Jednoduchá konfigurácia a príklady IPTables na Ubuntu 16.04

Úvod

iptablesje výkonný nástroj používaný na konfiguráciu integrovaného firewallu jadra Linuxu. Dodáva sa predinštalovaný vo väčšine distribúcií Ubuntu, ak však používate prispôsobenú verziu Ubuntu alebo beží v kontajneri, s najväčšou pravdepodobnosťou ju budete musieť nainštalovať manuálne.

sudo apt-get install iptables iptables-persistent

Ak sa vás po inštalácii spýta, či chcete uložiť vaše aktuálne pravidlá, momentálne na tom nezáleží, pretože neskôr sa chystáte odstrániť alebo vytvoriť nové pravidlá.

Tipy

Pomocou netcatpríkazu (na inom počítači ako je váš server) môžete otestovať, ktoré z vašich portov sú otvorené alebo zatvorené.

nc -z -w5 -v SERVER_IP PORT

• nc je príkaz netcat.
• -z stačí poslať paket bez užitočného zaťaženia.
• -w5 počkajte až 5 sekúnd na odpoveď.
• -v podrobný režim.
• Nahraďte SERVER_IPadresu svojho servera.
• Nahraďte PORTho portom, ktorý chcete otestovať, či je otvorený (napr. 22).

Na vašom serveri môžete použiť netstatpríkaz na zobrazenie toho, ktoré porty momentálne počúvajú pripojenia.

sudo netstat -tulpn

Poznámka: Aj keď netstatje to užitočné pri hľadaní portov, s ktorými chcete pracovať, mali by ste si byť vedomí aplikácií, ktoré máte aktuálne nainštalované na serveri a ktoré porty počúvajú, nemusíte povoliť každý port, ktorý nájdete vo netstatvýstupe .

Syntax

sudo iptables -A INPUT -p tcp -m tcp --dport 22 --m geoip --src-cc PE -j ACCEPT

• -A INPUTpridajte pravidlo do INPUTreťazca, reťazec je skupina pravidiel, ktoré v tejto príručke používame najčastejšie INPUT, OUTPUTa PREROUTING.
• -p tcpnastaviť tcpako protokol, na ktorý sa bude toto pravidlo vzťahovať, môžete použiť aj iné protokoly ako udp, icmpalebo all.
• -m tcppoužite tcpmodul. iptablespodporuje ďalšie funkcie prostredníctvom modulov, z ktorých niektoré sú už predinštalované iptablesa iné, ako napríklad geoipmodul.
• --dport 22príkazy začínajúce na --označujú ďalšie možnosti pre predtým použitý modul, v tomto prípade povieme tcpmodulu, aby sa vzťahoval iba na port 22.
• -m geoippoužite geoipmodul. Obmedzí pakety na základe krajiny (viac informácií v kroku 5).
• --src-cc PEpovedzte geoipmodulu, aby obmedzil prichádzajúce pakety na tie, ktoré prichádzajú z Peru. Ďalšie kódy krajín nájdete ISO 3166 country codesna internete.
• -j ACCEPT-jparameter hovorí iptables, čo má robiť, keď paket zodpovedá obmedzenia uvedené v predchádzajúcej argumenty. V tomto prípade bude ACCEPTtieto pakety, ďalšie možnosti REJECT, DROPa ďalšie. Ďalšie možnosti nájdete vyhľadávaním iptables jump targetsna internete.

1. Základy

Uveďte všetky pravidlá.

sudo iptables -L

Uveďte všetky príkazy, ktoré boli použité na vytvorenie aktuálne používaných pravidiel, užitočné na úpravu alebo odstránenie pravidiel.

sudo iptables -S

Ak chcete odstrániť pravidlo špecifický zvoliť pravidlo sudo iptables -Sa nahradí -Asa -D.

