Iptables là gì

  -  

Nếu chúng ta từng mày mò hoặc thực hiện Linux, có lẽ rằng bạn sẽ từng nghe tới Iptables rồi. Vậy Iptables là gì? Làm nắm nào nhằm áp dụng được, hãy cùng bài viết liên quan trong nội dung bài viết sau đây của kanamara.vn.

Bạn đang xem: Iptables là gì


Iptables là gì?

*


filter: là table được thực hiện các độc nhất vô nhị mỗi ngày. Đó là nguyên do tại vì sao nó là table khoác định. Trong table này, các bạn sẽ ra quyết định coi packet có được phxay vào (input) hoặc ra (output) khỏi máy tính của khách hàng hay là không. Nếu bạn có nhu cầu chặn một port để hoàn thành dìm bất kể máy gì, đây là điểm table bạn cần.nat: Table này là table thịnh hành thứ nhì cùng chịu đựng trách nát nhiệm sinh sản liên kết bắt đầu. Đó là biện pháp viết tắt của Network Address Translation.mangle: table này dùng để làm biến hóa tài liệu bên trong những packet trước lúc chúng mang lại hoặc ra khỏi máy tính.raw: table này xử lý packet raw không qua xử trí như cái tên thường gọi của chính nó. Chủ yếu ớt là để quan sát và theo dõi tâm lý liên kết. Chúng ta sẽ thấy những ví dụ về vấn đề này dưới khi mong muốn cho những packet thành công xuất sắc từ bỏ kết nối SSH.security: bao gồm nhiệm vụ đánh dấu rất nhiều gói tin tất cả tương quan mang lại context của SELinux, nó giúp cho SELinux hoặc các yếu tố không giống hiểu được context SELinux với giải pháp xử lý gói tin.

Bắt đầu từ đâu?

Để bước đầu, chỉ cần tắt những hệ thống trợ giúp tường lửa không giống của người sử dụng, để chỉ với lại một thông số kỹ thuật độc nhất vô nhị sẽ là iptables.

Nếu ai đang sử dụng máy debian, hãy áp dụng

systemctl disable --now ufwNếu ai đang áp dụng máy làm redhad, hãy sử dụngsystemctl disable --now firewalldSau kia, bạn cũng có thể ban đầu thiết lập thông số kỹ thuật tường lửa của bản thân trải qua iptables.

Làm chũm làm sao nhằm thực hiện iptables?

Khi nắm rõ khái niệm iptables là gì, sau đây đang hướng dẫn biện pháp triển khai một trong những tác vụ vào iptables.

Liệt kê cấu hình hiện tại tại:

iptables -L -n -v --line-numbers-L liệt kê list.-n cho output là số (ko phân giải tên; dẫn mang lại năng suất nhanh hao hơn).-v thêm ban bố bỏ ra tiếtĐể chặn hồ hết packet đầu vào hoặc output khỏi khối hệ thống một cách mang định Khi bọn chúng ko match rule như thế nào (còn được gọi là default Policy):

iptables -P INPUT DROPiptables -P OUTPUT DROPiptables -P.. FORWARD DROP-Phường đến policy. Có các policy khác biệt như đang đề cập làm việc bên trên.Cho phép các packet phía bên trong local interface của công ty lúc di chuyển nhưng không trở nên chặn.

iptables -A INPUT -i lo -j ACCEPTiptables -A OUTPUT -o lo -j ACCEPT-A nhằm cyếu rule vào thời gian cuối chain. Quý Khách cũng có thể cyếu, xóa hoặc cập nhật bởi các chuyển biến hóa nhau.-i dành cho input interface, interface mà các packet cho tới.-o giành riêng cho output interface, interface nhưng mà những packet rời khỏi.-j nhằm jump cho TARGET. quý khách rất có thể lựa chọn ACCEPT, REJECT, DROPhường, LOG… với 1 packet.Để có thể chấp nhận được các gói DNS với DHCPhường. input cùng output ra khỏi laptop của người tiêu dùng.

