Fàcil configuració i exemples dIPTables a Ubuntu 16.04

Introducció

iptablesés una potent eina que s'utilitza per configurar el tallafoc integrat del nucli Linux. Ve preinstal·lat a la majoria de distribucions d'Ubuntu, però si utilitzeu una versió personalitzada d'Ubuntu o s'executeu dins d'un contenidor, probablement l'haureu d'instal·lar manualment.

sudo apt-get install iptables iptables-persistent

Després de la instal·lació, si se us demana si voleu desar les vostres regles actuals, no importa en aquest moment perquè eliminareu o creareu noves regles més endavant.

Consells

Podeu utilitzar l' netcatordre (en un ordinador diferent del vostre servidor) per provar quins dels vostres ports estan oberts o tancats.

nc -z -w5 -v SERVER_IP PORT

• nc és l'ordre netcat.
• -z només cal enviar un paquet sense càrrega útil.
• -w5 espereu fins a 5 segons per rebre una resposta.
• -v mode detallat.
• Substituïu SERVER_IP-la per l'adreça del vostre servidor.
• Substituïu PORT-lo pel port que voleu provar si està obert (p 22. ex . ).

Al vostre servidor podeu utilitzar l' netstatordre per veure quins ports estan escoltant les connexions.

sudo netstat -tulpn

Nota: tot i que netstatés útil trobar els ports amb els quals voleu treballar, hauríeu de tenir en compte les aplicacions que teniu instal·lades actualment al vostre servidor i quins ports escolten, no cal que permeteu tots els ports que trobeu a la netstatsortida .

Sintaxi

sudo iptables -A INPUT -p tcp -m tcp --dport 22 --m geoip --src-cc PE -j ACCEPT

• -A INPUTafegeix una regla a la INPUTcadena, una cadena és un grup de regles, les que més fem servir en aquesta guia seran INPUT, OUTPUTi PREROUTING.
• -p tcpdefiniu tcpcom el protocol al qual s'aplicarà aquesta regla, també podeu utilitzar altres protocols com ara udp, icmpo all.
• -m tcputilitzar el tcpmòdul. iptablesAdmet funcions addicionals mitjançant mòduls, alguns dels quals ja estan preinstal·lats iptablesi d'altres, com ara el geoipmòdul.
• --dport 22les ordres que comencen per --indiquen opcions addicionals per al mòdul utilitzat anteriorment, en aquest cas direm al tcpmòdul que només s'apliqui al port 22.
• -m geoiputilitzar el geoipmòdul. Limitarà els paquets per país (més informació al pas 5).
• --src-cc PEdigueu al geoipmòdul que limiti els paquets entrants als que provenen del Perú. Per obtenir més codis de país, cerqueu ISO 3166 country codesa Internet.
• -j ACCEPTl' -jargument indica iptablesquè fer si un paquet coincideix amb les restriccions especificades als arguments anteriors. En aquest cas seran ACCEPTaquests paquets, altres opcions són REJECT, DROPi més. Podeu trobar més opcions cercant iptables jump targetsa Internet.

1. Fonaments

Llista totes les regles.

sudo iptables -L

Llista totes les ordres que s'han utilitzat per crear les regles utilitzades actualment, útils per editar o eliminar regles.

sudo iptables -S

Per suprimir una regla específica, trieu una regla sudo iptables -Si substituïu-la -Aper -D.

# -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

sudo iptables -D INPUT -p tcp -m tcp --dport 22 -j ACCEPT

Enumereu totes les regles numerades de la INPUTcadena.

sudo iptables -L INPUT --line-numbers

Suprimeix una regla numerada.

sudo iptables -D INPUT 2

Per esborrar totes les regles.

sudo iptables -F

Avís: podeu perdre la connexió si us connecteu per SSH .

Esborra només les regles de la OUTPUTcadena.

sudo iptables -F OUTPUT

2. Crear regles inicials

Permet SSHa la eth0interfície

sudo iptables -A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT

• -i eth0 aplicar la regla a una interfície específica, per permetre eliminar aquesta ordre des de qualsevol interfície.

Per limitar els paquets entrants a una IP específica (és a dir, 10.0.3.1/32).

sudo iptables -A INPUT -i eth0 -s 10.0.3.1/32 -p tcp -m tcp --dport 22 -j ACCEPT

• -s 10.0.3.1/32 especifica una IP/subxarxa per permetre connexions.

Estableix regles de cadena predeterminades.

Avís: abans de continuar, assegureu-vos que heu aplicat les regles SSH correctes si treballeu en un servidor remot .

sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP 
sudo iptables -P OUTPUT ACCEPT 

• -P INPUT DROP nega tots els paquets entrants (és a dir, ningú es podrà connectar als vostres servidors en execució, com ara Apache, SQL, etc.).
• -P FORWARD DROP denega tots els paquets reenviats (és a dir, quan utilitzeu el vostre sistema com a encaminador).
• -P OUTPUT ACCEPTpermet tots els paquets de sortida (és a dir, quan realitzeu una HTTPsol·licitud).

Permet tot el trànsit a la interfície de loopback ( recomanat ).

sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT

3. Feu que les regles siguin persistents

Deseu les iptablesregles actuals .

sudo netfilter-persistent save
sudo netfilter-persistent reload

Si esteu executant dins d'un contenidor, netfilter-persistentés probable que l' ordre no funcioni, de manera que haureu de reconfigurar el iptables-persistentpaquet.

sudo dpkg-reconfigure iptables-persistent

4. Permet connexions de sortida

Permet consultes DNS.

sudo iptables -A OUTPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT
sudo iptables -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT

Utilitzeu el statemòdul per permetre RELATEDi ESTABLISHEDsortir paquets.

sudo iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Permet els ports desitjats; en aquest cas, els HTTPports.

sudo iptables -A OUTPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT

Més ports que vulgueu utilitzar.

