Configurare și exemple IPTables ușoare pe Ubuntu 16.04

Introducere

iptableseste un instrument puternic folosit pentru a configura firewall-ul integrat al kernel-ului Linux. Este preinstalat pe majoritatea distribuțiilor Ubuntu, însă dacă utilizați o versiune Ubuntu personalizată sau rulați într-un container, cel mai probabil va trebui să o instalați manual.

sudo apt-get install iptables iptables-persistent

După instalare, dacă vi se solicită să vă salvați regulile actuale, nu contează momentan deoarece veți elimina sau crea noi reguli mai târziu.

sfaturi

Puteți utiliza netcatcomanda (pe un computer diferit de serverul dvs.) pentru a testa care dintre porturile dvs. sunt deschise sau închise.

nc -z -w5 -v SERVER_IP PORT
  • nc este comanda netcat.
  • -z trimiteți doar un pachet fără sarcină utilă.
  • -w5 așteptați până la 5 secunde pentru un răspuns.
  • -v modul verbos.
  • Înlocuiți- SERVER_IPvă cu adresa serverului.
  • Înlocuiți-l PORTcu portul pe care doriți să îl testați dacă este deschis (de exemplu 22).

Pe serverul dvs. puteți utiliza netstatcomanda pentru a vedea ce porturi ascultă în prezent conexiunile.

sudo netstat -tulpn

Notă: Deși netstateste util să găsiți porturile cu care doriți să lucrați, ar trebui să fiți conștienți de aplicațiile pe care le-ați instalat în prezent pe serverul dvs. și de ce porturi ascultă, nu trebuie să permiteți fiecare port pe care îl găsiți în netstatieșire .

Sintaxă

sudo iptables -A INPUT -p tcp -m tcp --dport 22 --m geoip --src-cc PE -j ACCEPT
  • -A INPUTadăuga o regulă în INPUTlanț, un lanț este un grup de reguli, cele pe care le folosim cel mai mult pe acest ghid va fi INPUT, OUTPUTși PREROUTING.
  • -p tcpstabilit tcpca protocolul această regulă se va aplica, puteți utiliza și alte protocoale , cum ar fi udp, icmpsau all.
  • -m tcputilizați tcpmodulul. iptablesacceptă funcții suplimentare prin module, dintre care unele sunt deja preinstalate iptablesși altele, cum ar fi geoipmodulul.
  • --dport 22comenzile care încep cu --indică opțiuni suplimentare pentru modulul folosit anterior, în acest caz vom spune tcpmodulului să se aplice numai la port 22.
  • -m geoiputilizați geoipmodulul. Acesta va limita pachetele pe bază de țară (mai multe informații la pasul 5).
  • --src-cc PEspuneți geoipmodulului să limiteze pachetele primite la cele care provin din Peru. Pentru mai multe coduri de țară, căutați ISO 3166 country codespe internet.
  • -j ACCEPT-jargumentul spune iptablesce să facă în cazul în care un pachet se potrivește cu constrângerile specificate în argumentele anterioare. În acest caz, va ACCEPTaceste pachete, alte opțiuni sunt REJECT, DROPși multe altele. Puteți găsi mai multe opțiuni căutând iptables jump targetspe internet.

1. Noțiuni de bază

Enumerați toate regulile.

sudo iptables -L

Enumerați toate comenzile care au fost utilizate pentru a crea regulile utilizate în prezent, utile pentru a edita sau șterge reguli.

sudo iptables -S

Pentru a șterge o regulă specifică, alegeți o regulă din sudo iptables -Sși înlocuiți-o -Acu -D.

# -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

sudo iptables -D INPUT -p tcp -m tcp --dport 22 -j ACCEPT

Enumerați toate regulile numerotate din INPUTlanț.

sudo iptables -L INPUT --line-numbers

Ștergeți o regulă numerotată.

sudo iptables -D INPUT 2

Pentru a șterge toate regulile.

sudo iptables -F

Avertisment: este posibil să pierdeți conexiunea dacă vă conectați prin SSH .

Ștergeți numai regulile din OUTPUTlanț.

sudo iptables -F OUTPUT

2. Creați reguli inițiale

Permiteți SSHpe eth0interfață

sudo iptables -A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
  • -i eth0 aplicați regula unei interfețe specifice, pentru a permite de la orice interfață să eliminați această comandă.

Pentru a limita pachetele de intrare la un anumit IP (adică 10.0.3.1/32).

sudo iptables -A INPUT -i eth0 -s 10.0.3.1/32 -p tcp -m tcp --dport 22 -j ACCEPT
  • -s 10.0.3.1/32 specifică o IP / subrețea din care să permită conexiunile.

Setați regulile de lanț implicite.

