Примеры использования Iptables

Мы профессиональная команда, которая на рынке работает уже более 2 лет и специализируемся исключительно на лучших продуктах.

У нас лучший товар, который вы когда-либо пробовали!

Наши контакты:

Telegram:

https://t.me/happystuff

Внимание! Роскомнадзор заблокировал Telegram ! Как обойти блокировку:

http://telegra.ph/Kak-obojti-blokirovku-Telegram-04-03-2

ВНИМАНИЕ!!! В Телеграмм переходить только по ссылке, в поиске много фейков!

При получении пакета, он передается Netfilter для принятия им решения: Таким образом, iptables это все, что нужно для управления брандмауэром. Такая возможность фаервола называется stateful -фильтрацией, в отличие от реализованной в ipchains примитивной stateless - фильтрации. Есть множество инструментов помогающие вам в настройке брандмауэра без знания iptables. В системе netfilter , пакеты пропускаются через цепочки. Цепочка является упорядоченным списком правил, а каждое правило может содержать критерии и действие или переход. Когда пакет проходит через цепочку, система netfilter по очереди проверяет, соответствует ли пакет всем критериям очередного правила, и если так, то выполняет действие если критериев в правиле нет, то действие выполняется для всех пакетов проходящих через правило. Вариантов возможных критериев очень много. Например, пакет соответствует критерию —source Самый простой тип перехода, —jump, просто пересылает пакет в начало другой цепочки. Также при помощи —jump можно указать действие. Как бы то ни было, но чаще всего вам будет встречаться именно такой способ записи правил. Если в правило не включается спецификатор \\\\\\\\\\\\\[-t table\\\\\\\\\\\\\], то по умолчанию предполагается использование таблицы filter, если же предполагается использование другой таблицы, то это требуется указать явно. Спецификатор таблицы так же можно указывать в любом месте строки правила, однако более или менее стандартом считается указание таблицы в начале правила. Далее, непосредственно за именем таблицы, должна стоять команда. Если спецификатора таблицы нет, то команда всегда должна стоять первой. Команда определяет действие iptables, например: Раздел match задает критерии проверки, по которым определяется подпадает ли пакет под действие этого правила или нет. Здесь мы можем указать самые разные критерии — IP-адрес источника пакета или сети, IP-адрес места назначения,порт, протокол, сетевой интерфейс и т. Существует множество разнообразных критериев, но об этом — несколько позже. И наконец target указывает, какое действие должно быть выполнено при условии выполнения критериев в правиле. Здесь можно заставить ядро передать пакет в другую цепочку правил, 'сбросить' пакет и забыть про него, выдать на источник сообщение об ошибке и т. Для указания таблицы, в цепочку которой следует добавить правило, используйте ключ -t:. Число, следующее за именем цепочки указывает номер правила, перед которым нужно вставить новое правило, другими словами число задает номер для вставляемого правила. Это правило заблокирует пакеты, которые пришли с внешних интерфейсов, но при этом в качестве обратного адреса у них указан один из адресов, принадлежащих нашему хосту например, Пакет считается удовлетворяющим критерию, если из перечисленных флагов в первом списке в единичное состояние установлены флаги из второго списка. Ведь если мы получаем пакет с установленными флагами SYN и ACK такой комбинацией флагов обладает только ответ на SYN-пакет по еще не открытому соединению, это означает, что кто-то послал другому хосту SYN-пакет от нашего имени, и ответ пришел к нам. Конечно, злоумышленнику предстоит еще угадать номер последовательности, но лучше не предоставлять ему такого шанса. Согласно приведенному правилу, наш хост ответит RST -пакетом, после получения которого атакуемый хост закроет соединение. Добавление такого правила в конфигурацию фаервола настоятельно рекомендуется, потому что если злоумышленнику удастся осуществить спуфинг-атаку от вашего имени, при расследовании этого эпизода следы приведут к вам. Перед использованием этих расширений, они должны быть загружены явно, с помощью ключа -m или —match. Критерий limit должен подгружаться явно ключом -m limit. Прекрасно подходит для