iptables -A INPUT -p udp --dport 67 -j ACCEPTiptables -A INPUT -p tcp --dport 67 -j ACCEPTiptables -A OUTPUT -p udp --dport 53 -j ACCEPTiptables -A OUTPUT -p tcp --dport 53 -j ACCEPTiptables -A OUTPUT -p udp --dport 68 -j ACCEPTiptables -A OUTPUT -p tcp --dport 68 -j ACCEPT–dport đến destination port. quý khách cũng rất có thể thực hiện –sport cho source port.Để msống kết nối SSH Khi laptop của công ty là thiết bị client, chúng ta phải thêm nhị rule theo cả nhị phía.

iptables -A OUTPUT -p tcp --dport 22 -j ACCEPTiptables -A INPUT -m conntraông chồng --ctstate RELATED,ESTABLISHED -j ACCEPT-m là một options để sử dụng extension của iptables. quý khách hoàn toàn có thể đọc thêm về các extension không giống nhau bằng phương pháp thực hiện man iptables-extension. lấy ví dụ như không giống về những phần mở rộng này là limit để tránh số lượng tần số packet.Kết nối SSH không những xẩy ra theo một hướng duy nhất. Txuất xắc vào kia, bạn sẽ gửi một packet đến destination port 22, với các packet sẽ đến máy vi tính của chúng ta cùng với trạng thái RELATED với ESTABLISHED. Connection tracking minh bạch điều này cho chính mình với bạn chưa phải lo lắng về điều này.

Cho phép liên kết SSH khi máy vi tính của người tiêu dùng là máy chủ.

iptables -A INPUT -p tcp --dport 22 -j ACCEPTiptables -A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPTĐây là hướng ngược lại cùng với rule trước kia, msinh sống các packet mang đến port 22 với gửi các packet thành công có tâm lý RELATED với ESTABLISHED quay trở về client.

Nếu bạn có nhu cầu có thể ping những máy tính không giống với được cho phép các laptop không giống hoàn toàn có thể ping máy tính của người tiêu dùng, bạn nên chất nhận được các packet icmp.

iptables -A INPUT -p icmp -j ACCEPTiptables -A OUTPUT -p icmp -j ACCEPTNếu bạn muốn có thể coi ngó những trang web, đây là điều bạn nên làm.

iptables -A OUTPUT -p tcp --dport 80 -j ACCEPTiptables -A OUTPUT -p tcp --dport 443 -j ACCEPTThao tác này vẫn có thể chấp nhận được cả lưu lại lượng HTTPhường và HTTPS thoát ra khỏi khối hệ thống của người sử dụng.

Xem thêm: Người Bệnh Tai Biến Mạch Máu Não Kiêng Ăn Gì Để Phục Hồi Nhanh Nhất?

Quý khách hàng mong mỏi đánh dấu những packet bị DROPhường nhằm bạn tất cả cái nhìn về hồ hết gì sẽ xảy ra. Nó cũng trở nên khiến cho bạn nếu như bạn muốn mở một port về sau.

iptables -N LOGGINGiptables -A INPUT -j LOGGINGiptables -A OUTPUT -j LOGGINGiptables -A FORWARD -j LOGGINGiptables -A LOGGING -j LOG --log-cấp độ error --log-prefix "iptables-dropped: "iptables -A LOGGING -j DROPDòng thứ nhất tạo nên một chain mới. Và vào 3 cái tiếp theo, họ đang forward các packet mang lại chain bắt đầu được tạo nên.

2 loại sau cùng cũng trở thành log lại packet và DROPhường packet đó.

–log-prefix là một trong tđê mê số của LOG target, nhưng chúng ta có thể tham khảo thêm về phần man iptables-extension.–log-màn chơi cũng chính là tmê say số của LOG target, đã cho thấy biện pháp chúng ta mong muốn ghi log chi tiết như thế nào. error là 1 trong những cường độ ghi hơi tốt vì họ chỉ quyên tâm mang lại những packet không được phnghiền.

