Localizare : Baia Mare
Ce este IPTABLES?
Ce este IPTABLES?
Iptables este folosit pentru mai multe servicii precum : translatare
de adrese sursa sau destinatie (SNAT / DNAT ) , port forwading sau pur
si simplu rejectare sau forwadare de pachete , routing.
Iptables este folosit pentru mai multe servicii precum : translatare
de adrese sursa sau destinatie (SNAT / DNAT ) , port forwading sau pur
si simplu rejectare sau forwadare de pachete , routing.
A.Vi- Owner
- Mesaje : 1946
Data de inscriere : 18/04/2010
Varsta : 26
Localizare : Baia Mare
Cum pornesc serviciul IPTABLES?
Cum pornesc serviciul IPTABLES?
Ca serviciul IPTABLES sa porneasca o data cu sistemul rulati urmatoarea comanda:
[root tmp]# chkconfig iptables on
1 2 3 | [root tmp]# service iptables start [root tmp]# service iptables stop [root tmp]# service iptables restart |
Ca serviciul IPTABLES sa porneasca o data cu sistemul rulati urmatoarea comanda:
[root tmp]# chkconfig iptables on
A.Vi- Owner
- Mesaje : 1946
Data de inscriere : 18/04/2010
Varsta : 26
Localizare : Baia Mare
Procesarea de pachete in IPTABLES
Procesarea de pachete in IPTABLES
Toate pachetele inspectate de iptables trec printr-o secventa de
tabele (cozi) pentru prelucrare. Fiecare dintre aceste cozi este
dedicata unui anumit tip de activitate de pachete si este controlata de
un lanţ de filtrare asociat.
Iptables foloseste implicit trei tabele :
1. FILTER ( tabel implicit) - este responsabil cu filtrarea pachetelor
Are 3 lanturi built-in in care va puteti declara reguli de politica firewall
2. NAT – este responsabil cu network address translation(translatarea adresei de retea)
3. MANGLE – este responsabil pentru modificarea bitilor QOS din headerul TCP
Are 2 lanturi built-in:
Toate pachetele inspectate de iptables trec printr-o secventa de
tabele (cozi) pentru prelucrare. Fiecare dintre aceste cozi este
dedicata unui anumit tip de activitate de pachete si este controlata de
un lanţ de filtrare asociat.
Iptables foloseste implicit trei tabele :
1. FILTER ( tabel implicit) - este responsabil cu filtrarea pachetelor
Are 3 lanturi built-in in care va puteti declara reguli de politica firewall
- Forward : Filtreaza pachete catre servere protejate de firewall.
- Input : Filtreaza pachetele destinate firewall-ului.
- Output : Filtreaza pachetele expediate de firewall
2. NAT – este responsabil cu network address translation(translatarea adresei de retea)
3. MANGLE – este responsabil pentru modificarea bitilor QOS din headerul TCP
Are 2 lanturi built-in:
- Pre-routing: face NAT atunci cand adresa destinatie a pachetului trebuie schimbata.
- Post-routing: face NAT atunci cand adresa sursa a pachetului trebuie schimbata.
A.Vi- Owner
- Mesaje : 1946
Data de inscriere : 18/04/2010
Varsta : 26
Localizare : Baia Mare
Cum functioneaza IPTABLES?
Cum functioneaza IPTABLES?
Pentru fiecare regula firewall pe care o creezi trebuie sa specifici
tabela si lantul de careva apartine. La aceasta regula este o singura
exceptie: Cele mai multe reguli sunt legate de filtrare, astfel
iptables presupune că orice lanţ definit fără o tabela asociata va face
parte din tabela filter. Tabela filter este, prin urmare, implicita.
Mai jos aveti o imagine cu felul in care iptables manipuleaza pachetele:
Fiecare regulă firewall inspectează pachetele IP şi apoi încearcă să le identifice ca si tinte pentru o anumita operatie.
Cele mai folosite tinte sunt:
Parametrii pentru IPTABLES:
-t <-table-> : Dacă nu specificaţi o tabela, tabela filter este asumata. Aşa cum am discutat înainte, tabelele posibile pot fi: filtru, NAT, mangle
-j : Salt la lanţul ţintă specificat în momentul pachet se potriveste cu regula actuală.
-A sau –append : Adauga o regula la sfarsitul chainului
-F : Flush. Sterge toate regulile din tabela selectata.
