Ако користите Линук, имате много опција да заштитите свој уређај. Долази са иптаблес, услужним програмом за заштитни зид командне линије који нуди флексибилност и одличну заштиту.
Међутим, пошто је услужни програм командне линије, захтева малу криву учења.
Дакле, ако сте системски администратор или ученик Линука, на правом сте месту док пролазимо кроз уобичајене иптаблес команде са примерима.
Преглед садржаја
Шта је иптаблес?
иптаблес је софтверски базиран Линук уграђен заштитни зид. Омогућава корисницима Линук-а да креирају или дефинишу политике које директно и индиректно утичу на интернет саобраћај.
То значи да можете да користите иптаблес да креирате правила која блокирају или дозвољавају саобраћај преко порта, изворне ИП адресе, мрежних интерфејса и још много тога.
Када дефинишете правила, сав саобраћај треба да прође кроз њих. Тако, на пример, за сваку нову везу, иптаблес ће проверити да ли постоје унапред дефинисана правила која одговарају конекцији. Ако јесте, примениће правило на везу. Међутим, ако не постоје повезана применљива правила, примениће подразумевано правило.
Да бисте користили иптаблес, потребно је да користите следећу команду.
$ iptables -L -n -v
Овде су параметри као у наставку:
- -Л је за навођење свих правила.
- -н чини да нумерички излаз нуди брже перформансе.
- -в за приказ излаза у детаљном формату.
Једном када покренете команду иптаблес без икаквог параметра, она ће вратити следећи излаз:
iptables v1.8.7 (nf_tables): no command specified Try `iptables -h' or 'iptables --help' for more information.
Морате да га инсталирате ако наиђе на грешку, као што је команда „иптаблес“ није пронађена.
Да бисте инсталирали иптаблес у вашу Линук дистрибуцију, покрените следећу команду.
$ sudo apt-get install iptables
Вратиће следеће пошто је већ унапред инсталирано на мојој Линук дистрибуцији.
#output Reading package lists... Done Building dependency tree... Done Reading state information... Done iptables is already the newest version (1.8.7-1ubuntu5). iptables set to manually installed. 0 upgraded, 0 newly installed, 0 to remove, and 35 not upgraded.
Шта је заштитни зид?
Заштитни зидови су најосновнији облик заштите система, мрежа и персоналних рачунара. Може бити засновано на хардверу или софтверу, ослањајући се на правила да би правилно функционисала.
Већина заштитних зидова је веома прилагодљива, што вам омогућава да креирате или мењате правила. На пример, пошто пакети са интернета користе портове да уђу у систем, скенирање засновано на портовима може вам помоћи да их филтрирате. Осим тога, такође можете дозволити или блокирати услуге према изворној ИП адреси или мрежном интерфејсу.
Ако користите Линук, добијате приступ уграђеним иптаблес-овима. Међутим, можете користити и самостални Линук заштитни зид да вам помогне у процесу заштите вашег система.
Зашто вам треба иптаблес да бисте конфигурисали заштитни зид?
Али зашто бисте уопште користили иптаблес? На крају крајева, постоје добри алтернативни услужни програми за заштитни зид командне линије као што су уфв и фиреваллд. Такође, можете користити самосталне Линук заштитне зидове који су једноставни за употребу и нуде више функција.
Дакле, шта чини иптаблес тако привлачним када конфигуришете заштитни зид? Разлози за његову употребу укључују:
- Нуди одличну флексибилност из кутије. Можете поставити правила на нивоу пакета.
- Релативно је једноставан за коришћење када знате како функционише.
- Блокирајте нежељени саобраћај на једноставан начин.
- Преусмери пакете на алтернативну ИП адресу.
- Заштитите своје системе од напада ускраћивања услуге (ДоС).
И још много тога!
Разумевање иптаблес архитектуре и њене везе са Нетфилтером
Да бисмо правилно разумели иптаблес, морамо да научимо о њиховој архитектури. Прво, то ће нам дати јасно разумевање различитих компоненти иптаблес-а. Затим, када сазнамо за сваку од њих, можемо их користити за писање правила заштитног зида.
А, када говоримо о иптаблес-у, Нетфилтер такође долази у обзир. Можете замислити „Нетфилтер“ као великог брата за иптаблес. Надограђује се на иптаблес и нуди бољи скуп функција за управљање вашим заштитним зидом. Међутим, он користи иптаблес као једно од средстава за постизање одличних могућности заштитног зида.
