Ero sivun ”Iptables” versioiden välillä
(Tämä versio merkittiin käännettäväksi) |
|||
| Rivi 36: | Rivi 36: | ||
=== Peruspalomuurisäännöt === <!--T:42--> | === Peruspalomuurisäännöt === <!--T:42--> | ||
| − | + | Aluksi tyhjennä palomuuri turhista säännöistä | |
| − | |||
| − | + | iptables -F | |
| − | + | ||
| − | + | Muuta oletussäännöksi että estetään kaikki sisällepäin liikenne sekä forwardoiva. Ulospäin on kaikki sallittua. '''Huomaa ennen kuin estät sisällepäin liikenteen varmista ettet käytä SSH:ta sillä tämä yhteys katkeaa!''' Lisää ensin SSH auki ennen kuin estät kaikki liikenteen. | |
| − | + | ||
| − | + | iptables -P INPUT DROP | |
| − | + | iptables -P FORWARD DROP | |
| − | + | ||
| − | + | Sallitaan lookback (paikallinen) liikenne | |
| − | + | ||
| − | + | iptables -A INPUT -i lo -j ACCEPT | |
| − | + | ||
| − | + | Sallitaan sisällepäin liikenne kun on otettu ensiksi ulospäin yhteyttä | |
| − | + | ||
| − | - | + | iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT |
| − | + | ||
| − | + | Sallitaan SSH liikenne | |
| − | + | ||
| − | + | iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT | |
| − | + | ||
| − | + | Estetään muut sisällepäin tulevat pyynnöt. | |
| − | + | ||
| − | + | iptables -A INPUT -j DROP | |
| − | -A INPUT - | + | |
| − | + | Sallitaan ulospäin liikenne | |
| − | + | ||
| − | -A INPUT -m state --state | + | iptables -A OUTPUT -j ACCEPT |
| − | + | ||
| − | + | Tallennetaan | |
| − | + | ||
| − | + | iptables-save > /etc/iptables.rules | |
| − | -A INPUT - | + | |
| − | + | Näytä palomuuri säännöt | |
| − | + | ||
| − | + | iptables -L | |
| − | |||
| − | -A INPUT | ||
| − | |||
| − | |||
| − | |||
| − | -A | ||
| − | |||
| − | |||
| − | |||
| − | - | ||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | - | ||
| − | |||
| − | |||
| − | |||
| − | |||
=== Palomuuri asetusten tallennus tiedostoon ja palautus === <!--T:26--> | === Palomuuri asetusten tallennus tiedostoon ja palautus === <!--T:26--> | ||
Versio 22. toukokuuta 2016 kello 06.28
Iptables on pakettisuodatin. Tällä voidaan toteuttaa reitittimiä ja palomuureja.
Sisällysluettelo
Käyttö
Näytetään palomuuri säännöt
iptables -L
Näytetään estetyt palomuurista esim. fail2ban
iptables -L -n
Lista tarkemmin
iptables -L -v
Iptablesiin voi lisätä sääntöä komentoina tai kirjoittamalla tiedostoon. On suositeltavaa kirjoittaa tiedostoon sillä kun Linux sammuu, se tyhjentää iptablesin kaikki säännöt. Tallentaminen onnistuu esimerkiksi iptables-persistent paketilla.
Säännön lisääminen komentoina. Esimerkiksi sallitaan paikallinen liikenne:
iptables -A INPUT -i lo -j ACCEPT
Peruspalomuurisäännöt
Aluksi tyhjennä palomuuri turhista säännöistä
iptables -F
Muuta oletussäännöksi että estetään kaikki sisällepäin liikenne sekä forwardoiva. Ulospäin on kaikki sallittua. Huomaa ennen kuin estät sisällepäin liikenteen varmista ettet käytä SSH:ta sillä tämä yhteys katkeaa! Lisää ensin SSH auki ennen kuin estät kaikki liikenteen.
iptables -P INPUT DROP iptables -P FORWARD DROP
Sallitaan lookback (paikallinen) liikenne
iptables -A INPUT -i lo -j ACCEPT
Sallitaan sisällepäin liikenne kun on otettu ensiksi ulospäin yhteyttä
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Sallitaan SSH liikenne
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
Estetään muut sisällepäin tulevat pyynnöt.
iptables -A INPUT -j DROP
Sallitaan ulospäin liikenne
iptables -A OUTPUT -j ACCEPT
Tallennetaan
iptables-save > /etc/iptables.rules
Näytä palomuuri säännöt
iptables -L
Palomuuri asetusten tallennus tiedostoon ja palautus
Tallenna palomuuriasetukset
iptables-save > /etc/iptables/rules.v4
Palauta palomuuriasetukset tiedostosta
iptables-restore < /etc/iptables/rules.v4
Tallenna IPv6 palomuuriasetukset tiedostoon
ip6tables-save > /etc/iptables/rules.v6
Automaattinen palomuuriasetuksen lataus tiedostosta käynnistäessä
Iptables-persisten paketti on Wheezyssä, Jessiessä se löytyy nimellä netfilter-persistent.
Asenna pakettihallinnasta.
apt-get install iptables-persistent
Palomuuria voi konfiguroida täältä. Vain tänne tallennetut latautuvat käynnistyksen yhteydessä:
nano /etc/iptables/rules.v4
nano /etc/iptables/rules.v6
Tallenna käytössä oleva palomuuri tiedostoon
service iptables-persistent save
Lataa tiedostosta
service iptables-persistent reload
IPv6
Ip6tables on Linuxilla palomuuri IPv6 verkkoon.
Tässä on esimerkki palomuuriasetus jokaiselle.
#Sallitaan paikallinen liikenne -A INPUT -i lo -j ACCEPT -A OUTPUT -o lo -j ACCEPT #Estä RH0 pakettien liikennöinti -A INPUT -m rt --rt-type 0 -j DROP -A FORWARD -m rt --rt-type 0 -j DROP -A OUTPUT -m rt --rt-type 0 -j DROP #Salli paikallisen verkon liikenne -A INPUT -s fe80::/10 -j ACCEPT -A OUTPUT -s fe80::/10 -j ACCEPT -A INPUT -d ff00::/8 -j ACCEPT -A OUTPUT -d ff00::/8 -j ACCEPT -A INPUT -p icmpv6 -j ACCEPT -A OUTPUT -p icmpv6 -j ACCEPT #Estetään SSH portti IPv6:lla. On suositeltavaa sallia tietyistä IPv6 osoitteista tai verkoista. -A INPUT -p tcp -m tcp --dport 22 -j DROP -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -m state --state INVALID -j DROP
NAT
Määritä Linuxille kaksi verkkokorttia jossa molemmissa IP-osoitteet. Sisäverkon kortissa (eth0) tulee olla kiinteä IP-osoite. Tämä toimii verkon gateway:na. Julkisella kortilla (eth1) voi olla dynaaminen IP-osoite.
Salli IPv4 forwarders:
nano /etc/sysctl.conf
poistamalla risuaita:
net.ipv4.ip_forward=1
Ota muutokset käyttöön komennolla
sysctl -p /etc/sysctl.conf
Kirjoita seuraava rivi iptables sääntöihin. Suosittelemme käyttämään iptables-persistet pakettia.
-A POSTROUTING -o eth1 -j MASQUERADE
Sisä interface sallitaan forwardoiminen eth0:sta eth1 interfaceen kunhan tila on related / established . Muuten liikenne estetään.
-A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i eth0 -i eth1 -m state --state INVALID -j DROP
Lähde
http://www.thomas-krenn.com/en/wiki/Saving_Iptables_Firewall_Rules_Permanently