правил, производящих запись в системный журнал logging и т. Каждому такому критерию соответствует своя очередь, длина которой задается параметром —limit-burst. Если в очереди есть пакеты, то со скоростью, заданной в —limit, они покидают очередь и считаются удовлетворяющими критерию. Если же вся очередь занята, то новые пакеты в ней не регистрируются и считаются не удовлетворяющими критерию. При непрерывном поступлении входящих пакетов, очередь всегда будет заполнена, и в лог будут заноситься в среднем по три пакета в минуту. Однако, если входящих пакетов долго не будет, то очередь успеет очиститься, и при поступлении пяти и менее новых пакетов, они пойдут в лог подряд. В любом случае, скорость попадания пакетов в лог остается неизменной. Это пример попытки защитить web-сервер от DDoS-атаки, ограничив количество пакетов в единицу времени. При этом могут возникнуть помехи для легальных пользователей, например, загружающих на сервер большой файл методом POST. Более корректным решением будет ограничивать не скорость входящего потока данных, а скорость открытия новых соединений:. Теперь мы ограничиваем количество не всех пакетов, а только новых, то есть мы разрешаем открывать не более 32 новых соединений в секунду. Впрочем, число 32 приведено здесь только для примера. Конкретное значение скорости для вашей задачи рекомендуем определять самостоятельно. При этом для каждого хоста, подсети или порта создается отдельная очередь. Критерий mark предоставляет возможность 'пометить' пакеты специальным образом. Mark - специальное поле, которое существует только в области памяти ядра и связано с конкретным пакетом. Может использоваться в самых разнообразных целях, например, ограничение трафика и фильтрация. На сегодняшний день существует единственная возможность установки метки на пакет в Linux — это использование действия MARK. Поле mark представляет собой беззнаковое целое число в диапазоне от 0 до для битных систем. Критерий производит проверку пакетов, которые были предварительно 'помечены'. Метки устанавливаются действием MARK, которое мы будем рассматривать ниже. Все пакеты, проходящие через netfilter имеют специальное поле mark. Запомните, что нет никакой возможности передать состояние этого поля вместе с пакетом в сеть. Поле mark является целым беззнаковым, таким образом можно создать не более различных меток. Допускается использовать маску с меткам. В данном случае критерий будет выглядеть подобным образом: Если указывается маска, то выполняется логическое AND метки и маски. Такой подход позволит сравнивать значения отдельных бит. В частности, 64…, …, … и т. Еще один пример —. Такие числа будут нацело делиться на два, но не делиться на четыре — 2, 6, 10, 14, …. Также имеет параметр —mark с аналогичным синтаксисом. Recent запоминает не сами пакеты, а их количество, время поступления, адрес источника в последних версиях iptables также может запоминать и адрес назначения , а также, при необходимости, TTL. Вы не сможете использовать стандартную проверку портов и расширение -m multiport например —sport Подобные правила будут просто отвергаться iptables. Выделяет не один порт, как —dport или —sport, а несколько по списку до 15 штук. Может быть использовано только вместе с -p udp или -p tcp. Служит для указания списка исходящих портов. С помощью данного критерия можно указать до 15 различных портов. Названия портов в списке должны отделяться друг от друга запятыми, пробелы в списке не допустимы. Данное расширение может использоваться только совместно с критериями -p tcp или -p udp. Главным образом используется как расширенная версия обычного критерия —source-port. Служит для указания списка входных портов. Формат задания аргументов полностью аналогичен -m multiport —source-port. Данный критерий проверяет как исходящий так и входящий порт пакета. Формат аргументов аналогичен критерию —source-port и —destination-port. Обратите внимание на то что данный критерий проверяет порты обеих направлений, то есть если вы пишете -m multiport —port 80, то под данный критерий подпадают пакеты, идущие с порта 80 на порт Расширение owner предназначено для проверки 'владельца' пакета. Изначально данное расширение было написано как пример демонстрации возможностей iptables. Такое