Иптаблес је интерфејс командне линије за Нетфилтер куке на нивоу кернела. Ове куке могу да комуницирају са Линук мрежним стеком, што утиче на пакете на најдубљем нивоу.
Дакле, како изгледа иптаблес архитектура:
Табле
иптаблес архитектура почиње са табелама. Ове табеле воде рачуна о организацији правила. И свака табела је класификована на основу врсте одлуке коју доносе. Једноставније речено, табела поједностављује целокупну обраду пакета тако што прилаже посебан начин обраде пакета.
Различите табеле које нуди иптаблес укључују:
- Табела филтера: Одређује тип одлуке за филтрирање пакета. Једноставно речено, он одређује да ли пакет треба да стигне на одредиште или не.
- НАТ табела: Одређује тип одлуке за превод адресе. Овде се рутирање пакета одређује на основу НАТ мрежа. На пример, ако пакет не може да приступи НАТ-у, он ће прескочити и покушати да потражи мрежу која није НАТ.
- Мангле табле: Управља посебним потребама обраде пакета. На пример, можете га конфигурисати да промени информације заглавља пакета, као што су ТТЛ вредности.
- Необрађена табела: необрађена табела вам омогућава да марљиво радите са аспектом стања иптаблес заштитног зида. Користећи табелу, можете усмеравати пакете на основу њиховог „стања“ пре него што Линук кернел почне да прати његово стање. Првенствено се користи за обележавање пакета, без обзира да ли их систем за праћење везе рукује или не. Ако се пакет не прати, поставља се на НОТРАЦК циљ.
Ланци
И, онда, имамо „ланце“ унутар „табела“.
Ови ланци обављају дубоку инспекцију пакета у различитим фазама њиховог путовања. На пример, можете их прегледати када стигне до порта или мрежног интерфејса. На овај начин, одлука се може донети пре него што се пакет пусти у системски процес.
Као и столови, такође добијате различите ланце. Ови укључују:
- ланац ПРЕУСМЕРА: Овде правила рукују управо пристиглим пакетима на мрежном интерфејсу.
- ИНПУТ ланац: Правила поменута у ИНПУТ ланцу управљају понашањем долазне везе. Када се заврше, предају се локалном процесу.
- ОУТПУТ ланац: ОУТПУТ ланац се бави пакетима које процеси производе.
- Ланац ФОРВАРД: Ланац ФОРВАРД управља пакетима који нису намењени локалним системима. То је носач за друге предвиђене системе, као што је рутер.
- ПОСТРОУТИНГ ланац: На крају, имамо ланац ПОСТРОУТИНГ, који се бави пакетима који тек треба да оду кроз мрежни интерфејс.
Нису сви ланци доступни у свакој табели. На пример, ланац ФОРВАРД доступан је само у мангле, филтеру и сигурносном столу. Слично, ланац ПОСТРОУТИНГ је доступан на мангле и нат (СНАТ). Само ОУТПУТ ланац је доступан у свим табелама.
Таргет
Сада имамо „мету“. Када пакет стигне, креће се кроз ланце да види који опис правила најбоље одговара. Ако одговара опису правила, извршава придружену радњу на основу њега, а затим га премешта до циља — затварајући судбину пакета.
У многим случајевима, пакет неће одговарати ниједном опису или скупу правила. И ту долази подразумевана политика, циљ.
Циљеви могу бити АЦЦЕПТ, ДРОП и РЕЈЕЦТ. Ово су завршни циљеви који одлучују о судбини пакета.
- АЦЦЕПТ: Прихвата пакете.
- ДРОП: Одбацује пакет, чинећи га немогућим пошиљаоцу да сазна да ли је систем присутан или не.
- РЕЈЕЦТ: Одбија пакет.
Постоје и мете које се не завршавају које се углавном користе за чување информација о пакету.
Најчешће иптаблес команде са примерима
Пре него што скочите и почнете да извршавате команду иптаблес, уверите се:
- Имате административни приступ за покретање команди. Ако команда не успе због административних привилегија, поново покрените команду са командом судо испред ње.
- Чланак није водич о томе како да конфигуришете иптаблес на Убунту-у.
- Користићемо команду иптаблес која ради са ИПв4. Ако намеравате да радите са ИПв6, мораћете да користите ип6таблес уместо тога.
Провера статуса иптаблеса
Да бисте проверили тренутни статус иптаблес-а, потребно је да покренете следећу команду.
$ iptables -L -n -v
#output Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination
Горњи излаз садржи много информација. Међутим, то такође наговештава неактиван заштитни зид. То је зато што су тренутно сви ланци постављени на ПРИХВАТИ и немају правила.
