iptables-persistent
iptables-persistent
Most egyszerű példát fogok bemutatni, aminek segítségével elindulhatunk, hogy egy alap linux tűzfalat konfiguráljunk gépünkön. Ebben a példában portok engedélyezését, vagy portok engedélyezését mutatom be bizonyos ipcímek számára és a parancsok törlését, mentését fogom bemutatni. Ezzel a pár paranccsal már elkezdhetünk gyakorolni, hogy tűzfalunkat személyre szabjuk.
iptables-persistent telepítése
sudo apt-get install iptables-persistent
hálózati kártyák lekérdezése (az én esetmemben a forgalmat bonyolító kártya neve: enp0s3)
ifconfig
parancsok
portok, tűzfal konfiguráció lekérdezése (ezt a parancsot sokat kell használnod, hogy lekérdezd az akutális szabályokat és ellenőrizni tudd a sorrendet)
iptables -L -v --line-numbers
localhost (localhost minden mehet) az lo a localhost hozzáférést, adaptert jelöli (2. második szabály)
iptables -I INPUT 2 -i lo -j ACCEPT
kimegyek valamiért, illetve mi indítjuk a forgalmat (ez mindig az első szabály a sor elején) az enp0s3 a hálózati kártya neve, amin a forgalmat konfiguráljuk, ez természetesen változhat attól függően mi az adapterünk azonosítója
iptables -I INPUT 1 -i enp0s3 -m state --state RELATED,ESTABLISHED -j ACCEPT
eldobás, tiltás (mindig a sor,lista legvégén, ha nem én kértem eldobom a bejövő csomagot) azért fontos a sor végére ezt tenni, mert az utána következő parancsokat, szabályokat már nem fogja figyelembe venni a tűzfalunk, az enp0s3 a hálózati kártya neve, amin a forgalmat konfiguráljuk, ez természetesen változhat attól függően mi az adapterünk azonosítója
az INPUT után a 7-es jelöli, hogy hol fog helyet kapni a sorban, mert már tudom hogy ennyi szabályom lesz összesen, de természetesen, ha törlünk egy szabályt a számozás automatikusan változik, erre figyelni kell
iptables -I INPUT 7 -i enp0s3 -m state --state INVALID,NEW -j DROP
80, 443 (80, 443 port kiengedése mindenkinek) ezekkel a szabályokkal engedélyezem a tűzfalon, hogy a 80, 443 porton bárki elérheti a gépet, a 3 és a 4-es kapcsoló azt jelenti, hogy a tűzfalam konfigurációjában ezek a parancsok a 3. és a 4. sorként szerepelnek
iptables -I INPUT 3 -p tcp -m tcp --dport 80 -j ACCEPT iptables -I INPUT 4 -p tcp -m tcp --dport 443 -j ACCEPT
22 port accept (ip)5 line (22 port engedélyezése egy ipcímnek) ez a szabály azt teszi lehetővé, hogy csak a 10.8.0.132-es ipcímmel rendelkező gép fogja elérni a 22-es portot
iptables -I INPUT 5 -p tcp -s 10.8.0.132 --dport 22 -j ACCEPT
ping enable (ping, icmp protokoll engedélyezése) ez a szabály az 6. sorban szerepel és engedélyezi, hogy a gépemet más gépekről lehessen pingelni
iptables -I INPUT 6 -p icmp -j ACCEPT
del (példa hogyan töröljük a 5. szabályt) 22 port accept (ip)5 line, mikor ezt töröljük a 22 SSH porton nem lesz elérhető a gép már senki számára
iptables -D INPUT 5
save (minden tűzfal változtatás után mentsünk, mert restart, újraindítás után nem lép érvénybe) a rules.v4 kapcsoló azt jelenti, hogy ipv4 protokollon dolgozom, természetesn mentés előtt teszteljünk, mert kizárhatjuk magunkat a gépről és ha távolról konfigurálunk, majd elrontunk valamit egy újraindítás után megint hozzáférünk a géphez, ha már mentettünk egy meggondolatlan szabályt, akkor vagy helyszínre kell menni, vagy kell egy ember aki a szabályokat helyszínen tudja konfigurálni
iptables-save > /etc/iptables/rules.v4