ограничение наложено потому, что на сегодняшний день нет реального механизма передачи информации о 'владельце' по сети. Справедливости ради следует отметить, что для некоторых пакетов невозможно определить 'владельца' в этой цепочке. К такого рода пакетам относятся различные ICMP responses. Поэтому не следует применять этот критерий к ICMP responses пакетам. Подобного рода проверка может использоваться, к примеру, для блокировки выхода в Интернет отдельных пользователей. Этот критерий достаточно сложен в использовании, например, если мы хотим позволить передачу пакетов на HTTP порт только от заданного демона, то нам потребуется написать небольшой сценарий, который получает PID процесса хотя бы через ps и затем подставляет найденный PID в правила. Пример использования критерия можно найти в Pid-owner. Пример использования этого критерия можно найти в Sid-owner. Идеологический предшественник критерия conntrack. Долгое время был основным критерием определения состояния, и до сих пор фигурирует во многих руководствах и примерах. Однако в настоящее время разработчики iptables рекомендуют использовать вместо него критерий conntrack. Критерий state используется совместно с кодом трассировки соединений и позволяет нам получать информацию о признаке состояния соединения, что позволяет судить о состоянии соединения, причем даже для таких протоколов как ICMP и UDP. Данное расширение необходимо загружать явно, с помощью ключа -m state. На сегодняшний день можно указывать 4 состояния: Модуль должен загружаться явно, ключом -m tos. Далее приводится описание поля TOS, взятое не из оригинала, поскольку оригинальное описание я нахожу несколько туманным. Данное поле служит для нужд маршрутизации пакета. Установка любого бита может привести к тому, что пакет будет обработан маршрутизатором не так как пакет со сброшенными битами TOS. Каждый бит поля TOS имеет свое значение. В пакете может быть установлен только один из битов этого поля, поэтому комбинации не допустимы. Каждый бит определяет тип сетевой службы:. Минимальная задержка Используется в ситуациях, когда время передачи пакета должно быть минимальным, т. Например, если есть выбор между оптоволоконной линией и спутниковым каналом, то предпочтение будет отдано более скоростному оптоволокну. Максимальная пропускная способность Указывает, что пакет должен быть переправлен через канал с максимальной пропускной способностью. Например спутниковые каналы, обладая большей задержкой имеют высокую пропускную способность. Максимальная надежность Выбирается максимально надежный маршрут во избежание необходимости повторной передачи пакета. Минимальные затраты Применяется в случаях, когда важно минимизировать затраты в смысле деньги на передачу данных. Например, при передаче через океан на другой континент аренда спутникового канала может оказаться дешевле, чем аренда оптоволоконного кабеля. Установка данного бита вполне может привести к тому, что пакет пойдет по более 'дешевому' маршруту. Обычный сервис В данной ситуации все биты поля TOS сброшены. Маршрутизация такого пакета полностью отдается на усмотрение провайдера. Как правило поле используется для нужд маршрутизации, но вполне может быть использовано с целью 'маркировки' пакетов для использования с iproute2 и дополнительной маршрутизации в linux. В качестве аргумента критерию может быть передано десятичное или шестнадцатиричное число, или мнемоническое описание бита, мнемоники и их числовое значение вы можете получить выполнив команду iptables -m tos -h. Ниже приводятся мнемоники и их значения. При прохождении очередного маршрутизатора, это число уменьшается на 1. Для использования этого критерия необходимо явно загружать модуль ключом -m ttl. Опять обнаружилось некоторое несоответствие оригинального текста с действительностью, по крайней мере для iptables 1. Назначение этих критериев понятно уже из их синтаксиса. Тем не менее, я все таки приведу перевод оригинала:. Данный критерий может быть использован при наладке локальной сети, например: Вобщем, области применения этого поля ограничиваются только вашей фантазией. Критерий unclean не имеет дополнительных ключей и для его использования достаточно явно загрузить модуль. Будьте осторожны, данный