Enkel IPTables-konfiguration och exempel på Ubuntu 16.04

Introduktion

iptablesär ett kraftfullt verktyg som används för att konfigurera Linux-kärnans integrerade brandvägg. Det kommer förinstallerat på de flesta Ubuntu-distributioner, men om du använder en anpassad Ubuntu-version eller kör inuti en behållare måste du troligen installera den manuellt.

sudo apt-get install iptables iptables-persistent

Om du efter installationen tillfrågas om du ska spara dina nuvarande regler spelar det ingen roll just nu eftersom du ska ta bort eller skapa nya regler senare.

Tips

Du kan använda netcatkommandot (på en annan dator än din server) för att testa vilka av dina portar som är öppna eller stängda.

nc -z -w5 -v SERVER_IP PORT

• nc är kommandot netcat.
• -z skicka bara ett paket utan nyttolast.
• -w5 vänta upp till 5 sekunder på ett svar.
• -v verbose läge.
• Ersätt SERVER_IPmed din serveradress.
• Ersätt PORTmed porten du vill testa om den är öppen (t.ex. 22).

På din server kan du använda netstatkommandot för att se vilka portar som för närvarande lyssnar efter anslutningar.

sudo netstat -tulpn

Obs: Även om det netstatär praktiskt att hitta de portar du vill arbeta med, bör du vara medveten om de applikationer du för närvarande har installerat på din server och vilka portar som lyssnar, du behöver inte tillåta varje port du hittar i netstatutgången .

Syntax

sudo iptables -A INPUT -p tcp -m tcp --dport 22 --m geoip --src-cc PE -j ACCEPT

• -A INPUTlägg till en regel i INPUTkedjan, en kedja är en grupp regler, de vi använder mest i den här guiden är INPUT, OUTPUToch PREROUTING.
• -p tcpange tcpsom det protokoll som denna regel kommer att gälla för, kan du också använda andra protokoll som udp, icmpeller all.
• -m tcpanvända tcpmodulen. iptablesstöder ytterligare funktioner via moduler, av vilka några redan är förinstallerade med iptablesoch andra, såsom geoipmodulen.
• --dport 22kommandona som börjar med --indikerar ytterligare alternativ för den tidigare använda modulen, i det här fallet kommer vi att berätta för tcpmodulen att endast gälla port 22.
• -m geoipanvända geoipmodulen. Det kommer att begränsa paket på landsbasis (mer information i steg 5).
• --src-cc PEsäg till geoipmodulen att begränsa de inkommande paketen till de som kommer från Peru. För fler landskoder sök efter ISO 3166 country codespå internet.
• -j ACCEPTdet -jargumentet berättar iptablesvad de ska göra om ett paket matchar de begränsningar som anges i de tidigare argument. I detta fall kommer ACCEPTdessa paket, andra alternativ är REJECT, DROPoch mycket mer. Du kan hitta fler alternativ genom att söka iptables jump targetspå internet.

1. Grunderna

Lista alla regler.

sudo iptables -L

Lista alla kommandon som användes för att skapa de regler som används för närvarande, användbara för att redigera eller ta bort regler.

sudo iptables -S

För att ta bort en specifik regel välj en regel från sudo iptables -Soch ersätt -Amed -D.

# -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

sudo iptables -D INPUT -p tcp -m tcp --dport 22 -j ACCEPT

Lista alla numrerade regler i INPUTkedjan.

sudo iptables -L INPUT --line-numbers

Ta bort en numrerad regel.

sudo iptables -D INPUT 2

För att rensa alla regler.

sudo iptables -F

Varning: du kan förlora anslutningen om du ansluter via SSH .

Rensa endast regler i OUTPUTkedjan.

sudo iptables -F OUTPUT

2. Skapa inledande regler

Tillåt SSHpå eth0gränssnitt

sudo iptables -A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT

• -i eth0 tillämpa regel på ett specifikt gränssnitt, för att tillåta från vilket gränssnitt som helst ta bort detta kommando.

För att begränsa inkommande paket till en specifik IP (dvs 10.0.3.1/32).

sudo iptables -A INPUT -i eth0 -s 10.0.3.1/32 -p tcp -m tcp --dport 22 -j ACCEPT

• -s 10.0.3.1/32 anger ett IP/subnät att tillåta anslutningar från.

Ställ in standardkedjeregler.

Varning: innan du fortsätter se till att du har tillämpat rätt SSH-regler om du arbetar på en fjärrserver .

sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP 
sudo iptables -P OUTPUT ACCEPT 

• -P INPUT DROP nekar alla inkommande paket (dvs ingen kommer att kunna ansluta till dina körande servrar som Apache, SQL, etc).
• -P FORWARD DROP nekar alla vidarebefordrade paket (dvs. när du använder ditt system som router).
• -P OUTPUT ACCEPTtillåter alla utgående paket (dvs när du utför en HTTPförfrågan).

Tillåt all trafik på loopback-gränssnittet ( rekommenderas ).

sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT

3. Gör reglerna beständiga

Spara de nuvarande iptablesreglerna.

sudo netfilter-persistent save
sudo netfilter-persistent reload

Om du kör inuti en container kommer netfilter-persistentkommandot troligen inte att fungera, så du måste konfigurera om iptables-persistentpaketet.

sudo dpkg-reconfigure iptables-persistent

4. Tillåt utgående anslutningar

Tillåt DNS-frågor.

sudo iptables -A OUTPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT
sudo iptables -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT

Använd statemodulen för att tillåta RELATEDoch ESTABLISHEDutgående paket.

sudo iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Tillåt önskade portar; i detta fall HTTPportar.

sudo iptables -A OUTPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT

Fler portar du kanske vill använda.

