Образовательный проект «SnakeProject» Михаила Козлова

⇒ FreeBSD and Nix ⇐

CISCO

Voice(Asterisk\Cisco)

Microsoft

Powershell

Python

SQL\T-SQL

1С

Общая

WEB Разработка

ORACLE SQL \ JAVA

Мото

Стрельба, пневматика, оружие

Саморазвитие и психология

Основы понимания iptables

Основы понимания iptables

Очень кратко, с минимумом теории

iptables - утилита, с помощью которой мы управляем правилами сетевого фильтра Netfilter

Netfilter - компонент ядра Linux

Синтаксис iptables:
iptables [-t таблица] команда [критерий] [ -j цель]

Таблица filter имеет 3 основные цепочки INPUT, FORWARD, OUTPUT

Имеются дополнительные 2 таблицы:
nat - применяется при необходимости трансляции адресов и портов
mangle - применяется при необходимости внесения изменений в пакет

Цепочки - наборы правил, которые проверяются последовательно для сетевых пакетов

Политика (действие по умолчанию) применяется, если пакет не подходит ни под одно правило в цепочке
Применяется и в случае отсутствия правил вовсе
Не применяется, если пакет подошел хоть под одно правило цепочки

Основные команды:
-L - вывести действующий список правил (допускает указание отдельной цепочки правил) -F - удалить все правила (допускает указание отдельной цепочки правил) -P - указать политику по умолчанию заданной цепочке -A - добавить правило в конец указанной цепочки -I - добавить правило в начало указанной цепочки -D - удалить правило в заданной цепочке -N - создать новую цепочку в указанной таблице -X - удалить указанную цепочку (необходимо очистить правила цепочки)

Основные критерии:

-p - тип протокола (например: tcp, udp, icmp - полный список - /etc/protocols) -s - IP адрес или IP сеть отправителя (допускает логическое отрицание, символ ! перед адресом) -d - IP адрес или IP сеть получателя (допускает логическое отрицание, символ ! перед адресом) -i - сетевой интерфейс, на который пришел пакет -o - сетевой интерфейс, в который предполагается выход пакета -m - лимит (предельное число пакетов в единицу времени) --sport - порт (диапазон портов) отправителя --dport - порт назначения

Основные действия:
ACCEPT - принять пакет REJECT - отбросить пакет (отправить сообщение об ошибке на хост отправителя) DROP - отбросить пакет без уведомления отправителя LOG - журналирование пакетов и событий SNAT - применить перобразование адреса источника в пакете DNAT - применить перобразование адреса назначения в пакете MASQUERADE - аналог SNAT для динамических IP

Логика прохождения и обработки сетевых пакетов в iptables (взято в яндекс картинках)

----------------------------------------------------------------------------------------------------------------------------------------------------------------

Пересылка пакетов через цепочку FORWARD (пакеты, не предназначенные локальной системе)

Включить возможность пересылки (транзитный трафик, обычно используется для сетевого шлюза):
sudo bash -c "echo 1 > /proc/sys/net/ipv4/ip_forward" или: sudo sysctl -w net.ipv4.ip_forward=1 /etc/sysctl.conf: net.ipv4.ip_forward=1 sudo sysctl -p /etc/sysctl.conf

Примеры работы с iptables (для работы потребуется sudo))

Вывести список действующих правил из всех цепочек:
iptables -L

Вывести список действующих правил из таблицы nat:
iptables -t nat -L

Установить политику по умолчанию таблицы FORWARD отбрасывать все пакеты:
iptables -P FORWARD DROP

Разрешить прохождение входящих пакетов по протоколу tcp на порт назначения 22:
iptables -A INPUT -p tcp --dport=22 -j ACCEPT

Разрешить выход исходящих пакетов по протоколу tcp с порта 22 на интерфейсе eth0:
iptables -A OUTPUT -o eth0 -p TCP --sport 22 -j ACCEPT

Запретим прохождение входящих пакетов по протоколу ICMP:
iptables -A INPUT -p icmp -j DROP

netfilter распознает 4 состояния сетевых пакетов (NEW, ESTABLISHED, RELATED, INVALID)

NEW - пакеты, устанавливающие новое соединение

ESTABLISHED - пакеты, принадлежащие установленному соединению

RELATED - пакеты, не принадлежащие установленному соединению 

Пакеты, являющиеся частью новых соединений, инициированые уже установленным ESTABLISHED соединением
Пример: FTP в активном режиме использует разные соединения для передачи данных, которые являются связанными

INVALID - пакеты, которые не могут быть идентифицированны
Пример: ICMP ошибки не принадлежащие существующим соединениям

Разрешить попадание на наш компьютер только тех TCP и UDP пакетов, которые запрошены локальными приложениями:
iptables -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p UDP -m state --state ESTABLISHED,RELATED -j ACCEPT

Сохранение правил iptables на примере Ubuntu Server 20.04

sudo apt-get install iptables-persistent

Сохранить правила iptables:

sudo netfilter-persistent save

Восстановить правила iptables:

sudo netfilter-persistent reload

Живые примеры простейших конфигураций iptables

Пример 1

Стандартный набор правил для простейшего вебсервера и доступ по SSH

/etc/rules.sh:
#!/bin/bash # Перед примерами полностью очистить все цепочки и таблицы: iptables -F iptables -t nat -F iptables -t mangle -F iptables -X iptables -t nat -X iptables -t mangle -X # Политики по умолчанию iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT # Разрешить входящие соединения с localhost iptables -A INPUT -i lo -j ACCEPT # Разрешить установленные входящие соединения iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # Разрешить входящий HTTP и HTTPS траффик iptables -A INPUT -p TCP --dport 80 -j ACCEPT iptables -A INPUT -p TCP --dport 443 -j ACCEPT # Разрешить входящий SSH траффик iptables -A INPUT -p TCP --dport 22 -j ACCEPT

Проверяем:
bash -c "/etc/rules.sh"

sudo netfilter-persistent save

Перезагружаемся и проверяем:
sudo shutdown -r now

Пример 2

Стандартный набор правил для простейшего шлюза с двумя сетевыми картами для выхода в интернет

/etc/rules.sh:
#!/bin/bash # Перед примерами полностью очистить все цепочки и таблицы: iptables -F iptables -t nat -F iptables -t mangle -F iptables -X iptables -t nat -X iptables -t mangle -X sudo iptables -A FORWARD -i eth0 -o eth1 -s 192.168.0.0/24 -m conntrack --ctstate NEW -j ACCEPT sudo iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT sudo iptables -A POSTROUTING -t nat -j MASQUERADE # Разрешить входящий SSH траффик iptables -A INPUT -p TCP --dport 22 -j ACCEPT

Проверяем:
bash -c "/etc/rules.sh"

sudo netfilter-persistent save

Перезагружаемся и проверяем:

sudo shutdown -r now

Комментарии пользователей