Мораћете да почнете да додајете правила да бисте активирали заштитни зид.
Додавање правила у ланац
Када додате правило, оно се увек додаје ланцу. Због тога морате користити опцију -А (Додај). Синтакса за то је следећа:
$ sudo iptables - A
Међутим, када га покренете, вратиће следеће:
iptables v1.8.7 (nf_tables): option "-A" requires an argument Try `iptables -h' or 'iptables --help' for more information.
Аргументи које можете користити за додавање правила су:
- – и: означава интерфејс. Овде можете поменути интерфејс за који додајете правила. Може бити ппп0, етх0 и тако даље.
- – п: То је скраћеница за протокол. Овде помињете правило да се мрежни протокол користи за филтрирање пакера. На пример, можете рећи ИЦМП, ТЦП, УДП, итд. Ако желите да правило функционише у свим протоколима, наведите „све“ као вредност аргумента.
- – с: Следеће долази аргумент извор, који помиње извор саобраћаја (као ИП адреса или име хоста)
- – дпорт: дпорт означава одредишни порт, где помињете број порта на који је пакет намењен.
- – ј: На крају, имамо аргумент ТАРГЕТ где можете поменути име ТАРГЕТ-а, ПРИХВАТИ, ОДПУСТИ или ВРАЋАТИ
Такође је неопходно написати наредбу следећим редоследом:
$ sudo iptables -A <chain-name> -i <interface-name> - p <protocool-name> - s <source> --dport <port no.> -j <target>
Чување промена у иптаблес
Када додате правило, можете га сачувати помоћу команде иптаблес -саве.
$ sudo iptables -save
Излаз је следећи:
[email protected]:~$ sudo iptables-save # Generated by iptables-save v1.8.7 on Sun May 14 13:37:34 2023 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT -A INPUT -p tcp -m tcp --dport 392 -j REJECT --reject-with icmp-port-unreachable -A OUTPUT -o lo -j ACCEPT COMMIT # Completed on Sun May 14 13:37:34 2023
Трајна правила ручно
Подразумевано, иптаблес не чува правила. Дакле, ако поново покренете рачунар, он ће уклонити сва правила. Мораћете да користите следеће команде да бисте били сигурни да не морате поново да конфигуришете иптаблес.
За ИПв4 правила напишите наредбу:
$ sudo iptables-save > /etc/iptables/rules.v4
А за правила ИПв6 напишите наредбу:
$ sudo iptables-save > /etc/iptables/rules.v6
Трајна правила аутоматски
Да би правила постојала чак и након поновног покретања, и то аутоматски, мораћете да инсталирате иптаблес-пресистент пакет.
Да бисте то урадили, покрените следећу команду.
$ sudo apt-get install iptables-persistent
Отвориће се следећи прозор. Притисните ентер на <Да>.
Док радимо са ИПв4 табелом, она ће приказати само ИПв4 правила. Ако радите на ИПв6, приказаће се одговарајући прозор.
Напомена: Пакет учитава само ваша сачувана иптаблес правила. Дакле, кад год промените иптаблес, мораћете да га сачувате помоћу команде иптаблес -саве.
Правила поновног учитавања након поновног покретања
Када се правила сачувају, морате их вратити следећом командом.
$ sudo iptables-restore < /etc/iptables/rules.v4
И
$ sudo iptables-restore < /etc/iptables/rules.v6
Омогућавање саобраћаја на локалном хосту / Омогућавање повратне петље
Да бисте омогућили саобраћај на Лоцалхост-у, користите следећу команду:
$ sudo iptables -A INPUT -i lo -j ACCEPT
Овде, ло означава интерфејс повратне петље за све локалне комуникације.
Слично томе, можемо дозволити да пакети оду кроз интерфејс петље.
$ sudo iptables -A OUTPUT -o lo -j ACCEPT
Да бисте проверили како је променио правила, покрените иптаблес -Л -н -В
#output Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination
Омогућавање саобраћаја на одређеним портовима
Можете омогућити саобраћај да ПРИХВАТИ или ОДБИЈА на одређеним портовима.
На пример, ССЛ, ХТТП и ССХ портови су важни за нормално функционисање ваших апликација. Можете додати правила у АЦЦЕПТ пакет преко бројева портова да бисте били сигурни да раде како је предвиђено.
За ССЛ, покрените следећу команду.
$ sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
За ХТТПС покрените следећу команду.
$ sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
За омогућавање целокупног ХТТПС саобраћаја на етх0 интерфејсу.
$ iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT $ iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
За ССХ, покрените следећу команду.
$ sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
И да бисте прихватили САВ долазни ССХ саобраћај на етх0 интерфејсу, покрените следеће:
$ iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT $ iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
Други пример би био да омогућите саобраћај порта на одређеном порту за вашу прилагођену апликацију. Рецимо порт 233.
Да бисте отворили везе на том порту, покрените.
$ sudo iptables -A INPUT -p tcp --dport 233 -j ACCEPT
Слично томе, такође можете да онемогућите везе на одређеном порту користећи опцију РЕЈЕЦТ таргет.
Хајде да блокирамо све везе на порту 392.
$ sudo iptables -A INPUT -p tcp --dport 392 -j REJECT
Да бисте проверили, покрените команду иптаблес -Л -н -в.
#output Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:233 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:392 reject-with icmp-port-unreachable Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
Избришите постојећа правила
Да бисте избрисали постојећа правила, мораћете да покренете следећу команду.
$ iptables -F
или
$ iptables --flush
Напомена: Ако нисте сачували своја правила, она су заувек изгубљена и не могу се вратити помоћу иптаблес -ресторе
Избришите правила са бројевима линија
Да бисте избрисали одређено правило, мораћете да добијете листу правила са бројевима.
$ sudo iptables -L --line-numbers
#output Chain INPUT (policy ACCEPT) num target prot opt source destination 1 ACCEPT tcp -- anywhere anywhere tcp dpt:ssh 2 ACCEPT tcp -- anywhere anywhere tcp dpt:http 3 ACCEPT tcp -- anywhere anywhere tcp dpt:https 4 ACCEPT tcp -- anywhere anywhere tcp dpt:233 5 REJECT tcp -- anywhere anywhere tcp dpt:392 reject-with icmp-port-unreachable
Покрените следећу команду ако желите да уклоните правило број 4 за ИНПУТ ланац.
$ sudo iptables -D INPUT 4
И, ако поново покренете команду иптаблес -н -в -Л.
#output Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:392 reject-with icmp-port-unreachable
Прикажи само ИНПУТ или ОУТПУТ ланчана правила
Да бисте приказали само правила ИНПУТ ланца, покрените следећу команду.
$ sudo iptables -L INPUT -n -v --line-numbers
#ouput Chain INPUT (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination 1 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 2 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 3 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 4 0 0 REJECT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:392 reject-with icmp-port-unreachable
Слично томе, ако желите да видите само правила ланца ОУТПУТ, покрените:
$ sudo iptables -L OUTPUT -n -v --line-numbers
#output Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination 1 0 0 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
Покрените/Зауставите/Поново покрените заштитни зид
Ако користите РХЕЛ/Федора Линук или ЦентОС, можете покренути/зауставити или поново покренути заштитни зид покретањем команди.
$ service iptables stop $ service iptables start $ service iptables restart
Такође можете користити наредбу системцтл.
Међутим, неће радити на Убунту-у.
Уметните правила на одређено место
Ако желите да уметнете правила на одређеном месту, морате користити следеће команде.
Прво проверите правила.
$ sudo iptables -L INPUT -n --line-numbers
#output Chain INPUT (policy ACCEPT) num target prot opt source destination 1 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 2 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 3 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 4 REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:392 reject-with icmp-port-unreachable
Покрените следећу команду ако желите да уметнете правила између 2 и 3.
$ sudo iptables -I INPUT 3 -s 252.32.1.2 -j DROP
Сада проверите ажурирана правила.
#output Chain INPUT (policy ACCEPT) num target prot opt source destination 1 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22 2 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 3 DROP all -- 252.32.1.2 0.0.0.0/0 4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 5 REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:392 reject-with icmp-port-unreachable
Блокирајте долазни саобраћај, али дозволите одлазни саобраћај
Мораћете да унесете следећу команду да бисте блокирали сав долазни саобраћај.
$ iptables -P INPUT DROP $ iptables -P FORWARD DROP $ iptables -P OUTPUT ACCEPT $ iptables -A INPUT -m state --state NEW,ESTABLISHED -j ACCEPT $ iptables -L -v -n
На овај начин можете пинговати или преузимати пакете, али блокирати сваки непознати долазни саобраћај.
Блокирајте одређену ИП адресу
Да бисте блокирали одређену ИП адресу, покрените следећу команду.
