учимся прописывать правила в iptables

Автор metis, 26 Ноября 2009, 18:56

« предыдущая тема - следующая тема »

0 Пользователей и 3 Гостей просматривают эту тему.

metis

Доброе время суток господа!
В самом начале своей статьи хотел бы посоветовать литературу которая мне безгранично помогла в изучении iptables. Вот сцылы на Iptables Tutorial:
 Iptables Tutorial 1.1.14

Iptables Tutorial 1.1.19
Iptables Tutorial 1.2.0
Прежде чем прописывать правила в iptables нужно конечно же понять для чего он вам (будет ли он выступать в роли фервола или же вам нужен nat).
Для начала разберем как можно настроить фаер с помощью iptables. Вариантов можно придумать масса в зависимосте какие функции выполняет сервер на который вы настраивете данный фаервол, а может быть это просто рабочая станция. Объясню все на примере рабочей станции!!!
И так начнем:
Создаем файл в /etc/init.d (назвать его можно как угодно) для удобства назавем его iptables. Открываем файл в удобном для вас текстовом реакторе и пришем строчки

#!/bin/bash

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
эти команды отчищают все правила

далее вписываем

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
выставляем что будет делать iptables по умолчанию (на данном примере "закрывать все всем")

после того как все закрыли начинаем открывать то что нам нужно
1.iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
Разрешаем пакеты из установившихся и связаных соединений
2.iptables -A INPUT -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -p udp --dport 139 -j ACCEPT
iptables -A INPUT -p tcp --dport 445 -j ACCEPT
iptables -A INPUT -p udp --dport 445 -j ACCEPT
Разрешаем пакеты по SMB
если требуемя доступ по SSH прописываем вот ето
iptables -A INPUT --protocol tcp --dport 22 -j ACCEPT
(если вы изменили SSH порт то соотвтственно меняем цифру 22 на ваш SSH порт)
и дальше все в таком духе
в завершении настройки
iptables -A INPUT -p icmp -j ACCEPT
строчка разрешает заходить icmp пакетам
Tеперь финешная прямая:
сохраняем изменения в файле, делаем его запескаемым, в файле rc.local прописываем путь до все этой красоты и запускаем файл iptables