# -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

sudo iptables -D INPUT -p tcp -m tcp --dport 22 -j ACCEPT

Uveďte všetky očíslované pravidlá v INPUTreťazci.

sudo iptables -L INPUT --line-numbers

Odstráňte očíslované pravidlo.

sudo iptables -D INPUT 2

Aby ste vymazali všetky pravidlá.

sudo iptables -F

Upozornenie: Pri pripojení pomocou SSH môžete stratiť pripojenie .

Jasné iba pravidlá v OUTPUTreťazci.

sudo iptables -F OUTPUT

2. Vytvorte počiatočné pravidlá

Povoliť SSHna eth0rozhraní

sudo iptables -A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT

• -i eth0 použiť pravidlo na konkrétne rozhranie, aby bolo možné z akéhokoľvek rozhrania tento príkaz odstrániť.

Na obmedzenie prichádzajúcich paketov na konkrétnu IP (napr. 10.0.3.1/32).

sudo iptables -A INPUT -i eth0 -s 10.0.3.1/32 -p tcp -m tcp --dport 22 -j ACCEPT

• -s 10.0.3.1/32 určuje IP/podsieť, z ktorej budú povolené pripojenia.

Nastavte predvolené pravidlá reťazca.

Upozornenie: Pred pokračovaním sa uistite, že ste použili správne pravidlá SSH, ak pracujete na vzdialenom serveri .

sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP 
sudo iptables -P OUTPUT ACCEPT 

• -P INPUT DROP zamietne všetky prichádzajúce pakety (tj nikto sa nebude môcť pripojiť k vašim spusteným serverom, ako sú Apache, SQL atď.).
• -P FORWARD DROP zamietne všetky preposielané pakety (tj keď používate váš systém ako smerovač).
• -P OUTPUT ACCEPTpovolí všetky odchádzajúce pakety (tj keď vykonáte HTTPpožiadavku).

Povoliť všetku komunikáciu na rozhraní spätnej slučky ( odporúča sa ).

sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT

3. Urobte pravidlá trvalé

Uložte aktuálne iptablespravidlá.

sudo netfilter-persistent save
sudo netfilter-persistent reload

Ak máte spustený v kontajneri, netfilter-persistentpríkaz s najväčšou pravdepodobnosťou nebude fungovať, takže musíte prekonfigurovať iptables-persistentbalík.

sudo dpkg-reconfigure iptables-persistent

4. Povoliť odchádzajúce pripojenia

Povoliť dotazy DNS.

sudo iptables -A OUTPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT
sudo iptables -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT

Použite statemodul na povolenie RELATEDa ESTABLISHEDodchádzajúce pakety.

sudo iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Povoľte požadované porty; v tomto prípade HTTPporty.

sudo iptables -A OUTPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT

Viac portov, ktoré možno budete chcieť použiť.

• FTP: tcp na porte 21
• HTTPS: tcp na porte 443
• DHCP: udp na porte 67
• NTP: udp na porte 123

Poznámka: Ak chcete povoliť apt-get, môže byť potrebné povoliť FTPaHTTPS .

Povoliť vrátenú prevádzku len pre RELATEDa už ESTABLISHEDpripojenia ( odporúča sa, pretože niekedy je potrebná obojsmerná komunikácia).

sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Ďalšie užitočné pravidlá

Povoliť požiadavky ping zvonku.

sudo iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
sudo iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

Forward traffic on eth0 port 2200 to 10.0.3.21:22 (useful if you want to expose an SSH server that is running inside a container).

sudo iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 2200 -j DNAT --to-destination 10.0.3.21:22

If you successfully login to your server by using SSH, a persistent connection will be created (i.e. no new connections even if you are connected for more than 1 hour). If you fail and try to login again, a new connection will be created. This will block continuous SSH login attempts by limiting new connections per hour.

sudo iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
sudo iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 3600 --hitcount 4 -j DROP

Redirect all requests on port 443 to port 4430 (useful if you want to bind to port 443 without root).

sudo iptables -t nat -A PREROUTING -i ens3 -p tcp --dport 443 -j REDIRECT --to-port 4430
sudo iptables -A INPUT -p tcp -m tcp --dport 4430 -m geoip --src-cc PE -j ACCEPT

• ens3 the network interface.
• -m geoip country block module (see step 5).