Sự khác hoàn toàn thân DROPhường. và REJECT là DROP không thông tin cho tất cả những người gửi về packet bị gỡ vứt, nhưng REJECT đã thông báo cho tất cả những người gửi một phương pháp ví dụ.

khi bạn gửi một packet mang lại phương châm REJECT, người gửi sẽ nhận được “connection remix by peer”

Nếu bạn có nhu cầu vận dụng NAT đến iptables của chính mình, tùy trực thuộc vào vấn đề bạn muốn áp dụng nó cho các liên kết input đầu vào xuất xắc liên kết output hoặc liên quan IPhường của máy tính của bạn là tĩnh giỏi rượu cồn, bạn cũng có thể sử dụng những quy tắc sau.

iptables -t nat -A OUTPUT -p tcp --dport 22 --destination 192.168.40.40 -j DNAT --to-destination 123.123.123.123:4040Sau lệnh bên trên, hồ hết lưu lượng đi từ máy tính xách tay của bạn mang đến thúc đẩy IP 192.168.40.40 port 22 sẽ được gửi đến tác động IP.. 123.123.123.123 port 4040.

Cờ –destination sẽ lọc các packet dựa vào destination IPhường.

lúc ý muốn bao phủ định rule thì nên sử dụng lốt chnóng than !

Vì vậy, bạn có thể tủ định một rule bằng phương pháp đặt trước nó bằng lốt !. lấy ví dụ như ! –source 192.168.40.40 sẽ có được hiệu lực thực thi hiện hành so với ngẫu nhiên source IPhường làm sao không tính 192.168.40.40.

iptables -t nat -A POSTROUTING -p tcp --dport 80 -j SNAT --to-source 10.0.0.56:8000-8010Sau khi áp dụng rule trên, mọi packet đến bất kỳ destination IPhường với cổng 80 vẫn biến đổi thúc đẩy nguồn thành 10.0.0.56:8000-8010, là 1 trong dải cổng được hướng dẫn và chỉ định bởi lốt gạch ốp ngang. Điều này góp NAT phía bên trong mạng nội bộ của bạn có thể truy vấn được từ bỏ quả đât phía bên ngoài (internet).

iptables -A FORWARD -i wlan0 -j ACCEPTiptables -t nat -A POSTROUTING -o eth0 -j MASQUERADEMASQUERADE tương xứng tốt nhất khi chúng ta cần forward phần đa traffic xuất phát từ 1 Interface cụ thể để được định đường qua máy tính xách tay của người sử dụng nhưng ko nên biến đổi bất kỳ lắp thêm gì phía bên trong packet. Tất nhiên, các bạn sẽ quan trọng lập tmê man số kernel trước lúc thiết lập cấu hình Việc tiến hành những thao tác làm việc trên:

sysctl net.ipv4.ip_forward=1Để laptop của chúng ta có khả năng routing những packet. Lệnh bên trên chỉ là 1 trong những thiết lập cấu hình cấu hình runtime với nếu như bạn cần có hiệu lực hiện hành Lúc khởi hễ lại, bạn sẽ triển khai nhỏng sau.

echo net.ipv4.ip_forward = 1 > /etc/sysctl.d/30-ip-forward.confiptables là một mức sử dụng với phần lớn những tính năng. Các lệnh bên trên là phần nhiều lệnh được áp dụng những độc nhất vô nhị. Và thỉnh phảng phất các bạn sẽ thấy mình đã áp dụng lệnh này hoặc lệnh cơ.

Xem thêm: Hạt Nhựa Hdpe Là Gì Và Ứng Dụng Thực Tiễn Của Nhựa Hdpe, Nhựa Hdpe Là Gì

Đọc kỹ chỉ dẫn thực hiện vị chúng ta có công bố cụ thể tốt:

man iptablesman iptables-extension

Lời kết

Để câu trả lời iptables là gì, kanamara.vn đã làm làm cho minh bạch những phần phía bên trong cùng phía bên ngoài của iptables. Đó một luật pháp để thống trị tường lửa sinh hoạt Linux. Hầu không còn những phương pháp khác ví như firewalld cùng ufw sẽ đủ đơn giản sẽ giúp đỡ bạn thao tác làm việc dễ dàng hơn. Nhưng quý khách hàng sẽ không còn nhận được nhiều tính linh hoạt trong câu hỏi cách xử trí các rule mà chúng ta thấy cân xứng cùng với tài liệu.