-p : Potrivire cu protocolul icmp, tcp, udp sau all
-s : Potrivire cu adresa IP sursa
-d : Potrivire cu adresa IP destinatie
-i : Potrivire cu interfata de retea prin care intra pachetul
-o : Potrivire cu interfata de retea prin care iese pachetul
-m –state : ESTABLISHED, NEW, RELATED, INVALID
Pentru a activa anumite funcţii ale Iptables trebuie sa încărcaţi anumite module de kernel la pornirea sistemului.
Fisier: /etc/rc.local
# Load the iptables active FTP module, requires ip_conntrack
modprobe ip_conntrack_ftp
# Load iptables NAT module when required
modprobe iptable_nat
# Module required for active an FTP server using NAT
modprobe ip_nat_ftp
Pentru fiecare regula firewall pe care o creezi trebuie sa specifici
tabela si lantul de careva apartine. La aceasta regula este o singura
exceptie: Cele mai multe reguli sunt legate de filtrare, astfel
iptables presupune că orice lanţ definit fără o tabela asociata va face
parte din tabela filter. Tabela filter este, prin urmare, implicita.
Mai jos aveti o imagine cu felul in care iptables manipuleaza pachetele:
Fiecare regulă firewall inspectează pachetele IP şi apoi încearcă să le identifice ca si tinte pentru o anumita operatie.
Cele mai folosite tinte sunt:
- ACCEPT – Iptables opreste procesarea ulterioara; Pachetul este trimis catre aplicatie sau sistem de operare pentru prelucrare
- DROP - Iptables opreste procesarea ulterioara; Pachetul este blocat
- LOG – Informaţiile sunt trimise la daemonul syslog pentru logare; Iptables continua procesarea pachetului
- REJECT – Funcţionează DROP, dar va trimite un mesaj de eroare la gazda carea a trimis pachetul cum că pachetul a fost blocat
- DNAT – Rescrie adresa IP destinaţie a pachetului
- SNAT – Rescrie adresa IP sursa a pachetului
- MASQUERADE – Folosit pentru SNAT; În mod implicit adresa IP sursa este aceeaşi cu cea utilizată de interfaţa firewall-ului
Parametrii pentru IPTABLES:
-t <-table-> : Dacă nu specificaţi o tabela, tabela filter este asumata. Aşa cum am discutat înainte, tabelele posibile pot fi: filtru, NAT, mangle
-j
-A sau –append : Adauga o regula la sfarsitul chainului
-F : Flush. Sterge toate regulile din tabela selectata.
-p
-s
-d
-i
-o
-m –state
Pentru a activa anumite funcţii ale Iptables trebuie sa încărcaţi anumite module de kernel la pornirea sistemului.
Fisier: /etc/rc.local
1 2 | # Module to track the state of connections modprobe ip_conntrack |
# Load the iptables active FTP module, requires ip_conntrack
modprobe ip_conntrack_ftp
# Load iptables NAT module when required
modprobe iptable_nat
# Module required for active an FTP server using NAT
modprobe ip_nat_ftp
A.Vi- Owner
- Mesaje : 1946
Data de inscriere : 18/04/2010
Varsta : 26
Localizare : Baia Mare
Exemple
Exemple:
* -R –replace : Inlocuirea lantului specificat
* -I –insert : Permite introducerea unui lant in intr-o zona specifica
* -L –list : Afisarea tuturor regulilor IPTABLES
* -F –flush : Sterge toate regulile din tabela.
* -N –new-chain : Crearea unui nou lant
* -X –delete-chain : Stergerea unui lant
* -P –policy : Permite specificarea politicii default pentru un anumit lant ACCEPT, REJECT, DROP …
* Iptables va fi configurat pentru a permite firewall-ului sa trimita
cereri ICMP(ping) şi, la rândul său, să accepte cereri ICMP
* Iptables va fi configurat sa accepte cereri ICMP si le limiteze la un număr maxim mediu de o cerere pe secundă.
* -R –replace : Inlocuirea lantului specificat
1 | iptables -R INPUT 1 -s 192.168.0.1 -j DROP |
* -I –insert : Permite introducerea unui lant in intr-o zona specifica
1 | iptables -I INPUT 1 --dport 80 -j ACCEPT |
* -L –list : Afisarea tuturor regulilor IPTABLES
1 2 | iptables -L # Afiseaza toate regulile din tabela FILTER iptables -L INPUT # Afiseaza toate regulile din lantul INPUT (FILTER) |
* -F –flush : Sterge toate regulile din tabela.
