Enostavna konfiguracija IPTables in primeri v Ubuntu 16.04

Uvod

iptablesje zmogljivo orodje, ki se uporablja za konfiguriranje vgrajenega požarnega zidu jedra Linux. Na voljo je vnaprej nameščen v večini distribucij Ubuntuja, vendar če uporabljate prilagojeno različico Ubuntuja ali delujete v vsebniku, ga boste morali najverjetneje namestiti ročno.

sudo apt-get install iptables iptables-persistent

Če vas po namestitvi vpraša, ali želite shraniti trenutna pravila, to trenutno ni pomembno, ker boste pozneje odstranili ali ustvarili nova pravila.

Nasveti

Z netcatukazom (na drugem računalniku kot v strežniku) lahko preizkusite, katera vrata so odprta ali zaprta.

nc -z -w5 -v SERVER_IP PORT

• nc je ukaz netcat.
• -z samo pošljite paket brez tovora.
• -w5 počakajte do 5 sekund na odgovor.
• -v podrobni način.
• Zamenjajte SERVER_IPz naslovom strežnika.
• Zamenjajte PORTz vrati, ki jih želite preizkusiti, ali so odprta (npr. 22).

Na vašem strežniku lahko uporabite netstatukaz, da vidite, katera vrata trenutno poslušajo povezave.

sudo netstat -tulpn

Opomba: Čeprav netstatje priročno poiskati vrata, s katerimi želite delati, se morate zavedati, katere aplikacije imate trenutno nameščene na strežniku in katera vrata poslušajo, vam ni treba dovoliti vseh vrat, ki jih najdete v netstatizhodu .

Sintaksa

sudo iptables -A INPUT -p tcp -m tcp --dport 22 --m geoip --src-cc PE -j ACCEPT

• -A INPUTINPUTverigi dodajte pravilo , veriga je skupina pravil, tista, ki jih v tem priročniku največ uporabljamo, bodo INPUT, OUTPUTin PREROUTING.
• -p tcpče nastavite tcpkot protokol, za katerega bo veljalo to pravilo, lahko uporabite tudi druge protokole, kot sta udp, icmpali all.
• -m tcpuporabite tcpmodul. iptablespodpira dodatne funkcije prek modulov, od katerih so nekateri že vnaprej nameščeni, iptablesdrugi pa, kot je geoipmodul.
• --dport 22ukazi, ki se začnejo z, --označujejo dodatne možnosti za predhodno uporabljen modul, v tem primeru bomo tcpmodulu povedali, naj velja samo za vrata 22.
• -m geoipuporabite geoipmodul. Omejil bo pakete na podlagi države (več informacij v 5. koraku).
• --src-cc PEpovejte geoipmodulu, naj omeji dohodne pakete na tiste, ki prihajajo iz Peruja. Za več kod držav poiščite ISO 3166 country codesna internetu.
• -j ACCEPT-jargument pove, iptableskaj storiti, če paket ujema omejitve, določene v prejšnjih argumentov. V tem primeru bodo ACCEPTti paketi, druge možnosti so REJECT, DROPin še več. Več možnosti lahko najdete z iskanjem iptables jump targetsna internetu.

1. Osnove

Naštej vsa pravila.

sudo iptables -L

Seznam vseh ukazov, ki so bili uporabljeni za ustvarjanje trenutno uporabljenih pravil, uporabnih za urejanje ali brisanje pravil.

sudo iptables -S

Če želite izbrisati določeno pravilo, izberite pravilo sudo iptables -Sin ga zamenjajte -Az -D.

# -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

sudo iptables -D INPUT -p tcp -m tcp --dport 22 -j ACCEPT

Navedite vsa oštevilčena pravila v INPUTverigi.

sudo iptables -L INPUT --line-numbers

Izbrišite oštevilčeno pravilo.

sudo iptables -D INPUT 2

Za brisanje vseh pravil.

sudo iptables -F

Opozorilo: lahko izgubite povezavo, če ste povezani prek SSH .

Počisti samo pravila v OUTPUTverigi.

sudo iptables -F OUTPUT

2. Ustvarite začetna pravila

Dovoli SSHna eth0vmesniku

sudo iptables -A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT

• -i eth0 uporabite pravilo za določen vmesnik, da omogočite odstranitev tega ukaza iz katerega koli vmesnika.

Za omejitev dohodnih paketov na določen IP (tj. 10.0.3.1/32).

sudo iptables -A INPUT -i eth0 -s 10.0.3.1/32 -p tcp -m tcp --dport 22 -j ACCEPT

• -s 10.0.3.1/32 določa IP/podomrežje, iz katerega se dovolijo povezave.

Nastavite privzeta pravila verige.

Opozorilo: preden nadaljujete, se prepričajte, da ste uporabili pravilna pravila SSH, če delate na oddaljenem strežniku .

sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP 
sudo iptables -P OUTPUT ACCEPT 

• -P INPUT DROP zavrne vse dohodne pakete (tj. nihče se ne bo mogel povezati z vašimi delujočimi strežniki, kot so Apache, SQL itd.).
• -P FORWARD DROP zavrne vse posredovane pakete (tj. ko sistem uporabljate kot usmerjevalnik).
• -P OUTPUT ACCEPTdovoljuje vse odhodne pakete (tj. ko izvedete HTTPzahtevo).

Dovoli ves promet na vmesniku povratne zanke ( priporočeno ).

sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT

3. Naj bodo pravila obstojna

Shranite trenutna iptablespravila.

sudo netfilter-persistent save
sudo netfilter-persistent reload

Če izvajate znotraj vsebnika, netfilter-persistentukaz najverjetneje ne bo deloval, zato morate znova konfigurirati iptables-persistentpaket.

sudo dpkg-reconfigure iptables-persistent

4. Dovoli odhodne povezave

Dovoli poizvedbe DNS.

sudo iptables -A OUTPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT
sudo iptables -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT

Uporabite statemodul za dovolitev RELATEDin ESTABLISHEDodhodne pakete.

sudo iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Dovolite želena vrata; v tem primeru HTTPvrata.

sudo iptables -A OUTPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT

Več vrat, ki jih boste morda želeli uporabiti.

