Проста конфігурація та приклади IPTables в Ubuntu 16.04

Вступ

iptablesє потужним інструментом, який використовується для налаштування інтегрованого брандмауера ядра Linux. Він попередньо встановлений у більшості дистрибутивів Ubuntu, однак, якщо ви використовуєте налаштовану версію Ubuntu або працюєте в контейнері, вам, швидше за все, доведеться встановлювати його вручну.

sudo apt-get install iptables iptables-persistent

Після встановлення, якщо вас запитають, чи зберігати поточні правила, на даний момент це не має значення, оскільки ви збираєтеся видалити або створити нові правила пізніше.

Поради

Ви можете використовувати цю netcatкоманду (на іншому комп’ютері, ніж ваш сервер), щоб перевірити, які з ваших портів відкриті чи закриті.

nc -z -w5 -v SERVER_IP PORT

• nc це команда netcat.
• -z просто відправте пакет без корисного навантаження.
• -w5 зачекайте до 5 секунд на відповідь.
• -v багатослівний режим.
• Замініть SERVER_IPна адресу свого сервера.
• Замініть PORTпорт, який ви хочете перевірити, чи відкритий він (наприклад, 22).

На вашому сервері ви можете використовувати netstatкоманду, щоб побачити, які порти в даний момент прослуховують з’єднання.

sudo netstat -tulpn

Примітка. Хоча netstatце зручно для пошуку портів, з якими ви хочете працювати, ви повинні знати, які програми ви зараз інсталювали на вашому сервері та які порти прослуховують, вам не потрібно дозволяти кожен порт, який ви знайдете у netstatвиводі .

Синтаксис

sudo iptables -A INPUT -p tcp -m tcp --dport 22 --m geoip --src-cc PE -j ACCEPT

• -A INPUTдодайте правило до INPUTланцюжка, ланцюжок — це група правил, які ми найчастіше використовуємо в цьому посібнику INPUT: OUTPUTі PREROUTING.
• -p tcpякщо вказати tcpпротокол, до якого застосовуватиметься це правило, ви також можете використовувати інші протоколи, такі як udp, icmpабо all.
• -m tcpвикористовувати tcpмодуль. iptablesпідтримує додаткові функції за допомогою модулів, деякі з яких вже попередньо встановлені, iptablesа інші, наприклад, geoipмодуль.
• --dport 22команди, що починаються з, --вказують на додаткові параметри для раніше використовуваного модуля, у цьому випадку ми скажемо tcpмодулю застосовувати лише до port 22.
• -m geoipвикористовувати geoipмодуль. Це обмежить пакети на основі країни (докладніше на кроці 5).
• --src-cc PEскажіть geoipмодулю обмежити вхідні пакети тими, що надходять з Перу. Щоб отримати додаткові коди країн, шукайте ISO 3166 country codesв Інтернеті.
• -j ACCEPT-jаргумент вказує , iptablesщо робити , якщо пакет відповідає обмеженням , зазначеним у попередніх міркуваннях. У цьому випадку він буде ACCEPTці пакети, інші варіанти REJECT, DROPі багато іншого. Ви можете знайти більше варіантів, пошукаючи iptables jump targetsв Інтернеті.

1. Основи

Перерахуйте всі правила.

sudo iptables -L

Перелік усіх команд, які використовувалися для створення поточних правил, корисних для редагування або видалення правил.

sudo iptables -S

Щоб видалити конкретне правило, виберіть правило з sudo iptables -Sі замініть його -Aна -D.

# -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

sudo iptables -D INPUT -p tcp -m tcp --dport 22 -j ACCEPT

Перерахуйте всі пронумеровані правила в INPUTланцюжку.

sudo iptables -L INPUT --line-numbers

Видалення пронумерованого правила.

sudo iptables -D INPUT 2

Щоб очистити всі правила.

sudo iptables -F

Попередження: ви можете втратити з'єднання, якщо підключено через SSH .

Очистіть лише правила в OUTPUTланцюжку.

sudo iptables -F OUTPUT

2. Створіть початкові правила

Дозволити SSHна eth0інтерфейсі

sudo iptables -A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT

• -i eth0 застосувати правило до певного інтерфейсу, щоб дозволити з будь-якого інтерфейсу видалити цю команду.

Щоб обмежити вхідні пакети певним IP (тобто 10.0.3.1/32).

sudo iptables -A INPUT -i eth0 -s 10.0.3.1/32 -p tcp -m tcp --dport 22 -j ACCEPT

• -s 10.0.3.1/32 вказує IP/підмережу, з якої можна підключатися.

Встановити правила ланцюга за замовчуванням.

Попередження: перш ніж продовжити, переконайтеся, що ви застосували правильні правила SSH, якщо працюєте на віддаленому сервері .

sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP 
sudo iptables -P OUTPUT ACCEPT 

• -P INPUT DROP забороняє всі вхідні пакети (тобто ніхто не зможе підключитися до ваших запущених серверів, таких як Apache, SQL тощо).
• -P FORWARD DROP забороняє всі пересилані пакети (тобто коли ви використовуєте свою систему як маршрутизатор).
• -P OUTPUT ACCEPTдозволяє всі вихідні пакети (тобто, коли ви виконуєте HTTPзапит).

Дозволити весь трафік на інтерфейсі loopback ( рекомендується ).

sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT

3. Зробіть правила постійними

Збережіть поточні iptablesправила.

sudo netfilter-persistent save
sudo netfilter-persistent reload

Якщо ви працюєте всередині контейнера, netfilter-persistentкоманда, швидше за все, не працюватиме, тому вам потрібно переналаштувати iptables-persistentпакет.

sudo dpkg-reconfigure iptables-persistent

4. Дозволити вихідні з'єднання

Дозволити запити DNS.

sudo iptables -A OUTPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT
sudo iptables -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT

Використовуйте stateмодуль для дозволу RELATEDта ESTABLISHEDвихідних пакетів.

sudo iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Дозволити потрібні порти; в даному випадку HTTPпорти.

sudo iptables -A OUTPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT

Більше портів, які ви можете використовувати.

