Hits :
2192
IPTABLES – Mini Tutorial
http://www.frozentux.net/documents/iptables-tutorial/
Το λογισμικό το οποίο χρησιμοποιούμε ως firewall στο linux ονομάζεται iptables.
Υποστηρίζει πολιτικές – αλυσίδες – κανόνες.
Οι αλυσίδες δεν είναι τίποτα άλλο από ένα σύνολο κανόνων.
Οι αλυσίδες που έχει by default είναι 3:
INPUT – FORWARD – OUTPUT
INPUT : Ελέγχει την εισερχόμενη προς το μηχάνημα κίνηση.
FORWARD : Ελέγχει τις προωθήσεις μεταξύ protocol & ip.
OUTPUT : Ελέγχει την εξερχόμενη από το μηχάνημα κίνηση.
Για να δούμε τις αλυσίδες πληκτρολογούμε την παρακάτω εντολή:
Formatter "highlight/html" not found
Για να διαγράψουμε ζώνες πληκτρολογούμε:
Formatter "highlight/html" not found
ή
iptables -X name_of_chain
Για να κάνουμε flush reset στις αλυσίδες πληκτρολογούμε:
Formatter "highlight/html" not found
Πως ορίζουμε καθολικές πολιτικές:
Formatter "highlight/html" not found
ή
Formatter "highlight/html" not found
Με την εντολή
Formatter "highlight/html" not found
παρατηρούμε τις ανοιχτές συνδέσεις όπου έχει το μηχάνημά μας προς το δίκτυο.
Για να κλείσουμε μία από τις ανοιχτές συνδέσεις που έχουμε μπορούμε να πληκτρολογήσουμε:
Formatter "highlight/html" not found
Με την παραπάνω εντολή προσθέτουμε ( -Α ) έναν κανόνα στην αλυσίδα INPUT,
μέσω του TCP Protocol και ορίζουμε τον κανόνα DROP στην destination tcp port 2222
Destination tcp port : Είναι η πόρτα προορισμού του πακέτου tcp που έρχεται ως εισερχόμενη κίνηση
προς το μηχάνημά μας.
Με την παρακάτω εντολή κλείνουμε την πόρτα 80 ώστε να μην μπορούμε να περάσουμε πακέτα από την
συγκεκριμένη πόρτα προς τα έξω.
Formatter "highlight/html" not found
Χρησιμοποιώντας την παρακάτω εντολή μπορούμε να κάνουμε redirect μία local tcp port σε μία άλλη:
Formatter "highlight/html" not found
Πως κόβω μία συγκεκριμένη ip για όλα τα πρωτόκολλα:
iptables -A INPUT -s SPAMMER_IP -j DROP
Πως κάνω REDIRECT μία πόρτα σε μία άλλη ΕΚΤΟΣ εάν έρχεται το αίτημα από συγκεκριμένη εφαρμογή.
Formatter "highlight/html" not found
Πως βλέπουμε τα ΝΑΤ μας
iptables -L -t nat
Πως κάνουμε flush τα ΝΑΤ μας :
iptables -F -t nat
Πως βλέπουμε τα mangle μας :
iptables -L -t mangle
top
iptables -L
iptables -L -t nat
iptables -L -t mange
cat /proc/net/ip_conntrack
iptables -I INPUT 1 -p tcp --dport 80 -m string --string "cmd.exe" --algo bm -j DROP
Imitate TCP Wrapper
iptables -A INPUT -p tcp --dport 22 -m iprange --src-range 158.255.214.14-158.255.214.15 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP
be aware of the order (number) of rules !
top