ファイアウォールは、トラフィック交換を監視するために使用され、フィルタパケットに安全性を確保するために、ユーザ定義のルールに基づいています。iptablesのファイアウォールのルールを維持し、ファイアウォールルール表のビュー、あなたが設定できますLinuxの一般的に使用されるツール、下に設定されています。あなたは各テーブルには、複数の鎖を含むことができ、複数のテーブルを定義することができます。各鎖は、その一致したパケットを処理する方法のルールの集合であり、各ルールの定義。パケットを照合するために、「ターゲット」を割り当てます 宛先は別の鎖とすることができ、特別な値は下記のもの(ACT)であってもよいです。
- ACCEPT:データパケットが通過を許可されることを意味します。
- DROP:データパケットが通過を許可されていないことを意味します。
- RETURN:手段は、現在のチェーンをスキップして、次のルール呼び出しチェーンに戻ります。
のは、iptablesのフィルタテーブルに何を見てみましょう。フィルタテーブルは、3本の鎖があります。
- INPUT:着信パケットを制御するために使用し、あなたは中断され、ポート、プロトコルまたは送信元IPアドレスの接続を許可することができます。
- FORWARD:ここではなく、別の場所で着信フィルタに、パケットに転送されます。
- OUTPUT:発信パケットをフィルタリングするために使用。
練習のは、iptablesの簡単な感触を使用してみましょう、完璧になります。
1.レビューのiptablesの現在のステータス
このコマンドにより、現在のiptablesの設定ステータスを表示することができます。-Lオプションは、より多くの情報を表示するために-vオプションをすべてのルールを一覧表示するために使用されます。出力例は図2に示されています。私たちは、3本の鎖がポリシーをACCEPTデフォルトに設定されている見ることができます。各鎖は、現在はルールがありません。次に、我々は、着信トラフィックをフィルタリングするためにINPUTチェーンを変更します。
ルールを定義2
定義されたルールは、リスト(鎖)の末尾に追加されることを意味します。iptablesのは、このような完全なオプション形式のルックスを命じます。我々は、すべてのオプションを持っていません。
-A意味はここに追加されます。あなたがそのネットワークインターフェイス上のフィルタしたいとのインターフェース。プロトコルは、あなたがのために使用されるパケットをフィルタリングするネットワークプロトコルである、あなたはまた、ポート番号を指定することができます。
まず、機械内部の通信の流れを可能にします。だから、アプリケーションとデータベース間のすべての通信が正常であることを。
出力:
その後、我々はHTTP、SSHおよびSSLポートを有効にします。
HTTP(80ポート)、HTTPS(443ポート)、SSH(22ポート)接続が機能しているしたい、次のコマンドを入力します。私たちは、-pオプションが指定プロトコル、ポートを指定する-dport(宛先ポート)オプションを使用します。
现在,这些指定端口上的TCP连接都能被接受。
接下来,基于源地址过滤数据包。
如果你想基于ip源地址或者地址范围来接受或拒绝数据包,那么你可以通过-s选项来指定。比如,接受来自192.168.1.3的数据。
你可以丢弃来自这一地址的数据包,只要将ACCEPT改为DROP:
如果对于来自某一地址范围的数据包你都想丢弃,则需要使用iprange模块,并通过--src-range指定地址范围。
最后,丢弃所有其他流量通信。这是十分重要的步骤,因为这样可以阻止其他端口的未授权访问。以下命令丢弃了除上述端口外其他所有的流入数据。
定义完以上规则后,再来看一看iptables中INPUT状态:
3. 删除规则
如果你想移除所有规则,可以使用flush命令:
如果你想删除指定规则,可以使用-D选项。在这之前,列出所有规则,使用下面的命令可以显示规则对应的行号:
输出如下图:
最后通过行号删除对应的规则:
4. 设置的持久化
目前为止我们对防火墙设置的规则都还只是保存在内存中。这意味这一旦重启变动都会消失。在Debian/Ubuntu系统中,可以使用一下命令保持设置:
该命令将当前规则保存到系统配置文件,它会在重启时重设规则表。每次设置规则后都应该运行这个命令。