Configurare și exemple IPTables ușoare pe Ubuntu 16.04

• 1. Noțiuni de bază
• 2. Creați reguli inițiale
• 3. Faceți regulile persistente
• 4. Permiteți conexiunile de ieșire
• 5. Permiteți sau blocați țări întregi

Introducere

iptableseste un instrument puternic folosit pentru a configura firewall-ul integrat al kernel-ului Linux. Este preinstalat pe majoritatea distribuțiilor Ubuntu, însă dacă utilizați o versiune Ubuntu personalizată sau rulați într-un container, cel mai probabil va trebui să o instalați manual.

sudo apt-get install iptables iptables-persistent

După instalare, dacă vi se solicită să vă salvați regulile actuale, nu contează momentan deoarece veți elimina sau crea noi reguli mai târziu.

sfaturi

Puteți utiliza netcatcomanda (pe un computer diferit de serverul dvs.) pentru a testa care dintre porturile dvs. sunt deschise sau închise.

nc -z -w5 -v SERVER_IP PORT

• nc este comanda netcat.
• -z trimiteți doar un pachet fără sarcină utilă.
• -w5 așteptați până la 5 secunde pentru un răspuns.
• -v modul verbos.
• Înlocuiți- SERVER_IPvă cu adresa serverului.
• Înlocuiți-l PORTcu portul pe care doriți să îl testați dacă este deschis (de exemplu 22).

Pe serverul dvs. puteți utiliza netstatcomanda pentru a vedea ce porturi ascultă în prezent conexiunile.

sudo netstat -tulpn

Notă: Deși netstateste util să găsiți porturile cu care doriți să lucrați, ar trebui să fiți conștienți de aplicațiile pe care le-ați instalat în prezent pe serverul dvs. și de ce porturi ascultă, nu trebuie să permiteți fiecare port pe care îl găsiți în netstatieșire .

Sintaxă

sudo iptables -A INPUT -p tcp -m tcp --dport 22 --m geoip --src-cc PE -j ACCEPT

• -A INPUTadăuga o regulă în INPUTlanț, un lanț este un grup de reguli, cele pe care le folosim cel mai mult pe acest ghid va fi INPUT, OUTPUTși PREROUTING.
• -p tcpstabilit tcpca protocolul această regulă se va aplica, puteți utiliza și alte protocoale , cum ar fi udp, icmpsau all.
• -m tcputilizați tcpmodulul. iptablesacceptă funcții suplimentare prin module, dintre care unele sunt deja preinstalate iptablesși altele, cum ar fi geoipmodulul.
• --dport 22comenzile care încep cu --indică opțiuni suplimentare pentru modulul folosit anterior, în acest caz vom spune tcpmodulului să se aplice numai la port 22.
• -m geoiputilizați geoipmodulul. Acesta va limita pachetele pe bază de țară (mai multe informații la pasul 5).
• --src-cc PEspuneți geoipmodulului să limiteze pachetele primite la cele care provin din Peru. Pentru mai multe coduri de țară, căutați ISO 3166 country codespe internet.
• -j ACCEPT-jargumentul spune iptablesce să facă în cazul în care un pachet se potrivește cu constrângerile specificate în argumentele anterioare. În acest caz, va ACCEPTaceste pachete, alte opțiuni sunt REJECT, DROPși multe altele. Puteți găsi mai multe opțiuni căutând iptables jump targetspe internet.

1. Noțiuni de bază

Enumerați toate regulile.

sudo iptables -L

Enumerați toate comenzile care au fost utilizate pentru a crea regulile utilizate în prezent, utile pentru a edita sau șterge reguli.

sudo iptables -S

Pentru a șterge o regulă specifică, alegeți o regulă din sudo iptables -Sși înlocuiți-o -Acu -D.