1 2 | iptables -F INPUT # Sterge toate regulile din lantul INPUT iptables -F # Sterge toate regulile |
* -N –new-chain : Crearea unui nou lant
1 | iptables -N LOG_DROP |
* -X –delete-chain : Stergerea unui lant
1 2 | iptables -X LOG_DROP # Stergerea lantului LOG_DROP iptables -X # Sterge toate lanturile |
* -P –policy : Permite specificarea politicii default pentru un anumit lant ACCEPT, REJECT, DROP …
1 | iptables -P INPUT DROP |
* Iptables va fi configurat pentru a permite firewall-ului sa trimita
cereri ICMP(ping) şi, la rândul său, să accepte cereri ICMP
1 2 | iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT |
* Iptables va fi configurat sa accepte cereri ICMP si le limiteze la un număr maxim mediu de o cerere pe secundă.
1 2 | iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -i eth0 -j ACCEPT |
A.Vi- Owner
- Mesaje : 1946
Data de inscriere : 18/04/2010
Varsta : 26
Localizare : Baia Mare
Setari de baza pentru protejarea sistemului de operare
Sistemul de operare Linux are cateva mecanismele de protecţie
definite pe care ar trebui să le activaţi prin modificarea
parametrilor kernel-ului prin fişierul /etc/sysctl.conf
definite pe care ar trebui să le activaţi prin modificarea
parametrilor kernel-ului prin fişierul /etc/sysctl.conf
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 | #--------------------------------------------------------------- # Disable routing triangulation. Respond to queries out # the same interface, not another. Helps to maintain state # Also protects against IP spoofing #--------------------------------------------------------------- net/ipv4/conf/all/rp_filter = 1 #--------------------------------------------------------------- # Enable logging of packets with malformed IP addresses #--------------------------------------------------------------- net/ipv4/conf/all/log_martians = 1 #--------------------------------------------------------------- # Disable redirects #--------------------------------------------------------------- net/ipv4/conf/all/send_redirects = 0 #--------------------------------------------------------------- # Disable source routed packets #--------------------------------------------------------------- net/ipv4/conf/all/accept_source_route = 0 #--------------------------------------------------------------- # Disable acceptance of ICMP redirects #--------------------------------------------------------------- net/ipv4/conf/all/accept_redirects = 0 #--------------------------------------------------------------- # Turn on protection from Denial of Service (DOS) attacks #--------------------------------------------------------------- net/ipv4/tcp_syncookies = 1 #--------------------------------------------------------------- # Disable responding to ping broadcasts #--------------------------------------------------------------- net/ipv4/icmp_echo_ignore_broadcasts = 1 #--------------------------------------------------------------- # Enable IP routing. Required if your firewall is protecting a # network, NAT included #--------------------------------------------------------------- net/ipv4/ip_forward = 1 |
A.Vi- Owner
- Mesaje : 1946
Data de inscriere : 18/04/2010
Varsta : 26
Localizare : Baia Mare
Subiecte similare
» tutorial cuvat cheie de baza la tutorial
» Cum se face backup ftp , baza de date-tutorial
» [Tutorial] Comenzi Boti
» Tutorial instalare server CS 1.6 nosteam pe Linux
» Tutorial instalare server CS 1.6 non steam pe Linux
» Cum se face backup ftp , baza de date-tutorial
» [Tutorial] Comenzi Boti
» Tutorial instalare server CS 1.6 nosteam pe Linux
» Tutorial instalare server CS 1.6 non steam pe Linux
Pagina 1 din 1
Permisiunile acestui forum:
Nu puteti raspunde la subiectele acestui forum
Lun Mai 06 2024, 17:57 Scris de dany
» 1.24.1.2 DRWEBBER TUNDRA 64 BIT
Joi Mai 02 2024, 20:35 Scris de dany
» 1.24.1.2 Japonomat Tundra
Joi Mai 02 2024, 20:32 Scris de dany
» Problemă la pornirea World Editor
Dum Ian 21 2024, 13:11 Scris de dany
» https://archive.org/details/warcraft-iii-cd
Lun Apr 17 2023, 23:48 Scris de dany
» Ținta automată a lui Vanga
Lun Apr 03 2023, 17:03 Scris de dany
» monopoly plus
Vin Mar 24 2023, 01:12 Scris de dany
» True Server Reticle - Direct Download
Dum Feb 26 2023, 21:31 Scris de dany
» RATING 4.6 1006 USER VOTES Better Reticle Size (RDDT Warpack)
Dum Feb 26 2023, 20:17 Scris de dany