модуль находится еще на стадии разработки и поэтому в некоторых ситуациях может работать некорректно. Данная проверка производится для вычленения пакетов, которые имеют расхождения с принятыми стандартами, это могут быть пакеты с поврежденным заголовком или с неверной контрольной суммой и пр. Цепочки с одинаковым названием но в разных таблицах — совершенно независимые объекты. На этом этапе проверяется, не требуется ли модификация назначения пакета DNAT. После этих действий пакет если выжил будет отправлен в сеть. Если назначением пакета является сам компьютер с брандмауэром , то, после маршрутизации, он обрабатывается правилами цепочек INPUT таблиц mangle и filter. В случае прохождения цепочек пакет передается приложению. Когда приложение, на машине с брандмауэром, отвечает на запрос или отправляет собственный пакет , то он обрабатывается цепочкой OUTPUT таблицы filter. Если компьютер А пытается установить соединение с компьютером Б они обмениваются специальными TCP пакетами. Компонент netfilter, обеспечивающий отслеживание состояния соединений и классификацию пакетов с точки зрения принадлежности к соединениям, что позволяет netfilter осуществлять полноценную stateful-фильтрацию трафика. Как и netfilter, система conntrack является частью ядра Linux. К ее задачам относятся:. Основной критерий, используемый для контроля состояния соединения. Он предоставляет эффективный набор инструментов, позволяющий использовать информацию системы conntrack о состоянии соединения. Маска содержит перечисление через запятую список возможных состояний соединения. Пакет считается удовлетворяющим критерию, если соединение, по которому он проходит, находится в одном из перечисленных состояний. Такая запись содержит очень много полезной информации. Начинается она с даты и времени получения пакета. Затем идет имя нашего хоста interdictor и источник сообщения для сообщений фаервола это всегда ядро. Потом идет заданный нами префикс New connection from ours: A5, и в конце следует значение EtherType , Параметр —log-prefix позволяет задать поясняющую надпись, упрощающую поиск сообщений в системных журналах. Параметр —log-level определяет уровень важности лог-сообщения, от которого зависит, в частности, в какой именно из журналов будет записано это сообщение. За более подробными сведениями обратитесь к документации по вашему демону системного лога. Для более легкого анализа содержимого журналов используйте инструмменты анализа, такие как fwanalog, fwlogwatch , или Lire. При количестве пакетов больше 5, правило сработает один раз в секунду. Остальные попытки в log файл записываться не будут. Так можно уменьшить объем лог файла. В стандартных репозиториях CentOS пакета ulogd нет. Нужно использовать сторонний Использование Yum репозиторий ftp: Описание технологии, задание размера таблиц смотреть в NAT. На порт должен быть настроен клиент например, Transmission. Маскарадинг в основе своей представляет то же самое, что и SNAT только не имеет ключа —to-source. Все новые входящие соединения, не обработанные предыдущими цепочками, записываем в лог файл и запрещаем. Эти правила оптимальнее, чем использование DROP. По общему согласию, пользовательские цепочки всегда создаются в малом регистре. Для создания пользовательских цепочек служит команда -N, для переименования - -E, для удаления - -X. Создадим правило, которая все обращения к портам от 22 до 80 включительно, проходящие через наш шлюз, будет перенаправлять в нашу цепочку forward-ports. В цепочке forward-ports будут указаны IP, обращение к которым по этим портам запрещено. Перейти к содержанию АйТи бубен. Боковая панель Связь Контакты. Критерий 'мусора' Unclean match. Замечания по запуску iptables на разных дистрибутивах Linux: Скрипт для очистки правил iptables. Изучаем популярные надстройки для iptables. Detecting and deceiving network scans. Если конкретная цепочка не задана, то для всех. Если имя цепочки не указывается, то подразумеваются все цепочки. При использовании ключа -v совместно с командой -L, на вывод будут поданы и состояния счетчиков пакетов, попавших под действие каждого правила. Допускается совместное использование команд -L и -Z. В этом случае будет выдан сначала список правил со счетчиками, а затем