Vienkārša IPTables konfigurācija un piemēri Ubuntu 16.04

Ievads

iptablesir spēcīgs rīks, ko izmanto, lai konfigurētu Linux kodola integrēto ugunsmūri. Tas ir sākotnēji instalēts lielākajā daļā Ubuntu izplatījumu, taču, ja izmantojat pielāgotu Ubuntu versiju vai izmantojat konteineru, visticamāk, tas būs jāinstalē manuāli.

sudo apt-get install iptables iptables-persistent

Ja pēc instalēšanas jums tiek jautāts, vai saglabāt pašreizējos noteikumus, tas pašlaik nav svarīgi, jo jūs vēlāk gatavojaties noņemt vai izveidot jaunus noteikumus.

Padomi

Varat izmantot netcatkomandu ( citā datorā, nevis serverī), lai pārbaudītu, kuri porti ir atvērti vai aizvērti.

nc -z -w5 -v SERVER_IP PORT

• nc ir netcat komanda.
• -z vienkārši nosūtiet paketi bez kravas.
• -w5 pagaidiet līdz 5 sekundēm, lai saņemtu atbildi.
• -v runīgs režīms.
• Aizstāt SERVER_IPar sava servera adresi.
• Aizstājiet PORTar portu, kuru vēlaties pārbaudīt, vai tas ir atvērts (piemēram, 22).

Savā serverī varat izmantot netstatkomandu, lai redzētu, kuri porti pašlaik klausās savienojumus.

sudo netstat -tulpn

Piezīme: Lai gan netstatir ērts, lai atrastu ostām vēlaties strādāt ar, jums ir jāzina par pieteikumu jums pašlaik ir instalēta jūsu serverī un kurā ostām ir klausīšanās, jums nav jābūt, lai varētu katru ostas jums atrast šajā netstatprodukciju .

Sintakse

sudo iptables -A INPUT -p tcp -m tcp --dport 22 --m geoip --src-cc PE -j ACCEPT

• -A INPUTpievienojiet INPUTķēdei kārtulu , ķēde ir kārtulu grupa, šajā rokasgrāmatā visbiežāk izmantojamie ir INPUT, OUTPUTun PREROUTING.
• -p tcpiestatīt tcpkā protokolu, uz kuru attieksies šis noteikums, varat izmantot arī citus protokolus, piemēram udp, icmpvai all.
• -m tcpizmantojiet tcpmoduli. iptablesatbalsta papildu funkcijas, izmantojot moduļus, no kuriem daži jau ir sākotnēji instalēti, iptablesbet citi, piemēram, geoipmodulis.
• --dport 22komandas, kas sākas ar --norāda papildu opcijas iepriekš izmantotajam modulim, šajā gadījumā mēs liksim tcpmodulim piemērot tikai portam 22.
• -m geoipizmantojiet geoipmoduli. Tas ierobežos pakešu skaitu atkarībā no valsts (vairāk informācijas 5. darbībā).
• --src-cc PEpasakiet geoipmodulim ierobežot ienākošās paketes ar tām, kas nāk no Peru. Vairāk valstu kodus meklējiet ISO 3166 country codesinternetā.
• -j ACCEPT-jarguments stāsta iptables, ko darīt, ja pakete atbilst ierobežojumus norādītas iepriekšējos argumentus. Šajā gadījumā tas būs ACCEPTšīs paketes, citas iespējas ir REJECT, DROPun vairāk. Vairāk iespēju var atrast, meklējot iptables jump targetsinternetā.

1. Pamati

Uzskaitiet visus noteikumus.

sudo iptables -L

Uzskaitiet visas komandas, kas tika izmantotas, lai izveidotu pašlaik izmantotās kārtulas, kas ir noderīgas kārtulu rediģēšanai vai dzēšanai.

sudo iptables -S

Lai dzēstu noteiktu kārtulu, izvēlieties kārtulu no sudo iptables -Sun aizstājiet -Aar -D.

# -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

sudo iptables -D INPUT -p tcp -m tcp --dport 22 -j ACCEPT

Uzskaitiet visus numurētos noteikumus INPUTķēdē.

sudo iptables -L INPUT --line-numbers

Dzēst numurētu kārtulu.

sudo iptables -D INPUT 2

Lai notīrītu visus noteikumus.

sudo iptables -F

Brīdinājums: savienojums var pazust, ja savienojat ar SSH .