# -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

sudo iptables -D INPUT -p tcp -m tcp --dport 22 -j ACCEPT

Enumerați toate regulile numerotate din INPUTlanț.

sudo iptables -L INPUT --line-numbers

Ștergeți o regulă numerotată.

sudo iptables -D INPUT 2

Pentru a șterge toate regulile.

sudo iptables -F

Avertisment: este posibil să pierdeți conexiunea dacă vă conectați prin SSH .

Ștergeți numai regulile din OUTPUTlanț.

sudo iptables -F OUTPUT

2. Creați reguli inițiale

Permiteți SSHpe eth0interfață

sudo iptables -A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT

• -i eth0 aplicați regula unei interfețe specifice, pentru a permite de la orice interfață să eliminați această comandă.

Pentru a limita pachetele de intrare la un anumit IP (adică 10.0.3.1/32).

sudo iptables -A INPUT -i eth0 -s 10.0.3.1/32 -p tcp -m tcp --dport 22 -j ACCEPT

• -s 10.0.3.1/32 specifică o IP / subrețea din care să permită conexiunile.

Setați regulile de lanț implicite.

Avertisment: înainte de a continua, asigurați-vă că ați aplicat regulile corecte SSH dacă lucrați pe un server de la distanță .

sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP 
sudo iptables -P OUTPUT ACCEPT 

• -P INPUT DROP neagă toate pachetele de intrare (adică nimeni nu se va putea conecta la serverele care rulează, cum ar fi Apache, SQL, etc).
• -P FORWARD DROP neagă toate pachetele trimise (adică atunci când utilizați sistemul dvs. ca router).
• -P OUTPUT ACCEPTpermite toate pachetele de ieșire (adică atunci când efectuați o HTTPsolicitare).

Permiteți tot traficul pe interfața loopback ( recomandat ).

sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT

3. Faceți regulile persistente

Salvați iptablesregulile actuale .

sudo netfilter-persistent save
sudo netfilter-persistent reload

Dacă executați într-un container, netfilter-persistentcomanda cel mai probabil nu va funcționa, deci trebuie să reconfigurați iptables-persistentpachetul.

sudo dpkg-reconfigure iptables-persistent

4. Permiteți conexiunile de ieșire

Permiteți interogări DNS.

sudo iptables -A OUTPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT
sudo iptables -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT

Utilizați statemodulul pentru a permite RELATEDși a ESTABLISHEDexpedia pachetele.

sudo iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Permiteți porturile dorite; în acest caz, HTTPporturi.

sudo iptables -A OUTPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT

Mai multe porturi pe care poate doriți să le utilizați.

• FTP: tcp la portul 21
• HTTPS: tcp la portul 443
• DHCP: udp la port 67
• NTP: udp la portul 123

Notă: Dacă doriți să permiteți apt-get, poate fi necesar să permiteți FTPșiHTTPS .

Permiteți traficul returnat numai pentru RELATEDși deja ESTABLISHEDconexiuni ( recomandat deoarece uneori este necesară o comunicare bidirecțională).

sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Alte reguli utile

Permiteți solicitări ping din exterior.

sudo iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
sudo iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

Trafic direct pe eth0portul 2200la 10.0.3.21:22(util dacă doriți să expuneți un server SSH care se execută în interiorul unui container).

sudo iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 2200 -j DNAT --to-destination 10.0.3.21:22

Dacă vă conectați cu succes la serverul dvs. utilizând SSH, se va crea o conexiune persistentă (adică nu există conexiuni noi, chiar dacă sunteți conectat mai mult de o oră). Dacă nu reușiți și încercați să vă autentificați din nou, se va crea o nouă conexiune. Acest lucru va bloca încercările continue de conectare SSH prin limitarea noilor conexiuni pe oră.

sudo iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
sudo iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 3600 --hitcount 4 -j DROP

Redirecționați toate cererile din port 443către port 4430(util dacă doriți să vă legați de port 443fără root).

sudo iptables -t nat -A PREROUTING -i ens3 -p tcp --dport 443 -j REDIRECT --to-port 4430
sudo iptables -A INPUT -p tcp -m tcp --dport 4430 -m geoip --src-cc PE -j ACCEPT

• ens3 interfața de rețea.
• -m geoip Modulul blocului de țară (vezi pasul 5).