произойдет обнуление счетчиков. Предназначена для непрерывного вывода таблицы состояний соединений с периодическим обновлением, в стиле широко известной утилиты top. Позволяет удалять записи из таблицы состояний. Не поддерживает работу с таблицей ожидаемых expected соединений. Кроме того, данная утилита позволяет отслеживать в реальном времени события системы conntrack, например, открытие новых соединений или изменение состояния существующих. Также conntrackd можно использовать просто для удаленного сбора статистики по соединениям. Результат анализа возвращает в маркировке пакета. Полезен при фильтрации и шейпинге трафика протоколов, не имеющих фиксированных номеров портов для соединений данных, например, BitTorrent. Впрочем, в настоящее время существуют и альтернативные решения — P2P-протоколы можно выделять при помощи критерия ipp2p из набора xtables-addons , а вспомогательные соединения в известных системе conntrack протоколах FTP , IRC , SIP можно выделять при помощи критерия helper и маркировки соединений. Описание 15 стандартных целей IPTables. Руководство по iptables Iptables Tutorial 1. Настройка межсетевого экрана Iptables. Правила обрабатываются по порядку их объявления. Для указания таблицы, в цепочку которой следует добавить правило, используйте ключ -t: Цель по умолчанию задается с помощью ключа -P: Ключ -I вставляет новое правило в цепочку. Ключевыми понятиями iptables являются: Критерий может быть общим, неявным и явным. Стандартные действия доступные во всех цепочках:. Счетчик — компонент правила, обеспечивающий учет количества пакетов, которые попали под критерий данного правила. Также счетчик учитывает суммарный объем таких пакетов в байтах. Правило — состоит из критерия, действия и счетчика. Если пакет соответствует критерию, к нему применяется действие, и он учитывается счетчиком. Указывать действие тоже не обязательно — в отсутствие действия правило будет работать только как счетчик. Цепочка — упорядоченная последовательность правил. Цепочки можно разделить на пользовательские и базовые. Базовая цепочка — цепочка, создаваемая по умолчанию при инициализации таблицы. Каждый пакет, в зависимости от того, предназначен ли он самому хосту, сгенерирован им или является транзитным, должен пройти положенный ему набор базовых цепочек различных таблиц. Это действие применяется к тем пакетам, которые не были обработаны другими правилами этой цепочки и вызванных из нее цепочек. Пользовательская цепочка — цепочка, созданная пользователем. Может использоваться только в пределах своей таблицы. Рекомендуется не использовать для таких цепочек имена в верхнем регистре, чтобы избежать путаницы с базовыми цепочками и встроенными действиями. Таблица — совокупность базовых и пользовательских цепочек, объединенных общим функциональным назначением. Имена таблиц как и модулей критериев записываются в нижнем регистре, так как в принципе не могут конфликтовать с именами пользовательских цепочек. При отсутствии явного указания, используется таблица filter. Более подробно таблицы будут рассмотрены ниже. Общие критерии - не зависят от типа протокола и не требуют загрузки специального модуля. Адрес источника может указываться так, как показано в примере, тогда подразумевается единственный IP-адрес. Начиная с версии iptables 1. При этом для каждого адреса будет добавлено отдельное правило. Имеет синтаксис схожий с критерием —source, за исключением того, что подразумевает адрес места назначения. С помощью фрагментированных пакетов могут производиться атаки на ваш брандмауэр, так как фрагменты пакетов могут не отлавливаться другими правилами. Как и раньше, допускается использования символа! Подробнее о большинстве перечисленных типов адресов и их использовании в Linux точнее, в подсистеме iproute2 можно почитать здесь. В качестве практического примера использования данного критерия можно привести простейшую защиту от спуфинга: В качестве параметра может указываться номер порта или название сетевой службы. При указании номеров портов правила отрабатывают несколько быстрее. Если же вы собираетесь создавать значительные по объему наборы правил, скажем порядка нескольких сотен и более, то тут предпочтительнее использовать номера портов. Номера портов