iptables-persistent - alapbeállítások, avagy hogyan konfiguráljunk magunknak egy alap linux tűzfalat gépünkre

Fórum: 

iptables-persistent

Most egyszerű példát fogok bemutatni, aminek segítségével elindulhatunk, hogy egy alap linux tűzfalat konfiguráljunk gépünkön. Ebben a példában portok engedélyezését, vagy portok engedélyezését mutatom be bizonyos ipcímek számára és a parancsok törlését, mentését fogom bemutatni. Ezzel a pár paranccsal már elkezdhetünk gyakorolni, hogy tűzfalunkat személyre szabjuk.

iptables-persistent telepítése

sudo apt-get install iptables-persistent

iptables-persistent - alapbeállítások, avagy hogyan konfiguráljunk magunknak egy alap linux tűzfalat gépünkre iptables-persistent - alapbeállítások, avagy hogyan konfiguráljunk magunknak egy alap linux tűzfalat gépünkre

 

hálózati kártyák lekérdezése (az én esetmemben a forgalmat bonyolító kártya neve: enp0s3)

ifconfig

iptables-persistent - alapbeállítások, avagy hogyan konfiguráljunk magunknak egy alap linux tűzfalat gépünkre

 

parancsok

portok, tűzfal konfiguráció lekérdezése (ezt a parancsot sokat kell használnod, hogy lekérdezd az akutális szabályokat és ellenőrizni tudd a sorrendet)

iptables -L -v --line-numbers

iptables-persistent - alapbeállítások, avagy hogyan konfiguráljunk magunknak egy alap linux tűzfalat gépünkre

 

localhost (localhost minden mehet) az lo a localhost hozzáférést, adaptert jelöli (2. második szabály)

iptables -I INPUT 2 -i lo -j ACCEPT

 

kimegyek valamiért, illetve mi indítjuk a forgalmat (ez mindig az első szabály a sor elején) az enp0s3 a hálózati kártya neve, amin a forgalmat konfiguráljuk, ez természetesen változhat attól függően mi az adapterünk azonosítója

iptables -I INPUT 1 -i enp0s3 -m state --state RELATED,ESTABLISHED -j ACCEPT

 

eldobás, tiltás (mindig a sor,lista legvégén, ha nem én kértem eldobom a bejövő csomagot) azért fontos a sor végére ezt tenni, mert az utána következő parancsokat, szabályokat már nem fogja figyelembe venni a tűzfalunk, az enp0s3 a hálózati kártya neve, amin a forgalmat konfiguráljuk, ez természetesen változhat attól függően mi az adapterünk azonosítója

az INPUT után a 7-es jelöli, hogy hol fog helyet kapni a sorban, mert már tudom hogy ennyi szabályom lesz összesen, de természetesen, ha törlünk egy szabályt a számozás automatikusan változik, erre figyelni kell

iptables -I INPUT 7 -i enp0s3 -m state --state INVALID,NEW -j DROP

 

80, 443 (80, 443 port kiengedése mindenkinek) ezekkel a szabályokkal engedélyezem a tűzfalon, hogy a 80, 443 porton bárki elérheti a gépet, a 3 és a 4-es kapcsoló azt jelenti, hogy a tűzfalam konfigurációjában ezek a parancsok a 3. és a 4. sorként szerepelnek

iptables -I INPUT 3 -p tcp -m tcp --dport 80 -j ACCEPT
iptables -I INPUT 4 -p tcp -m tcp --dport 443 -j ACCEPT

 

22 port accept (ip)5 line (22 port engedélyezése egy ipcímnek) ez a szabály azt teszi lehetővé, hogy csak a 10.8.0.132-es ipcímmel rendelkező gép fogja elérni a 22-es portot

iptables -I INPUT 5 -p tcp -s 10.8.0.132 --dport 22 -j ACCEPT

 

ping enable (ping, icmp protokoll engedélyezése) ez a szabály az 6. sorban szerepel és engedélyezi, hogy a gépemet más gépekről lehessen pingelni

iptables -I INPUT 6 -p icmp -j ACCEPT

iptables-persistent - alapbeállítások, avagy hogyan konfiguráljunk magunknak egy alap linux tűzfalat gépünkre iptables-persistent - alapbeállítások, avagy hogyan konfiguráljunk magunknak egy alap linux tűzfalat gépünkre

 

del (példa hogyan töröljük a 5. szabályt) 22 port accept (ip)5 line, mikor ezt töröljük a 22 SSH porton nem lesz elérhető a gép már senki számára

iptables -D INPUT 5

iptables-persistent - alapbeállítások, avagy hogyan konfiguráljunk magunknak egy alap linux tűzfalat gépünkre

 

save (minden tűzfal változtatás után mentsünk, mert restart, újraindítás után nem lép érvénybe) a rules.v4 kapcsoló azt jelenti, hogy ipv4 protokollon dolgozom, természetesn mentés előtt teszteljünk, mert kizárhatjuk magunkat a gépről és ha távolról konfigurálunk, majd elrontunk valamit egy újraindítás után megint hozzáférünk a géphez, ha már mentettünk egy meggondolatlan szabályt, akkor vagy helyszínre kell menni, vagy kell egy ember aki a szabályokat helyszínen tudja konfigurálni

iptables-save > /etc/iptables/rules.v4

iptables-persistent - alapbeállítások, avagy hogyan konfiguráljunk magunknak egy alap linux tűzfalat gépünkre


 

Szerző

admin képe
admin

Varga Tamás (admin)

Informatikus, rendszergazda.
Gyermekkorától kezdve kapcsolatban áll a számítógépekkel. Érdeklődési köre az idők folyamán jelentősen kibővült.
Jelenleg leginkább a táblagépek és az okostelefonok társaságában érzi jól magát. Korábbi szervizes tapasztalatait kamatoztatja a PC-k és notebook-ok világában, emellett nagy Drupal, Open Source és Linux rajongó és nem mellesleg piacképes gyakorlati tudással rendelkező szakember.