Noskaidrojiet tikai noteikumus OUTPUTķēdē.

sudo iptables -F OUTPUT

2. Izveidojiet sākotnējos noteikumus

Atļaut SSHpar eth0saskarni

sudo iptables -A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT

• -i eth0 lietot noteikumu konkrētam interfeisam, lai ļautu no jebkura interfeisa noņemt šo komandu.

Lai ierobežotu ienākošās paketes ar noteiktu IP (ti, 10.0.3.1/32).

sudo iptables -A INPUT -i eth0 -s 10.0.3.1/32 -p tcp -m tcp --dport 22 -j ACCEPT

• -s 10.0.3.1/32 norāda IP/apakštīklu, no kura atļaut izveidot savienojumus.

Iestatiet noklusējuma ķēdes noteikumus.

Brīdinājums: pirms turpināt, pārliecinieties, vai esat lietojis pareizos SSH noteikumus, ja strādājat ar attālo serveri .

sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP 
sudo iptables -P OUTPUT ACCEPT 

• -P INPUT DROP liedz visas ienākošās paketes (ti, neviens nevarēs izveidot savienojumu ar jūsu darbinātajiem serveriem, piemēram, Apache, SQL utt.).
• -P FORWARD DROP liedz visas pārsūtītās paketes (ti, ja izmantojat sistēmu kā maršrutētāju).
• -P OUTPUT ACCEPTatļauj visas izejošās paketes (ti, kad veicat HTTPpieprasījumu).

Atļaut visu trafiku atpakaļcilpas saskarnē ( ieteicams ).

sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT

3. Padariet noteikumus noturīgus

Saglabājiet pašreizējos iptablesnoteikumus.

sudo netfilter-persistent save
sudo netfilter-persistent reload

Ja izmantojat konteineru, netfilter-persistentkomanda, visticamāk, nedarbosies, tāpēc iptables-persistentpakotne ir jāpārkonfigurē .

sudo dpkg-reconfigure iptables-persistent

4. Atļaujiet izejošos savienojumus

Atļaut DNS vaicājumus.

sudo iptables -A OUTPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT
sudo iptables -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT

Izmantojiet statemoduli, lai atļautu RELATEDun ESTABLISHEDizejošās paketes.

sudo iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Atļaujiet vēlamās pieslēgvietas; šajā gadījumā HTTPostas.

sudo iptables -A OUTPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT

Vairāk portu, kurus, iespējams, vēlēsities izmantot.

• FTP: tcp 21. portā
• HTTPS: tcp 443. portā
• DHCP: udp 67. portā
• NTP: udp 123. portā

Piezīme. Ja vēlaties atļaut apt-get, iespējams, būs jāatļauj FTPunHTTPS .

Atļaut atgriezto trafiku tikai savienojumiem RELATEDun jau esošajiem ESTABLISHEDsavienojumiem ( ieteicams, jo dažreiz ir nepieciešama divvirzienu saziņa).

sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Citi noderīgi noteikumi

Atļaut ping pieprasījumus no ārpuses.

sudo iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
sudo iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

Pārsūtīt trafiku eth0portā 2200uz 10.0.3.21:22(noderīgi, ja vēlaties atklāt SSH serveri, kas darbojas konteinerā).

sudo iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 2200 -j DNAT --to-destination 10.0.3.21:22

Ja veiksmīgi piesakāties savā serverī, izmantojot SSH, tiks izveidots pastāvīgs savienojums (ti, netiks izveidoti jauni savienojumi, pat ja esat izveidojis savienojumu ilgāk par 1 stundu). Ja neizdodas un mēģināt vēlreiz pieteikties, tiks izveidots jauns savienojums. Tas bloķēs nepārtrauktus SSH pieteikšanās mēģinājumus, ierobežojot jaunu savienojumu skaitu stundā.

sudo iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
sudo iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 3600 --hitcount 4 -j DROP

Pāradresējiet visus pieprasījumus no porta 443uz portu 4430(noderīgi, ja vēlaties izveidot savienojumu ar portu 443bez root).

sudo iptables -t nat -A PREROUTING -i ens3 -p tcp --dport 443 -j REDIRECT --to-port 4430
sudo iptables -A INPUT -p tcp -m tcp --dport 4430 -m geoip --src-cc PE -j ACCEPT

• ens3 tīkla interfeisu.
• -m geoip valsts bloka modulis (skatiet 5. darbību).