$ iptables -A INPUT -s 14.23.59.9 -J DROP
Такође можете дефинисати променљиву за чување блокиране ИП адресе и затим покренути команду.
BLOCK_THE_IP = “a.b.c.d”
И онда покрените:
$ iptables -A INPUT -s “BLOCK_THE_IP” -j DROP
Напомена: Промените „абцд“ у своју жељену ИП адресу.
Омогућавање пинга система споља
Можете да натерате спољне кориснике да пингују ваш сервер како би ваша мрежа била видљива.
$ sudo iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT $ sudo iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT
Омогућавање интерној мрежи да разговара са спољном мрежом
Покрените следећу команду да дозволите интерној мрежи (рецимо етх0) спољној мрежи (рецимо етх1).
$ sudo iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
Дозволи излазни ДНС
Да бисте дозволили ДНС везе са вашим сервером, покрените следећу команду.
$ iptables -A OUTPUT -p udp -o eth0 --dport 53 -j ACCEPT $ iptables -A INPUT -p udp -i eth0 --sport 53 -j ACCEPT
Дозволите Рсицн са одређене мреже
Ако користите команду Рсинц и желите да је омогућите преко одређене мреже, покрените следећу команду.
iptables -A INPUT -i eth0 -p tcp -s 192.168.101.0/24 --dport 873 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --sport 873 -m state --state ESTABLISHED -j ACCEPT
Блок порт
Покрените следећу команду да блокирате одређени порт и све долазне захтеве.
iptables -A INPUT -p tcp --dport 80 -j DROP iptables -A INPUT -i eth1 -p tcp --dport 80 -j DROP
Блокирајте одлазни саобраћај на одређену ИП адресу
Можете блокирати саобраћај ка било којој ИП адреси тако што ћете покренути следећу команду.
$ host -t a techblog.co.rs.com
#оутпут
вдзвдз.цом има адресу 172.66.40.93
Да бисте блокирали одлазни саобраћај до те одређене ИП адресе, покрените следећу команду.
iptables -A OUTPUT -d 72.66.40.93 -j DROP
Слично томе, можете блокирати и платформе друштвених медија као што су Инстаграм, Твиттер и Фацебоок.
Пронађите ИП адресу друштвених медија тако што ћете покренути следећу команду:
$ host -t a social-media-web-adrress.com
На пример, за Инстаграм би то било:
$ host -t a www.instagram.com
Сада ћете морати да пронађете ЦИДР за ИП адресу те одређене платформе друштвених медија.
$ whois 185.89.219.11 | grep CIDR
Напомена: Можда ћете морати да инсталирате вхоис пакет покретањем судо апт-гет инсталл вхоис
Сада унесите ЦИДР вредност на следећи начин:
$ iptables - A OUTPUT -p tcp -d CIDR-value -j DROP
Напомена: Обавезно промените ЦИДР вредност у складу са тим.
Дозволите или блокирајте ИЦМП пинг захтев
Да бисте дозволили или блокирали ИЦМП пинг захтеве, покрените следеће команде.
$ iptables -A INPUT -p icmp --icmp-type echo-request -j DROP $ iptables -A INPUT -i eth1 -p icmp --icmp-type echo-request -j DROP
Отворите одређени опсег портова
Да бисте отворили опсег портова, покрените следећу команду.
$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8933: 8500 -j ACCEPT
Наведите НАТ правила
Да бисте навели НАТ правила, покрените следећу команду:
$ sudo iptables -t nat -L -n -v
Ор
$ sudo iptables -t nat -v -L -n --line-number
Ресетујте бројаче пакета
Да бисте проверили тренутни бројач иптаблес-а:
$ sudo iptables -L -n -v
Да бисте ресетовали или обрисали бројаче, покрените следеће:
$ sudo iptables -Z $ sudo iptables -L -n -v
Само за ресетовање бројача ИНПУТ ланца, покрените:
$ iptables -Z INPUT
Да бисте ресетовали одређени бројач правила, покрените следеће:
$ iptables -z INPUT RULE-NUMBER
Обавезно промените ПРАВИЛО-БРОЈ у то одређено правило.
Завршне речи
иптаблес је моћан услужни програм командне линије за заштитни зид. Можете да конфигуришете скоро све што се односи на мрежне ресурсе, пакете, интерфејсе и одређене сценарије.
Такође, иптаблес нуди много опција. Погледајте његову главну страницу користећи команду ман да бисте добили комплетну слику.
$ man iptables $ man ip6tables
Затим погледајте мрежни заштитни зид и како он помаже у заустављању напада.