• FTP: tcp na vratih 21
• HTTPS: tcp na vratih 443
• DHCP: udp na vratih 67
• NTP: udp na vratih 123

Opomba: Če želite dovoliti apt-get, boste morda morali dovoliti FTPinHTTPS .

Dovoli vrnjeni promet samo za RELATEDin že ESTABLISHEDpovezave ( priporočeno, ker je včasih potrebna dvosmerna komunikacija).

sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Druga koristna pravila

Dovoli zahteve ping od zunaj.

sudo iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
sudo iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

Posredujte promet na eth0vratih 2200na 10.0.3.21:22(uporabno, če želite izpostaviti strežnik SSH, ki se izvaja znotraj vsebnika).

sudo iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 2200 -j DNAT --to-destination 10.0.3.21:22

Če se uspešno prijavite v strežnik s pomočjo SSH, bo vzpostavljena trajna povezava (tj. nobenih novih povezav, tudi če ste povezani več kot 1 uro). Če ne uspete in se poskusite znova prijaviti, bo ustvarjena nova povezava. To bo blokiralo neprekinjene poskuse prijave s SSH z omejevanjem novih povezav na uro.

sudo iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
sudo iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 3600 --hitcount 4 -j DROP

Preusmeri vse zahteve od vrat 443do vrat 4430(uporabno, če se želite povezati s vrati 443brez root).

sudo iptables -t nat -A PREROUTING -i ens3 -p tcp --dport 443 -j REDIRECT --to-port 4430
sudo iptables -A INPUT -p tcp -m tcp --dport 4430 -m geoip --src-cc PE -j ACCEPT

• ens3 omrežni vmesnik.
• -m geoip modul državnega bloka (glejte korak 5).

Opozorilo: Ne uporabljajte lo, OS bo zavrgel vse pakete, preusmerjene na vmesnik za povratno zanko .

5. Dovoli ali blokira cele države

5.1 Namestitev xtables-addons

xtables-addonsModul lahko namestite na različne načine, lahko uporabite način namestitve, ki vam najbolj ustreza.

• Namestite z uporabo apt-get.

  sudo apt-get install xtables-addons-common
  

• Namestite z uporabo module-assistant.

  sudo apt-get install module-assistant xtables-addons-source
  sudo module-assistant --verbose --text-mode auto-install xtables-addons
  

• Namestite iz vira.

  sudo apt-get install git bc libncurses5-dev libtext-csv-xs-perl autoconf automake libtool xutils-dev iptables-dev
  git clone git://git.code.sf.net/p/xtables-addons/xtables-addons
  cd xtables-addons
  ./autogen.sh
  ./configure
  make
  sudo make install
  

Zgradite bazo podatkov "države".

sudo apt-get install libtext-csv-xs-perl unzip
sudo mkdir /usr/share/xt_geoip
sudo /usr/lib/xtables-addons/xt_geoip_dl
sudo /usr/lib/xtables-addons/xt_geoip_build -D /usr/share/xt_geoip *.csv
sudo rm GeoIPCountryCSV.zip GeoIPCountryWhois.csv GeoIPv6.csv

Znova zaženite sistem.

sudo reboot

Po xtables-addonsuspešni namestitvi po prvem ponovnem zagonu zaženite, depmodsicer blokiranje države ne bo delovalo pravilno (to je potrebno samo prvič).

sudo depmod 

Ustvarite skript na /etc/cron.monthly/geoip-updaterza geoipmesečno posodabljanje baze podatkov.

#!/usr/bin/env bash
# this script is intended to run with sudo privileges

echo 'Removing old database---------------------------------------------------'
rm -rf /usr/share/xt_geoip/*
mkdir -p /usr/share/xt_geoip

echo 'Downloading country databases-------------------------------------------'
mkdir /tmp/geoip-updater
cd /tmp/geoip-updater
/usr/lib/xtables-addons/xt_geoip_dl

echo 'Building geoip database-------------------------------------------------'
/usr/lib/xtables-addons/xt_geoip_build -D /usr/share/xt_geoip *.csv

echo 'Removing temporary files------------------------------------------------'
cd /tmp
rm -rf /tmp/geoip-updater

Naredi /etc/cron.monthly/geoip-updaterizvedljivo.

sudo chmod +x /etc/cron.monthly/geoip-updater

5.2 Primeri pravil

_Opomba: Če prejmete iptables: No chain/target/match by that namenapako, ko poskušate uporabiti geoippravilo, je možno, da xtables-addonsni bilo pravilno nameščeno. Poskusite z drugo metodo namestitve.

Blokirajte vse dohodne pakete iz Kitajske, Hongkonga, Rusije in Koreje.

sudo iptables -A INPUT -m geoip --src-cc CN,HK,RU,KR -j DROP

Dovoli dohodne pakete na pristaniščih 80od vsepovsod, razen v zgornjih državah.

sudo iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

Dovoli dohodne pakete na ens3vmesniku na pristanišču 22samo iz Peruja (izberite kodo države, iz katere želite sprejeti pakete, na primer USza Združene države).

sudo iptables -A INPUT -i ens3 -p tcp -m tcp --dport 22 -m geoip --src-cc PE -j ACCEPT

Dovoli dohodne pakete v pristaniščih 443samo iz Peruja.

sudo iptables -A INPUT -p tcp -m tcp --dport 443 -m geoip --src-cc PE -j ACCEPT