Ero sivun ”Iptables” versioiden välillä
(→NAT) |
(→NAT) |
||
| Rivi 118: | Rivi 118: | ||
== NAT == | == NAT == | ||
| + | |||
| + | Määritä Linuxille kaksi verkkokorttia jossa molemmissa IP-osoitteet. Sisäverkon kortissa tulee olla kiinteä IP-osoite. Tämä toimii verkon gateway:na. | ||
Salli IPv4 forwarders: | Salli IPv4 forwarders: | ||
| Rivi 133: | Rivi 135: | ||
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE | iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE | ||
| − | Sisä interface | + | Sisä interface sallitaan forwardoiminen eth0:sta eth1 interfaceen kunhan tila on related / established |
| − | iptables -A FORWARD -i eth0 -j ACCEPT | + | iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT |
== Lähde == <!--T:36--> | == Lähde == <!--T:36--> | ||
Versio 10. huhtikuuta 2015 kello 22.37
Iptables on pakettisuodatin. Tällä voidaan toteuttaa reitittimiä ja palomuureja.
Sisällysluettelo
Käyttö
Näytetään palomuuri säännöt
iptables -L
Näytetään estetyt palomuurista esim. fail2ban
iptables -L -n
Lista tarkemmin
iptables -L -v
Komento tulostaa:
Chain fail2ban-ssh (1 references) target prot opt source destination DROP all -- 192.168.100.100 0.0.0.0/0 RETURN all -- 0.0.0.0/0 0.0.0.0/0
Poistetaan IP-osoite fail2ban ssh korvaamalla <banned_ip> ban IP-osoitteella.
iptables -D fail2ban-ssh -s <banned_ip> -j DROP
Lisätään IP-osoite ban listalle manuaalisesti:
iptables -A INPUT -s <banned_ip> -j DROP
Verkko-osoiteavaruuksinen ban
iptables -A INPUT -s <banned_ip>/24 -j DROP
Verkko-alueen ban:
iptables -A INPUT -m iprange --src-range <banned-ip>-<range> -j DROP
"/24" tarkoittaa verkkomaskia, oletuksena se on 24 = 255.255.255.0
Lista boteista:
116.10.191.0/24 61.174.50.0/24 61.174.51.0/24
Kun olet estänyt manuaalisesti voit katsoa iptablea, ja se näyttää tältä
Chain INPUT (policy ACCEPT) target prot opt source destination fail2ban-proftpd tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 21,20,990,989 fail2ban-ssh tcp -- 0.0.0.0/0 0.0.0.0/0 multiport dports 22 DROP all -- 116.10.191.0/24 0.0.0.0/0
Salli kaikki liikenne ulospäin
iptables -I OUTPUT -o eth0 -d 0.0.0.0/0 -j ACCEPT iptables -I INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
Palomuuri asetusten tallennus tiedostoon ja palautus
Tallenna palomuuriasetukset
iptables-save > /etc/iptables/rules.v4
Palauta palomuuriasetukset tiedostosta
iptables-restore < /etc/iptables/rules.v4
Tallenna IPv6 palomuuriasetukset tiedostoon
ip6tables-save > /etc/iptables/rules.v6
Automaattinen palomuuriasetuksen lataus tiedostosta käynnistäessä
Asenna pakettihallinnasta.
apt-get install iptables-persistent
NAT
Määritä Linuxille kaksi verkkokorttia jossa molemmissa IP-osoitteet. Sisäverkon kortissa tulee olla kiinteä IP-osoite. Tämä toimii verkon gateway:na.
Salli IPv4 forwarders:
nano /etc/sysctl.conf
poistamalla risuaita:
net.ipv4.ip_forward=1
Käynnistä uudelleen
Lisää komentoina (ulko interface):
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
Sisä interface sallitaan forwardoiminen eth0:sta eth1 interfaceen kunhan tila on related / established
iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
Lähde
http://www.thomas-krenn.com/en/wiki/Saving_Iptables_Firewall_Rules_Permanently
