Настройка IPTables
Это подсистема для работы с сетевыми пакетами, которая пропускает через свой фильтр все соединения на сервере. Разберем подробнее настройку IPTables.
Last updated
Это подсистема для работы с сетевыми пакетами, которая пропускает через свой фильтр все соединения на сервере. Разберем подробнее настройку IPTables.
Last updated
IPTables уже по умолчанию встроена в основное ядро Linux, но инструменты для работы с ней во многих дистрибутивах не поставляются по умолчанию, поэтому давайте используем команду для установки утилиты.
Sudo предназначена для использования на ОС Ubuntu. Для Debian используется обыкновенная команда.
После установки утилиты перейдем к ее подробной настройке.
-A — добавить правило в раздел.
-С — проверить все правила.
-D — удалить правило.
-I — вставить правило с необходимым номером.
-L — вывести все правила в текущем разделе.
-S — вывести все правила.
-F — очистить все правила.
-N — создать раздел.
-X — удалить раздел.
-P — установить действие по умолчанию.
-p — установить протокол.
-s — указать адрес отправителя.
-d — указать адрес получателя.
-i — входной сетевой интерфейс.
-o — исходящий сетевой интерфейс.
-j — выполнить при соответствии правила.
INPUT — отвечает за обработку входящих пакетов и подключений.
FORWARD — применяется для проходящих соединений. Именно сюда попадают соответствующие пакеты, которые отправлены на Ваш сервер, но не определяют его как цель доставки.
OUTPUT — полностью противоположно первому. Используется для исходящих пакетов и соединений.
ACCEPT — пропустить пакет.
DROP — удалить пакет.
REJECT — отклонить пакет.
LOG — сделать лог-файл соответствующего пакета.
QUEUE — отправить пакет приложению пользователя.
Для начала давайте проверим список наших правил:
Попробуем открыть один TCP-порт 80 для входящих соединений:
Проверим список еще раз...
Теперь давайте попытаемся открыть диапазон UDP-портов от 25565 до 25570 для исходящих подключений:
Проверим результат.
Хотите закрыть все входящие подключения для TCP 250? Не проблема.
Теперь попробуем удалить правило, которое разрешает входящие соединения для TCP 80:
Для этого используйте команду
По умолчанию все созданные правила применяются до следующей перезагрузки и будут удалены во время ее выполнения. Чтобы избежать этого, давайте сохраним созданные нами правила IPTables. Для этого необходимо использовать соответствующую команду.
Получилось. Правила сохранены и будут активны даже после перезагрузки нашего сервера.