Avertisment: înainte de a continua, asigurați-vă că ați aplicat regulile corecte SSH dacă lucrați pe un server de la distanță .

sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP 
sudo iptables -P OUTPUT ACCEPT 
  • -P INPUT DROP neagă toate pachetele de intrare (adică nimeni nu se va putea conecta la serverele care rulează, cum ar fi Apache, SQL, etc).
  • -P FORWARD DROP neagă toate pachetele trimise (adică atunci când utilizați sistemul dvs. ca router).
  • -P OUTPUT ACCEPTpermite toate pachetele de ieșire (adică atunci când efectuați o HTTPsolicitare).

Permiteți tot traficul pe interfața loopback ( recomandat ).

sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT

3. Faceți regulile persistente

Salvați iptablesregulile actuale .

sudo netfilter-persistent save
sudo netfilter-persistent reload

Dacă executați într-un container, netfilter-persistentcomanda cel mai probabil nu va funcționa, deci trebuie să reconfigurați iptables-persistentpachetul.

sudo dpkg-reconfigure iptables-persistent

4. Permiteți conexiunile de ieșire

Permiteți interogări DNS.

sudo iptables -A OUTPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT
sudo iptables -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT

Utilizați statemodulul pentru a permite RELATEDși a ESTABLISHEDexpedia pachetele.

sudo iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Permiteți porturile dorite; în acest caz, HTTPporturi.

sudo iptables -A OUTPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT

Mai multe porturi pe care poate doriți să le utilizați.

  • FTP: tcp la portul 21
  • HTTPS: tcp la portul 443
  • DHCP: udp la port 67
  • NTP: udp la portul 123

Notă: Dacă doriți să permiteți apt-get, poate fi necesar să permiteți FTPșiHTTPS .

Permiteți traficul returnat numai pentru RELATEDși deja ESTABLISHEDconexiuni ( recomandat deoarece uneori este necesară o comunicare bidirecțională).

sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Alte reguli utile

Permiteți solicitări ping din exterior.

sudo iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
sudo iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

Trafic direct pe eth0portul 2200la 10.0.3.21:22(util dacă doriți să expuneți un server SSH care se execută în interiorul unui container).

sudo iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 2200 -j DNAT --to-destination 10.0.3.21:22

Dacă vă conectați cu succes la serverul dvs. utilizând SSH, se va crea o conexiune persistentă (adică nu există conexiuni noi, chiar dacă sunteți conectat mai mult de o oră). Dacă nu reușiți și încercați să vă autentificați din nou, se va crea o nouă conexiune. Acest lucru va bloca încercările continue de conectare SSH prin limitarea noilor conexiuni pe oră.

sudo iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --set
sudo iptables -I INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 3600 --hitcount 4 -j DROP

Redirecționați toate cererile din port 443către port 4430(util dacă doriți să vă legați de port 443fără root).

sudo iptables -t nat -A PREROUTING -i ens3 -p tcp --dport 443 -j REDIRECT --to-port 4430
sudo iptables -A INPUT -p tcp -m tcp --dport 4430 -m geoip --src-cc PE -j ACCEPT
  • ens3 interfața de rețea.
  • -m geoip Modulul blocului de țară (vezi pasul 5).

Avertisment: Nu folosiți lo, sistemul de operare va arunca toate pachetele redirecționate către interfața loopback .

5. Permiteți sau blocați țări întregi

5.1 Instalați xtables-addons

Puteți instala xtables-addonsmodulul folosind diferite metode, nu ezitați să utilizați metoda de instalare care funcționează cel mai bine pentru dvs.

  • Instalați folosind apt-get.

    sudo apt-get install xtables-addons-common
    
  • Instalați folosind module-assistant.

    sudo apt-get install module-assistant xtables-addons-source
    sudo module-assistant --verbose --text-mode auto-install xtables-addons
    
  • Instalați de la sursă.

    sudo apt-get install git bc libncurses5-dev libtext-csv-xs-perl autoconf automake libtool xutils-dev iptables-dev
    git clone git://git.code.sf.net/p/xtables-addons/xtables-addons
    cd xtables-addons
    ./autogen.sh
    ./configure
    make
    sudo make install
    

Construiți o bază de date „țări”.

sudo apt-get install libtext-csv-xs-perl unzip
sudo mkdir /usr/share/xt_geoip
sudo /usr/lib/xtables-addons/xt_geoip_dl
sudo /usr/lib/xtables-addons/xt_geoip_build -D /usr/share/xt_geoip *.csv
sudo rm GeoIPCountryCSV.zip GeoIPCountryWhois.csv GeoIPv6.csv

Reporniți sistemul.

sudo reboot

După ce xtables-addonsa fost instalat cu succes, după prima repornire, rulați depmodaltfel blocarea țării nu va funcționa corect (acest lucru este necesar doar pentru prima dată).

sudo depmod 

Creați un script la /etc/cron.monthly/geoip-updateractualizarea geoiplunară a bazei de date.