могут задаваться в виде интервала из минимального и максимального номеров, например —source-port Если опускается минимальный порт, то есть когда критерий записывается как —source-port: Если опускается максимальный порт, то есть когда критерий записывается как —source-port Допускается такая запись —source-port Как и раньше, символ! Инверсия может применяться и к диапазону портов, например —source-port! За дополнительной информацией обращайтесь к описанию критерия multiport. Аргументы задаются в том же формате, что и для —source-port. Как и ранее, символ! Получение UDP пакетов не требует какого либо подтверждения со стороны получателя. Если они потеряны, то они просто потеряны не вызывая передачу ICMP протокол диагностики перегрузки сети сообщения об ошибке. Для -p ICMP протокол диагностики перегрузки сети:. Пакеты в пределах этого количества считаются удовлетворяющими критерию, сверх этого количества — не удовлетворяющими. Модуль расширения должен подгружаться явно ключом -m mac. MAC адрес должен указываться в форме XX: Расширение multiport позволяет указывать в тексте правила несколько портов и диапазонов портов. Каждый бит определяет тип сетевой службы: Тем не менее, я все таки приведу перевод оригинала: Действия могут быть терминальными и нетерминальными. Терминальными называются действия, которые прерывают прохождение пакета через текущую базовую цепочку. То есть если к пакету в рамках некоторого правила было применено терминальное действие, он уже не проверяется на соответствие всем следующим правилам в этой цепочке и в тех цепочках, из которых она была вызвана, если это пользовательская цепочка. Терминальными являются все действия, специфичные для таблиц filter и nat. Нетерминальными , соответственно, являются действия, не прерывающие процесс прохождения пакета через цепочки. Существует пять типов стандартных цепочек, встроенных в систему: INPUT — для входящих пакетов адресованных непосредственно локальному процессу клиенту или серверу. Используется редко, например для маркировки пакетов, которые НЕ должны обрабатываться системой определения состояний. Редко необходима и может быть опасна. Содержит все пять стандартных цепочек:. Данная таблица добавлена в ядро Linux в версии 2. Ранее операции с метками безопасности выполнялись в таблице mangle, и в целях обратной совместимости все действия, разрешенные для таблицы security, можно использовать и в таблице mangle. Схематично обработку пакета можно изобразить следующим образом: После этих действий пакет если выжил будет отправлен в сеть Если назначением пакета является сам компьютер с брандмауэром , то, после маршрутизации, он обрабатывается правилами цепочек INPUT таблиц mangle и filter. SYN пакет првыед Б! Iptables Компонент netfilter, обеспечивающий отслеживание состояния соединений и классификацию пакетов с точки зрения принадлежности к соединениям, что позволяет netfilter осуществлять полноценную stateful-фильтрацию трафика. К ее задачам относятся: Отслеживание состояний отдельных соединений с тем, чтобы классифицировать каждый пакет либо как относящийся к уже установленному соединению, либо как открывающий новое соединение. При работе же с протоколами, поддерживающими состояния например, TCP , conntrack активно использует эту возможность, тесно взаимодействуя с базовой сетевой подсистемой ядра Linux. Более сложный вариант — протоколы, использующие несколько соединений в одной сессии, например, FTP. NEW — соединение не открыто, то есть пакет является первым в соединении. Обычно к таким пакетам применяют действие DROP:. DNAT — показывает, что к данному соединению применена операция подмены адреса назначения. SNAT — показывает, что к данному соединению применена операция подмены адреса источника. Настройка syslog, logrotate для iptables. LOG — позволяет записывать информацию о пакетах в журнал ядра syslog. Тип трансляции сетевого адреса, при которой адрес отправителя подставляется динамически, в зависимости от назначенного интерфейсу адреса. Если нужно запретить какому-нибудь серому хосту хождение в Интернет по портам 80, , можно написать так:. Инструменты страницы Показать исходный текст Ссылки сюда Наверх. Обнуление всех счетчиков в заданной цепочке.

Купить Шишки в Ессентуки