Warning: Do not use lo, the OS will discard all packets redirected to the loopback interface.

5. Allow or block whole countries

5.1 Install xtables-addons

xtables-addonsModul môžete nainštalovať rôznymi spôsobmi, pokojne použite spôsob inštalácie, ktorý vám najlepšie vyhovuje.

• Nainštalujte pomocou apt-get.

  sudo apt-get install xtables-addons-common
  

• Nainštalujte pomocou module-assistant.

  sudo apt-get install module-assistant xtables-addons-source
  sudo module-assistant --verbose --text-mode auto-install xtables-addons
  

• Inštalovať zo zdroja.

  sudo apt-get install git bc libncurses5-dev libtext-csv-xs-perl autoconf automake libtool xutils-dev iptables-dev
  git clone git://git.code.sf.net/p/xtables-addons/xtables-addons
  cd xtables-addons
  ./autogen.sh
  ./configure
  make
  sudo make install
  

Vytvorte databázu „krajín“.

sudo apt-get install libtext-csv-xs-perl unzip
sudo mkdir /usr/share/xt_geoip
sudo /usr/lib/xtables-addons/xt_geoip_dl
sudo /usr/lib/xtables-addons/xt_geoip_build -D /usr/share/xt_geoip *.csv
sudo rm GeoIPCountryCSV.zip GeoIPCountryWhois.csv GeoIPv6.csv

Reštartujte systém.

sudo reboot

Po xtables-addonsúspešnej inštalácii po prvom reštarte spustite, depmodinak nebude blokovanie krajiny fungovať správne (je to potrebné iba pri prvom spustení).

sudo depmod 

Vytvorte skript na adrese /etc/cron.monthly/geoip-updaterna aktualizáciu geoipdatabázy mesačne.

#!/usr/bin/env bash
# this script is intended to run with sudo privileges

echo 'Removing old database---------------------------------------------------'
rm -rf /usr/share/xt_geoip/*
mkdir -p /usr/share/xt_geoip

echo 'Downloading country databases-------------------------------------------'
mkdir /tmp/geoip-updater
cd /tmp/geoip-updater
/usr/lib/xtables-addons/xt_geoip_dl

echo 'Building geoip database-------------------------------------------------'
/usr/lib/xtables-addons/xt_geoip_build -D /usr/share/xt_geoip *.csv

echo 'Removing temporary files------------------------------------------------'
cd /tmp
rm -rf /tmp/geoip-updater

Urobiť /etc/cron.monthly/geoip-updaterspustiteľný.

sudo chmod +x /etc/cron.monthly/geoip-updater

5.2 Príklady pravidiel

_Poznámka: Ak sa iptables: No chain/target/match by that namepri pokuse o uplatnenie geoippravidla zobrazuje chyba , je možné, že pravidlo xtables-addonsnebolo nainštalované správne. Skúste iný spôsob inštalácie.

Blokovať všetky prichádzajúce pakety z Číny, Hongkongu, Ruska a Kórey.

sudo iptables -A INPUT -m geoip --src-cc CN,HK,RU,KR -j DROP

Povoliť prichádzajúce pakety na porte 80odkiaľkoľvek okrem krajín vyššie.

sudo iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

Povoliť prichádzajúce pakety na ens3rozhraní na porte 22iba z Peru (kľudne si vyberte kód krajiny, z ktorej chcete prijímať pakety, napríklad USpre Spojené štáty).

sudo iptables -A INPUT -i ens3 -p tcp -m tcp --dport 22 -m geoip --src-cc PE -j ACCEPT

Povoliť prichádzajúce pakety na porte 443iba z Peru.

sudo iptables -A INPUT -p tcp -m tcp --dport 443 -m geoip --src-cc PE -j ACCEPT