Brīdinājums: nelietojiet lo, OS atmetīs visas paketes, kas novirzītas uz atpakaļcilpas interfeisu .

5. Atļaut vai bloķēt veselas valstis

5.1 Instalēšana xtables-addons

Jūs varat instalēt xtables-addonsmoduli, izmantojot dažādas metodes, droši izmantojiet instalēšanas metodi, kas jums vislabāk atbilst.

• Instalējiet, izmantojot apt-get.

  sudo apt-get install xtables-addons-common
  

• Instalējiet, izmantojot module-assistant.

  sudo apt-get install module-assistant xtables-addons-source
  sudo module-assistant --verbose --text-mode auto-install xtables-addons
  

• Instalējiet no avota.

  sudo apt-get install git bc libncurses5-dev libtext-csv-xs-perl autoconf automake libtool xutils-dev iptables-dev
  git clone git://git.code.sf.net/p/xtables-addons/xtables-addons
  cd xtables-addons
  ./autogen.sh
  ./configure
  make
  sudo make install
  

Izveidojiet "valstu" datubāzi.

sudo apt-get install libtext-csv-xs-perl unzip
sudo mkdir /usr/share/xt_geoip
sudo /usr/lib/xtables-addons/xt_geoip_dl
sudo /usr/lib/xtables-addons/xt_geoip_build -D /usr/share/xt_geoip *.csv
sudo rm GeoIPCountryCSV.zip GeoIPCountryWhois.csv GeoIPv6.csv

Restartējiet sistēmu.

sudo reboot

Pēc xtables-addonsveiksmīgas instalēšanas pēc pirmās atsāknēšanas palaidiet, depmodpretējā gadījumā valsts bloķēšana nedarbosies pareizi (tas ir nepieciešams tikai pirmo reizi).

sudo depmod 

Izveidojiet skriptu vietnē, /etc/cron.monthly/geoip-updaterlai geoipkatru mēnesi atjauninātu datubāzi.

#!/usr/bin/env bash
# this script is intended to run with sudo privileges

echo 'Removing old database---------------------------------------------------'
rm -rf /usr/share/xt_geoip/*
mkdir -p /usr/share/xt_geoip

echo 'Downloading country databases-------------------------------------------'
mkdir /tmp/geoip-updater
cd /tmp/geoip-updater
/usr/lib/xtables-addons/xt_geoip_dl

echo 'Building geoip database-------------------------------------------------'
/usr/lib/xtables-addons/xt_geoip_build -D /usr/share/xt_geoip *.csv

echo 'Removing temporary files------------------------------------------------'
cd /tmp
rm -rf /tmp/geoip-updater

Padarīt /etc/cron.monthly/geoip-updaterizpildāmu.

sudo chmod +x /etc/cron.monthly/geoip-updater

5.2. Noteikumu paraugi

_Piezīme. Ja iptables: No chain/target/match by that name, mēģinot lietot geoipkārtulu, tiek parādīts kļūdas ziņojums, iespējams, ka xtables-addonstā nav instalēta pareizi. Izmēģiniet citu instalēšanas metodi.

Bloķējiet visas ienākošās paketes no Ķīnas, Honkongas, Krievijas un Korejas.

sudo iptables -A INPUT -m geoip --src-cc CN,HK,RU,KR -j DROP

Atļaut ienākošās paketes ostā 80no jebkuras vietas, izņemot iepriekš minētās valstis.

sudo iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

Atļaut ienākošās paketes ens3interfeisā 22tikai no Peru (jūs varat brīvi izvēlēties valsts kodu, no kuras vēlaties pieņemt paketes, piemēram, USASV).

sudo iptables -A INPUT -i ens3 -p tcp -m tcp --dport 22 -m geoip --src-cc PE -j ACCEPT

Atļaut ienākošās paketes ostā 443tikai no Peru.

sudo iptables -A INPUT -p tcp -m tcp --dport 443 -m geoip --src-cc PE -j ACCEPT