wbtools.ru - Мониторинг курсов обмена валют на бирже платежной системы webmoney
Вход | Регистрация | Курсы WMZ/WMR | Инструменты | Форум | Контакты

Инструкция по использованию фаервола iptables

Раздел: Администрирование
Просмотров: 2579
31.08.2013 15:31
Администратор

Репутация: 1203
Инструкция по использованию фаервола iptables
iptables это удобный и мощный фаервол в ОС Linux.
Он позволяет разрешать или запрещать прохождение IP пакетов входящих и исходящих из компьютера.
Правила в нем группируются в цепочки.
Цепочки бывают двух типов встроенные и создаваемые пользователем.
Самые важные встроенные цепочки это.
INPUT
OUTPUT
FORWARD

Цепочка INPUT. Через нее проходят пакеты, поступающие на компьютер извне.
Цепочка OUTPUT. Через нее проходят пакеты, которые генерируются приложениями компьютера и посылаются в сеть.
Цепочка FORWARD управляет IP пакетами, когда компьютер работает как маршрутизатор и пересылает пакеты из одной сети в другую.

Любой IP пакет поступающий на компьютер поступает на цепочку INPUT. Он проходит последовательно через все правила, пока не встретит правило условиям которого он соответствует.
При этом с пакетом происходит действие в зависимости от параметра –j этого правила.
У опции –j могут быть значения
–j ACCEPT – разрешить прохождение пакета.
–j DROP – удалить пакет.
–j REJECT - удалить пакет и отправить отправителю пакета ICMP сообщение, что пакет не доставлен.
–j ИмяПользовательскойЦепочки – проверить для пакета правила указанной цепочки. Если подходящего правила не будет найдено, то произойдет переход к следующему правилу. Если в пользовательской цепочке будет найдено подходящее правило, то с пакетом будет выполнено действия из опции –j этого правила и перебор прекратится.

После того как первое подходящее правило для пакета найдено, перебор правил прекращается.

Список полезных команд iptables

iptables -L -n –v
Показать список всех текущих правил.
Опция –n говорит, что IP и порты показывать в цифровом виде, а не в виде текстовых имен.
Опция –v говорит, что для каждого правила нужно показать счетчики количества пакетов и количества байт, которые соответствовали этому правилу.

iptables -L ban -n –v
Показать список правил из одной цепочки.

iptables -N ban
Создать пользовательскую цепочку с заданным именем.

iptables –A INPUT -j ban
Создать в цепочке INPUT ссылку на пользовательскую цепочку с именем ban.

iptables –A ban –s 1.2.3.4 -j DROP
Забанить один IP

iptables –D ban –s 1.2.3.4 -j DROP
Разбанить один IP

iptables –F ban
Удалить все правила в цепочке. Или разбанить все IP.

iptables –P INPUT значение
указать действие по умолчанию с пакетами, которые не соответствуют ни одному правилу.
Возможные значения
ACCEPT – разрешить прохождение пакета.
DROP – удалить пакет.
REJECT - удалить пакет и отправить отправителю пакета ICMP сообщение, что пакет не доставлен.
По умолчанию используется ACCEPT

iptables -A INPUT -p tcp --dport 8080 -j DROP
Закрыть доступ к определенному порту

Следующие две команды приводят примеры установки лимитов, которые могут защитить сервер от ддос атак. Одна ограничивает количество одновременных соединений, а вторая ограничивает количество запросов на соединение в единицу времени.

iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 --connlimit-mask 24 -j DROP
Ограничить количество в 20 одновременных соединений с заданным портом с одной подсети с маской 24.

iptables -I INPUT -p tcp --syn --dport 80 -m hashlimit --hashlimit-above 2/second --hashlimit-burst 20 --hashlimit-mode srcip --hashlimit-srcmask 24 --hashlimit-name blip -j DROP
Ограничить количество запросов на TCP/IP соединение с определенным портом в единицу времени. В данном примере скорость ограничена 2-мя запросами в секунду, с разрешенными короткими пиками 20 запросов, пропускаемыми без задержки.

Команды для работы с ipset

ipset -N badip iphash
Создать набор ipset для блокировки по ip

ipset -N badip nethash
Создать набор ipset для блокировки подсетей

ipset -A badip 192.168.0.1
Добавить IP в набор

ipset -F badip
Очистить все IP в наборе

ipset -L badip
Список IP в наборе

iptables -A INPUT -m set --match-set badip src -j DROP
Создать правило в фаерволе, по которому будут блокироваться пакеты с IP источника совпадающие с набором ipset

Дата редактирования: 25.10.2014 23:28
24.02.2017 21:55
ghjukliokssTY

Репутация: 1000
заказать прогон хрумером логин скайпа pokras7777
31.03.2017 0:48
hiпuruhSY

Репутация: 1000
заказать продвижение интернет магазина логин скайпа pokras77777
04.04.2017 4:56
RandyPafUG

Репутация: 1000
2070 год. Москва. Мир лежит в руинах после ядерной войны.
Под обломками и пеплом, заполнившими город, всё еще пытаются выживать люди,
несмотря на бедность и постоянный страх.

смотреть здесь
https://www.youtube.com/watch?v=uxxgd7jvXx8&feature=youtu.be
или
здесь
https://goo.gl/DYQDYf
Для того что бы писать комментарии, нужно зарегистрироваться.
Войти Регистрация