• FTP: tcp al port 21
• HTTPS: tcp al port 443
• DHCP: udp al port 67
• NTP: udp al port 123

Nota: si voleu permetre apt-get, pot ser que calgui permetre FTPiHTTPS .

Permeteu el trànsit retornat només per a connexions RELATEDi ja ESTABLISHED( recomanat perquè de vegades es requereix una comunicació bidireccional).

sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Altres regles útils

Permet sol·licituds de ping des de l'exterior.

sudo iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
sudo iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

Reenvia el trànsit al eth0port 2200a 10.0.3.21:22(útil si vols exposar un servidor SSH que s'està executant dins d'un contenidor).

sudo iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 2200 -j DNAT --to-destination 10.0.3.21:22

Si inicieu sessió correctament al vostre servidor mitjançant SSH, es crearà una connexió persistent (és a dir, no hi ha connexions noves encara que esteu connectat durant més d'1 hora). Si falla i intenteu iniciar sessió de nou, es crearà una nova connexió. Això bloquejarà els intents continus d'inici de sessió SSH limitant les connexions noves per hora.

sudo iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
sudo iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 3600 --hitcount 4 -j DROP

Redirigeix ​​totes les sol·licituds de port 443a port 4430(útil si vols vincular-te a port 443sense root).

sudo iptables -t nat -A PREROUTING -i ens3 -p tcp --dport 443 -j REDIRECT --to-port 4430
sudo iptables -A INPUT -p tcp -m tcp --dport 4430 -m geoip --src-cc PE -j ACCEPT

• ens3 la interfície de xarxa.
• -m geoip mòdul de bloc de països (vegeu el pas 5).

Avís: no utilitzeu lo, el sistema operatiu descartarà tots els paquets redirigits a la interfície de loopback .

5. Permet o bloqueja països sencers

5.1 Instal·lació xtables-addons

Podeu instal·lar el xtables-addonsmòdul mitjançant diversos mètodes, no dubteu a utilitzar el mètode d'instal·lació que us funcioni millor.

• Instal·leu amb apt-get.

  sudo apt-get install xtables-addons-common
  

• Instal·leu amb module-assistant.

  sudo apt-get install module-assistant xtables-addons-source
  sudo module-assistant --verbose --text-mode auto-install xtables-addons
  

• Instal·lar des de la font.

  sudo apt-get install git bc libncurses5-dev libtext-csv-xs-perl autoconf automake libtool xutils-dev iptables-dev
  git clone git://git.code.sf.net/p/xtables-addons/xtables-addons
  cd xtables-addons
  ./autogen.sh
  ./configure
  make
  sudo make install
  

Construir una base de dades de "països".

sudo apt-get install libtext-csv-xs-perl unzip
sudo mkdir /usr/share/xt_geoip
sudo /usr/lib/xtables-addons/xt_geoip_dl
sudo /usr/lib/xtables-addons/xt_geoip_build -D /usr/share/xt_geoip *.csv
sudo rm GeoIPCountryCSV.zip GeoIPCountryWhois.csv GeoIPv6.csv

Reinicieu el vostre sistema.

sudo reboot

Un cop xtables-addonss'ha instal·lat correctament, després del primer reinici, executeu-lo, en depmodcas contrari, el bloqueig del país no funcionarà correctament (només és necessari per primera vegada).

sudo depmod 

Creeu un script a /etc/cron.monthly/geoip-updaterper actualitzar la geoipbase de dades mensualment.

#!/usr/bin/env bash
# this script is intended to run with sudo privileges

echo 'Removing old database---------------------------------------------------'
rm -rf /usr/share/xt_geoip/*
mkdir -p /usr/share/xt_geoip

echo 'Downloading country databases-------------------------------------------'
mkdir /tmp/geoip-updater
cd /tmp/geoip-updater
/usr/lib/xtables-addons/xt_geoip_dl

echo 'Building geoip database-------------------------------------------------'
/usr/lib/xtables-addons/xt_geoip_build -D /usr/share/xt_geoip *.csv

echo 'Removing temporary files------------------------------------------------'
cd /tmp
rm -rf /tmp/geoip-updater

Fer /etc/cron.monthly/geoip-updaterexecutable.

sudo chmod +x /etc/cron.monthly/geoip-updater

5.2 Exemples de regles

_Nota: si rebeu un iptables: No chain/target/match by that nameerror quan intenteu aplicar una geoipregla, és possible que xtables-addonsno s'hagi instal·lat correctament. Proveu un altre mètode d'instal·lació.

Bloqueja tots els paquets entrants de la Xina, Hong Kong, Rússia i Corea.

sudo iptables -A INPUT -m geoip --src-cc CN,HK,RU,KR -j DROP

Permet paquets entrants al port 80des de qualsevol lloc excepte dels països anteriors.

sudo iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

Permet els paquets entrants a la ens3interfície del port 22només des del Perú (no dubteu a triar el codi de país des del qual voleu acceptar paquets, per exemple, USper als Estats Units).

sudo iptables -A INPUT -i ens3 -p tcp -m tcp --dport 22 -m geoip --src-cc PE -j ACCEPT

Permet paquets entrants al port 443només des del Perú.

sudo iptables -A INPUT -p tcp -m tcp --dport 443 -m geoip --src-cc PE -j ACCEPT