#!/usr/bin/env bash
# this script is intended to run with sudo privileges

echo 'Removing old database---------------------------------------------------'
rm -rf /usr/share/xt_geoip/*
mkdir -p /usr/share/xt_geoip

echo 'Downloading country databases-------------------------------------------'
mkdir /tmp/geoip-updater
cd /tmp/geoip-updater
/usr/lib/xtables-addons/xt_geoip_dl

echo 'Building geoip database-------------------------------------------------'
/usr/lib/xtables-addons/xt_geoip_build -D /usr/share/xt_geoip *.csv

echo 'Removing temporary files------------------------------------------------'
cd /tmp
rm -rf /tmp/geoip-updater

Faceți /etc/cron.monthly/geoip-updaterexecutabil.

sudo chmod +x /etc/cron.monthly/geoip-updater

5.2 Exemple de reguli

_ Notă: Dacă primiți o iptables: No chain/target/match by that nameeroare când încercați să aplicați o geoipregulă, este posibil să xtables-addonsnu fi fost instalată corect. Încercați o altă metodă de instalare.

Blocați toate pachetele primite din China, Hong Kong, Rusia și Coreea.

sudo iptables -A INPUT -m geoip --src-cc CN,HK,RU,KR -j DROP

Permiteți pachetele de intrare pe port 80de oriunde, cu excepția țărilor de mai sus.

sudo iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT

Permiteți pachetele de intrare pe ens3interfața din port 22doar din Peru (nu ezitați să alegeți codul de țară din care doriți să acceptați pachetele, de exemplu, USpentru Statele Unite).

sudo iptables -A INPUT -i ens3 -p tcp -m tcp --dport 22 -m geoip --src-cc PE -j ACCEPT

Permiteți pachetele de intrare pe port 443doar din Peru.

sudo iptables -A INPUT -p tcp -m tcp --dport 443 -m geoip --src-cc PE -j ACCEPT


Leave a Comment

O perspectivă asupra a 26 de tehnici de analiză a datelor mari: partea 1

O perspectivă asupra a 26 de tehnici de analiză a datelor mari: partea 1

O perspectivă asupra a 26 de tehnici de analiză a datelor mari: partea 1

6 lucruri extrem de nebunești despre Nintendo Switch

6 lucruri extrem de nebunești despre Nintendo Switch

Mulți dintre voi cunoașteți Switch care va fi lansat în martie 2017 și noile sale funcții. Pentru cei care nu știu, am pregătit o listă de funcții care fac din „Switch” un „gadget obligatoriu”.

Promisiuni tehnologice care sunt încă nelivrate

Promisiuni tehnologice care sunt încă nelivrate

Aștepți ca giganții tehnologiei să-și îndeplinească promisiunile? vezi ce a ramas nelivrat.

Funcționalitățile straturilor arhitecturii de referință pentru Big Data

Funcționalitățile straturilor arhitecturii de referință pentru Big Data

Citiți blogul pentru a cunoaște diferitele straturi din Arhitectura Big Data și funcționalitățile acestora în cel mai simplu mod.

Cum poate AI să ducă automatizarea proceselor la următorul nivel?

Cum poate AI să ducă automatizarea proceselor la următorul nivel?

Citiți asta pentru a afla cum devine populară inteligența artificială în rândul companiilor la scară mică și cum crește probabilitățile de a le face să crească și de a le oferi concurenților avantaje.

CAPTCHA: Cât timp poate rămâne o tehnică viabilă pentru distincția uman-AI?

CAPTCHA: Cât timp poate rămâne o tehnică viabilă pentru distincția uman-AI?

CAPTCHA a devenit destul de dificil de rezolvat pentru utilizatori în ultimii ani. Va fi capabil să rămână eficient în detectarea spam-ului și a botului în viitor?

Singularitatea tehnologică: un viitor îndepărtat al civilizației umane?

Singularitatea tehnologică: un viitor îndepărtat al civilizației umane?

Pe măsură ce Știința Evoluează într-un ritm rapid, preluând multe dintre eforturile noastre, crește și riscurile de a ne supune unei Singularități inexplicabile. Citiți, ce ar putea însemna singularitatea pentru noi.

Telemedicină și îngrijire medicală la distanță: viitorul este aici

Telemedicină și îngrijire medicală la distanță: viitorul este aici

Ce este telemedicina, îngrijirea medicală la distanță și impactul acesteia asupra generației viitoare? Este un loc bun sau nu în situația de pandemie? Citiți blogul pentru a găsi o vedere!

Te-ai întrebat vreodată cum câștigă hackerii bani?

Te-ai întrebat vreodată cum câștigă hackerii bani?

Poate ați auzit că hackerii câștigă mulți bani, dar v-ați întrebat vreodată cum câștigă acești bani? sa discutam.

Actualizarea suplimentului macOS Catalina 10.15.4 cauzează mai multe probleme decât rezolvă

Actualizarea suplimentului macOS Catalina 10.15.4 cauzează mai multe probleme decât rezolvă

Recent, Apple a lansat macOS Catalina 10.15.4 o actualizare suplimentară pentru a remedia problemele, dar se pare că actualizarea provoacă mai multe probleme care duc la blocarea mașinilor Mac. Citiți acest articol pentru a afla mai multe