Avertisment: Nu folosiți lo, sistemul de operare va arunca toate pachetele redirecționate către interfața loopback .

5. Permiteți sau blocați țări întregi

5.1 Instalați xtables-addons

Puteți instala xtables-addonsmodulul folosind diferite metode, nu ezitați să utilizați metoda de instalare care funcționează cel mai bine pentru dvs.

• Instalați folosind apt-get.

  sudo apt-get install xtables-addons-common
  

• Instalați folosind module-assistant.

  sudo apt-get install module-assistant xtables-addons-source
  sudo module-assistant --verbose --text-mode auto-install xtables-addons
  

• Instalați de la sursă.

  sudo apt-get install git bc libncurses5-dev libtext-csv-xs-perl autoconf automake libtool xutils-dev iptables-dev
  git clone git://git.code.sf.net/p/xtables-addons/xtables-addons
  cd xtables-addons
  ./autogen.sh
  ./configure
  make
  sudo make install
  

Construiți o bază de date „țări”.

sudo apt-get install libtext-csv-xs-perl unzip
sudo mkdir /usr/share/xt_geoip
sudo /usr/lib/xtables-addons/xt_geoip_dl
sudo /usr/lib/xtables-addons/xt_geoip_build -D /usr/share/xt_geoip *.csv
sudo rm GeoIPCountryCSV.zip GeoIPCountryWhois.csv GeoIPv6.csv

Reporniți sistemul.

sudo reboot

După ce xtables-addonsa fost instalat cu succes, după prima repornire, rulați depmodaltfel blocarea țării nu va funcționa corect (acest lucru este necesar doar pentru prima dată).

sudo depmod 

Creați un script la /etc/cron.monthly/geoip-updateractualizarea geoiplunară a bazei de date.

#!/usr/bin/env bash
# this script is intended to run with sudo privileges

echo 'Removing old database---------------------------------------------------'
rm -rf /usr/share/xt_geoip/*
mkdir -p /usr/share/xt_geoip

echo 'Downloading country databases-------------------------------------------'
mkdir /tmp/geoip-updater
cd /tmp/geoip-updater
/usr/lib/xtables-addons/xt_geoip_dl

echo 'Building geoip database-------------------------------------------------'
/usr/lib/xtables-addons/xt_geoip_build -D /usr/share/xt_geoip *.csv

echo 'Removing temporary files------------------------------------------------'
cd /tmp
rm -rf /tmp/geoip-updater

Faceți /etc/cron.monthly/geoip-updaterexecutabil.

sudo chmod +x /etc/cron.monthly/geoip-updater

5.2 Exemple de reguli

_ Notă: Dacă primiți o iptables: No chain/target/match by that nameeroare când încercați să aplicați o geoipregulă, este posibil să xtables-addonsnu fi fost instalată corect. Încercați o altă metodă de instalare.

Blocați toate pachetele primite din China, Hong Kong, Rusia și Coreea.

sudo iptables -A INPUT -m geoip --src-cc CN,HK,RU,KR -j DROP

Permiteți pachetele de intrare pe port 80de oriunde, cu excepția țărilor de mai sus.

sudo iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

Permiteți pachetele de intrare pe ens3interfața din port 22doar din Peru (nu ezitați să alegeți codul de țară din care doriți să acceptați pachetele, de exemplu, USpentru Statele Unite).

sudo iptables -A INPUT -i ens3 -p tcp -m tcp --dport 22 -m geoip --src-cc PE -j ACCEPT

Permiteți pachetele de intrare pe port 443doar din Peru.

sudo iptables -A INPUT -p tcp -m tcp --dport 443 -m geoip --src-cc PE -j ACCEPT