• FTP: tcp на порту 21
• HTTPS: tcp на порту 443
• DHCP: udp на порту 67
• NTP: udp на порту 123

Примітка: якщо ви хочете дозволити, apt-getможливо, знадобиться дозволити FTPтаHTTPS .

Дозволити повернутий трафік лише для RELATEDта вже ESTABLISHEDз’єднань ( рекомендовано, оскільки іноді потрібен двосторонній зв’язок).

sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Інші корисні правила

Дозволити запити ping ззовні.

sudo iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
sudo iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

Форвард трафік на eth0порт 2200в 10.0.3.21:22(корисно , якщо ви хочете , щоб відкрити сервер SSH , який працює всередині контейнера).

sudo iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 2200 -j DNAT --to-destination 10.0.3.21:22

Якщо ви успішно увійшли на свій сервер за допомогою SSH, буде створено постійне з’єднання (тобто нових з’єднань не буде, навіть якщо ви підключені більше 1 години). Якщо ви зазнаєте невдачі та спробуєте увійти знову, буде створено нове з’єднання. Це блокує безперервні спроби входу по SSH, обмежуючи нові з’єднання за годину.

sudo iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
sudo iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 3600 --hitcount 4 -j DROP

Переспрямуйте всі запити з порту 443на порт 4430(корисно, якщо ви хочете прив’язатися до порту 443без root).

sudo iptables -t nat -A PREROUTING -i ens3 -p tcp --dport 443 -j REDIRECT --to-port 4430
sudo iptables -A INPUT -p tcp -m tcp --dport 4430 -m geoip --src-cc PE -j ACCEPT

• ens3 мережевий інтерфейс.
• -m geoip модуль блоку країни (див. крок 5).

Попередження: не використовуйте lo, ОС відкине всі пакети, перенаправлені на інтерфейс loopback .

5. Дозволити або заблокувати цілі країни

5.1 Встановити xtables-addons

Ви можете встановити xtables-addonsмодуль різними способами, сміливо використовуйте той спосіб встановлення, який найкраще підходить для вас.

• Встановіть за допомогою apt-get.

  sudo apt-get install xtables-addons-common
  

• Встановіть за допомогою module-assistant.

  sudo apt-get install module-assistant xtables-addons-source
  sudo module-assistant --verbose --text-mode auto-install xtables-addons
  

• Встановити з джерела.

  sudo apt-get install git bc libncurses5-dev libtext-csv-xs-perl autoconf automake libtool xutils-dev iptables-dev
  git clone git://git.code.sf.net/p/xtables-addons/xtables-addons
  cd xtables-addons
  ./autogen.sh
  ./configure
  make
  sudo make install
  

Створіть базу даних «країн».

sudo apt-get install libtext-csv-xs-perl unzip
sudo mkdir /usr/share/xt_geoip
sudo /usr/lib/xtables-addons/xt_geoip_dl
sudo /usr/lib/xtables-addons/xt_geoip_build -D /usr/share/xt_geoip *.csv
sudo rm GeoIPCountryCSV.zip GeoIPCountryWhois.csv GeoIPv6.csv

Перезавантажте систему.

sudo reboot

Після xtables-addonsуспішного встановлення після першого перезавантаження запустіть, depmodінакше блокування країни не працюватиме належним чином (це потрібно лише в перший раз).

sudo depmod 

Створіть скрипт /etc/cron.monthly/geoip-updaterдля оновлення geoipбази даних щомісяця.

#!/usr/bin/env bash
# this script is intended to run with sudo privileges

echo 'Removing old database---------------------------------------------------'
rm -rf /usr/share/xt_geoip/*
mkdir -p /usr/share/xt_geoip

echo 'Downloading country databases-------------------------------------------'
mkdir /tmp/geoip-updater
cd /tmp/geoip-updater
/usr/lib/xtables-addons/xt_geoip_dl

echo 'Building geoip database-------------------------------------------------'
/usr/lib/xtables-addons/xt_geoip_build -D /usr/share/xt_geoip *.csv

echo 'Removing temporary files------------------------------------------------'
cd /tmp
rm -rf /tmp/geoip-updater

Зробити /etc/cron.monthly/geoip-updaterвиконуваним.

sudo chmod +x /etc/cron.monthly/geoip-updater

5.2 Приклади правил

_Примітка. Якщо ви отримуєте iptables: No chain/target/match by that nameпомилку під час спроби застосувати geoipправило, можливо, xtables-addonsвоно не було встановлене належним чином. Спробуйте інший спосіб встановлення.

Блокуйте всі вхідні пакети з Китаю, Гонконгу, Росії та Кореї.

sudo iptables -A INPUT -m geoip --src-cc CN,HK,RU,KR -j DROP

Дозволити вхідні пакети на порт 80з будь-якого місця, крім країн вище.

sudo iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

Дозволити вхідні пакети через ens3інтерфейс порту 22лише з Перу (не соромтеся вибрати код країни, з якої ви хочете приймати пакети, наприклад, USдля США).

sudo iptables -A INPUT -i ens3 -p tcp -m tcp --dport 22 -m geoip --src-cc PE -j ACCEPT

Дозволити вхідні пакети на порт 443лише з Перу.

sudo iptables -A INPUT -p tcp -m tcp --dport 443 -m geoip --src-cc PE -j ACCEPT