• FTP: tcp vid port 21
• HTTPS: tcp vid port 443
• DHCP: udp vid port 67
• NTP: udp vid port 123

Obs: Om du vill tillåta apt-getkan det vara nödvändigt att tillåta FTPochHTTPS .

Tillåt endast returnerad trafik för RELATEDoch redan ESTABLISHEDanslutningar ( rekommenderas eftersom dubbelriktad kommunikation ibland krävs).

sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Andra användbara regler

Tillåt ping-förfrågningar utifrån.

sudo iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
sudo iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

Vidarebefordra trafik på eth0port 2200till 10.0.3.21:22(användbart om du vill exponera en SSH-server som körs inuti en container).

sudo iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 2200 -j DNAT --to-destination 10.0.3.21:22

Om du lyckas logga in på din server med hjälp av SSH kommer en beständig anslutning att skapas (dvs inga nya anslutningar även om du är ansluten i mer än 1 timme). Om du misslyckas och försöker logga in igen kommer en ny anslutning att skapas. Detta kommer att blockera kontinuerliga SSH-inloggningsförsök genom att begränsa nya anslutningar per timme.

sudo iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
sudo iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 3600 --hitcount 4 -j DROP

Omdirigera alla förfrågningar på port 443till port 4430(användbart om du vill binda till port 443utan root).

sudo iptables -t nat -A PREROUTING -i ens3 -p tcp --dport 443 -j REDIRECT --to-port 4430
sudo iptables -A INPUT -p tcp -m tcp --dport 4430 -m geoip --src-cc PE -j ACCEPT

• ens3 nätverksgränssnittet.
• -m geoip landsblocksmodul (se steg 5).

Varning: Använd inte lo, OS kommer att kassera alla paket som omdirigeras till loopback-gränssnittet .

5. Tillåt eller blockera hela länder

5.1 Installera xtables-addons

Du kan installera xtables-addonsmodulen med olika metoder, använd gärna den installationsmetod som fungerar bäst för dig.

• Installera med apt-get.

  sudo apt-get install xtables-addons-common
  

• Installera med module-assistant.

  sudo apt-get install module-assistant xtables-addons-source
  sudo module-assistant --verbose --text-mode auto-install xtables-addons
  

• Installera från källan.

  sudo apt-get install git bc libncurses5-dev libtext-csv-xs-perl autoconf automake libtool xutils-dev iptables-dev
  git clone git://git.code.sf.net/p/xtables-addons/xtables-addons
  cd xtables-addons
  ./autogen.sh
  ./configure
  make
  sudo make install
  

Bygg en databas för "länder".

sudo apt-get install libtext-csv-xs-perl unzip
sudo mkdir /usr/share/xt_geoip
sudo /usr/lib/xtables-addons/xt_geoip_dl
sudo /usr/lib/xtables-addons/xt_geoip_build -D /usr/share/xt_geoip *.csv
sudo rm GeoIPCountryCSV.zip GeoIPCountryWhois.csv GeoIPv6.csv

Starta om ditt system.

sudo reboot

Efter att den xtables-addonshar installerats framgångsrikt, efter den första omstarten, kör depmodannars landsblockering fungerar inte korrekt (detta krävs bara för första gången).

sudo depmod 

Skapa ett skript på för /etc/cron.monthly/geoip-updateratt uppdatera geoipdatabasen varje månad.

#!/usr/bin/env bash
# this script is intended to run with sudo privileges

echo 'Removing old database---------------------------------------------------'
rm -rf /usr/share/xt_geoip/*
mkdir -p /usr/share/xt_geoip

echo 'Downloading country databases-------------------------------------------'
mkdir /tmp/geoip-updater
cd /tmp/geoip-updater
/usr/lib/xtables-addons/xt_geoip_dl

echo 'Building geoip database-------------------------------------------------'
/usr/lib/xtables-addons/xt_geoip_build -D /usr/share/xt_geoip *.csv

echo 'Removing temporary files------------------------------------------------'
cd /tmp
rm -rf /tmp/geoip-updater

Gör /etc/cron.monthly/geoip-updaterkörbart.

sudo chmod +x /etc/cron.monthly/geoip-updater

5.2 Exempel på regler

_Obs: Om du får ett iptables: No chain/target/match by that namefelmeddelande när du försöker tillämpa en geoipregel, är det möjligt att den xtables-addonsinte har installerats korrekt. Prova en annan installationsmetod.

Blockera alla inkommande paket från Kina, Hongkong, Ryssland och Korea.

sudo iptables -A INPUT -m geoip --src-cc CN,HK,RU,KR -j DROP

Tillåt inkommande paket på port 80från överallt förutom länderna ovan.

sudo iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

Tillåt inkommande paket på ens3gränssnittet på port 22endast från Peru (välj gärna den landskod du vill acceptera paket från till exempel USför USA).

sudo iptables -A INPUT -i ens3 -p tcp -m tcp --dport 22 -m geoip --src-cc PE -j ACCEPT

Tillåt endast inkommande paket på port 443från Peru.

sudo iptables -A INPUT -p tcp -m tcp --dport 443 -m geoip --src-cc PE -j ACCEPT