लिनक्स पर Iptables का उपयोग करना
यह मार्गदर्शिका यह समझाने का प्रयास करेगी कि भाषा को समझने में आसान तरीके से लिनक्स पर iptables का उपयोग कैसे करें.
अंतर्वस्तु[छिपाना]
|
अवलोकन
इप्टेबल्स एक नियम-आधारित फ़ायरवॉल है, जो प्रत्येक नियम को तब तक संसाधित करेगा जब तक कि यह एक मैच न हो जाए.
टोडो: यहाँ उदाहरण शामिल करें
प्रयोग
Iptables उपयोगिता आम तौर पर आपके लिनक्स वितरण पर पहले से स्थापित है, लेकिन वास्तव में कोई नियम नहीं चल रहा है। आपको अधिकांश वितरण पर यहाँ उपयोगिता मिल जाएगी:
/ Sbin / iptables
एक एकल आईपी पते को अवरुद्ध करना
-S पैरामीटर का उपयोग करके आप आईपी को ब्लॉक कर सकते हैं, 10.10.10.10 के स्थान पर उस पते के साथ जिसे आप ब्लॉक करने का प्रयास कर रहे हैं। आप इस उदाहरण में ध्यान देंगे कि हमने परिशिष्ट के बजाय -I पैरामीटर (या -insert कार्य भी) का उपयोग किया है, क्योंकि हम यह सुनिश्चित करना चाहते हैं कि यह नियम किसी भी अनुमति नियमों से पहले पहले दिखाई दे।.
/ sbin / iptables -I INPUT -s 10.10.10.10 -j DROP
IP पते से सभी ट्रैफ़िक को देना
आप वैकल्पिक रूप से ऊपर के समान कमांड का उपयोग करके आईपी पते से सभी ट्रैफ़िक की अनुमति दे सकते हैं, लेकिन DROP को ACCEPT के साथ बदल सकते हैं। आपको यह सुनिश्चित करने की आवश्यकता है कि यह नियम पहले दिखाई देता है, किसी भी डीआरओपी नियमों से पहले.
/ sbin / iptables -एक INPUT -s 10.10.10.10 -j ACCEPT
सभी पते से एक पोर्ट को अवरुद्ध करना
आप -dport स्विच का उपयोग करके और जिस सेवा को आप ब्लॉक करना चाहते हैं उसके पोर्ट को जोड़कर नेटवर्क पर पूरी तरह से पोर्ट को ब्लॉक कर सकते हैं। इस उदाहरण में, हम mysql port को ब्लॉक करेंगे:
/ sbin / iptables-INPUT -p tcp --dport 3306 -j DROP
एक एकल आईपी से एक एकल बंदरगाह की अनुमति
आप एक विशिष्ट पोर्ट पर नियम को सीमित करने के लिए -dport कमांड के साथ -s कमांड जोड़ सकते हैं:
/ sbin / iptables-INPUT -p tcp -s 10.10.10.10 --dport 3306 -j ACCEPT
वर्तमान नियम देखना
आप निम्न कमांड का उपयोग करके वर्तमान नियमों को देख सकते हैं:
/ sbin / iptables -L
यह आपको निम्नलिखित के समान एक आउटपुट देना चाहिए:
चैन INPUT (पॉलिसी ACCEPT) लक्ष्य विरोध ऑप्ट सोर्स गंतव्य ACCEPT सब - 192.168.1.1/24 कहीं भी ACCEPT सब - 10.10.10.0/24 कहीं भी DROP tcp - कहीं भी tcp dpt; ssh DROP tcp - कहीं भी tcp dpt: माई एसक्यूएल
वास्तविक उत्पादन थोड़ा लंबा होगा, निश्चित रूप से.
वर्तमान नियम साफ़ करना
आप फ्लश पैरामीटर का उपयोग करके सभी मौजूदा नियमों को साफ कर सकते हैं। यदि आपको नियमों को सही क्रम में रखने की आवश्यकता है, या जब आप परीक्षण कर रहे हैं तो यह बहुत उपयोगी है.
/ sbin / iptables --flush
वितरण विशिष्ट
जबकि अधिकांश लिनक्स वितरण में iptables का एक रूप शामिल होता है, उनमें से कुछ में रैपर भी शामिल होते हैं जो प्रबंधन को थोड़ा आसान बनाते हैं। अक्सर ये "एडऑन" इनट स्क्रिप्ट्स का रूप ले लेते हैं जो स्टार्टअप पर iptables को शुरू करने का ध्यान रखते हैं, हालांकि कुछ वितरणों में पूर्ण विकसित आवरण अनुप्रयोग शामिल होते हैं जो सामान्य मामले को सरल बनाने का प्रयास करते हैं।.
Gentoo
iptables Gentoo पर init स्क्रिप्ट कई सामान्य परिदृश्यों को संभालने में सक्षम है। शुरुआत के लिए, यह आपको स्टार्टअप पर लोड करने के लिए iptables को कॉन्फ़िगर करने की अनुमति देता है (आमतौर पर आप जो चाहते हैं):
आरसी-अपडेट iptables डिफ़ॉल्ट जोड़ें
Init स्क्रिप्ट का उपयोग करना, फायरवॉल को आसानी से याद रखने वाली कमांड के साथ लोड करना और साफ़ करना संभव है:
/etc/init.d/iptables प्रारंभ /etc/init.d/iptables रोकें
Init स्क्रिप्ट स्टार्ट / स्टॉप पर आपके वर्तमान फ़ायरवॉल कॉन्फ़िगरेशन को बनाए रखने का विवरण संभालती है। इस प्रकार, आपका फ़ायरवॉल हमेशा उस स्थिति में रहता है जिसे आपने छोड़ा था। यदि आपको मैन्युअल रूप से एक नया नियम सहेजने की आवश्यकता है, तो init स्क्रिप्ट इसे भी संभाल सकती है:
/etc/init.d/iptables सहेजें
इसके अतिरिक्त, आप अपने फ़ायरवॉल को पिछली बचाई गई स्थिति में पुनर्स्थापित कर सकते हैं (उस स्थिति के लिए जहां आप नियमों के साथ प्रयोग कर रहे थे और अब पिछले कार्य कॉन्फ़िगरेशन को पुनर्स्थापित करना चाहते हैं):
/etc/init.d/iptables पुनः लोड करें
अंत में, इनिट स्क्रिप्ट iptables को "पैनिक" मोड में डाल सकती है, जहां सभी आवक और जावक ट्रैफ़िक अवरुद्ध हो जाते हैं। मुझे यकीन नहीं है कि यह मोड उपयोगी क्यों है, लेकिन सभी लिनक्स फ़ायरवॉल के पास ऐसा लगता है.
/etc/init.d/iptables घबराहट
चेतावनी: यदि आप SSH के माध्यम से अपने सर्वर से जुड़े हैं, तो पैनिक मोड शुरू न करें; आप मर्जी काट दिया जाए! जब भी आप आतंक मोड में iptables रखा जाना चाहिए केवल समय है शारीरिक रूप से कंप्यूटर के सामने.
