Mainos / Advertisement:

Ero sivun ”Iptables” versioiden välillä

Kohteesta Taisto
Siirry navigaatioon Siirry hakuun
Rivi 136: Rivi 136:
 
<!--T:56-->
 
<!--T:56-->
 
<pre>
 
<pre>
#Sallitaan paikallinen liikenne
 
 
-A INPUT -i lo -j ACCEPT
 
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
+
-A INPUT -m rt --rt-type 0 --rt-segsleft 0 -j DROP
 
 
<!--T:57-->
 
#Estä RH0 pakettien liikennöinti
 
-A INPUT -m rt --rt-type 0 -j DROP
 
-A FORWARD -m rt --rt-type 0 -j DROP
 
-A OUTPUT -m rt --rt-type 0 -j DROP
 
 
 
<!--T:58-->
 
#Salli paikallisen verkon liikenne
 
 
-A INPUT -s fe80::/10 -j ACCEPT
 
-A INPUT -s fe80::/10 -j ACCEPT
 +
-A INPUT -d ff00::/8 -j ACCEPT
 +
-A INPUT -p ipv6-icmp -j ACCEPT
 +
-A INPUT -p tcp -m tcp --dport 22 -j DROP
 +
-A INPUT -m state --state ESTABLISHED -j ACCEPT
 +
-A INPUT -j DROP
 +
-A FORWARD -m rt --rt-type 0 --rt-segsleft 0 -j DROP
 +
-A OUTPUT -m rt --rt-type 0 --rt-segsleft 0 -j DROP
 
-A OUTPUT -s fe80::/10 -j ACCEPT
 
-A OUTPUT -s fe80::/10 -j ACCEPT
-A INPUT -d ff00::/8 -j ACCEPT
 
 
-A OUTPUT -d ff00::/8 -j ACCEPT
 
-A OUTPUT -d ff00::/8 -j ACCEPT
 +
-A OUTPUT -p ipv6-icmp -j ACCEPT
 +
</pre>
  
<!--T:59-->
 
-A INPUT -p icmpv6 -j ACCEPT
 
-A OUTPUT -p icmpv6 -j ACCEPT
 
 
<!--T:60-->
 
#Estetään SSH portti IPv6:lla. On suositeltavaa sallia tietyistä IPv6 osoitteista tai verkoista.
 
-A INPUT -p tcp -m tcp --dport 22 -j DROP
 
 
<!--T:61-->
 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 
-A OUTPUT -m state --state INVALID -j DROP
 
</pre>
 
  
 
== NAT == <!--T:62-->
 
== NAT == <!--T:62-->

Versio 22. toukokuuta 2016 kello 09.17

Muut kielet:
English • ‎suomi

Iptables on pakettisuodatin. Tällä voidaan toteuttaa reitittimiä ja palomuureja.

Käyttö

Näytetään palomuuri säännöt

 iptables -L

Näytetään estetyt palomuurista esim. fail2ban

 iptables -L -n

Lista tarkemmin

 iptables -L -v

Iptablesiin voi lisätä sääntöä komentoina tai kirjoittamalla tiedostoon. On suositeltavaa kirjoittaa tiedostoon sillä kun Linux sammuu, se tyhjentää iptablesin kaikki säännöt. Tallentaminen onnistuu esimerkiksi iptables-persistent paketilla.

Säännön lisääminen komentoina. Esimerkiksi sallitaan paikallinen liikenne:

 iptables -A INPUT -i lo -j ACCEPT

Peruspalomuurisäännöt

Aluksi tyhjennä palomuuri turhista säännöistä

 iptables -F

Muuta oletussäännöksi että estetään kaikki sisällepäin liikenne sekä forwardoiva. Ulospäin on kaikki sallittua. Huomaa ennen kuin estät sisällepäin liikenteen varmista ettet käytä SSH:ta sillä tämä yhteys katkeaa! Lisää ensin SSH auki ennen kuin estät kaikki liikenteen.

 iptables -P INPUT DROP
 iptables -P FORWARD DROP

Sallitaan lookback (paikallinen) liikenne

 iptables -A INPUT -i lo -j ACCEPT

Sallitaan sisällepäin liikenne kun on otettu ensiksi ulospäin yhteyttä

 iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Sallitaan SSH liikenne

 iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

Estetään muut sisällepäin tulevat pyynnöt.

 iptables -A INPUT -j DROP

Sallitaan ulospäin liikenne

 iptables -A OUTPUT -j ACCEPT

Tallennetaan

 iptables-save > /etc/iptables.rules

Näytä palomuuri säännöt

 iptables -L

Palomuuri asetusten tallennus tiedostoon ja palautus

Tallenna palomuuriasetukset

 iptables-save > /etc/iptables/rules.v4

Palauta palomuuriasetukset tiedostosta

 iptables-restore < /etc/iptables/rules.v4

Tallenna IPv6 palomuuriasetukset tiedostoon

 ip6tables-save > /etc/iptables/rules.v6


Automaattinen palomuuriasetuksen lataus tiedostosta käynnistäessä

Iptables-persisten paketti on Wheezyssä, Jessiessä se löytyy nimellä netfilter-persistent.

Asenna pakettihallinnasta.

 apt-get install iptables-persistent

Palomuuria voi konfiguroida täältä. Vain tänne tallennetut latautuvat käynnistyksen yhteydessä:

 nano /etc/iptables/rules.v4
 nano /etc/iptables/rules.v6

Tallenna käytössä oleva palomuuri tiedostoon

 service iptables-persistent save

Lataa tiedostosta

 service iptables-persistent reload

IPv6

Ip6tables on Linuxilla palomuuri IPv6 verkkoon.

Tässä on esimerkki palomuuriasetus jokaiselle.

-A INPUT -i lo -j ACCEPT
-A INPUT -m rt --rt-type 0 --rt-segsleft 0 -j DROP
-A INPUT -s fe80::/10 -j ACCEPT
-A INPUT -d ff00::/8 -j ACCEPT
-A INPUT -p ipv6-icmp -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j DROP
-A INPUT -m state --state ESTABLISHED -j ACCEPT
-A INPUT -j DROP
-A FORWARD -m rt --rt-type 0 --rt-segsleft 0 -j DROP
-A OUTPUT -m rt --rt-type 0 --rt-segsleft 0 -j DROP
-A OUTPUT -s fe80::/10 -j ACCEPT
-A OUTPUT -d ff00::/8 -j ACCEPT
-A OUTPUT -p ipv6-icmp -j ACCEPT


NAT

Määritä Linuxille kaksi verkkokorttia jossa molemmissa IP-osoitteet. Sisäverkon kortissa (eth0) tulee olla kiinteä IP-osoite. Tämä toimii verkon gateway:na. Julkisella kortilla (eth1) voi olla dynaaminen IP-osoite.

Salli IPv4 forwarders:

 nano /etc/sysctl.conf

poistamalla risuaita:

 net.ipv4.ip_forward=1

Ota muutokset käyttöön komennolla

 sysctl -p /etc/sysctl.conf

Kirjoita seuraava rivi iptables sääntöihin. Suosittelemme käyttämään iptables-persistet pakettia.

-A POSTROUTING -o eth1 -j MASQUERADE

Sisä interface sallitaan forwardoiminen eth0:sta eth1 interfaceen kunhan tila on related / established . Muuten liikenne estetään.

-A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -i eth1 -m state --state INVALID -j DROP

Lähde

http://www.thomas-krenn.com/en/wiki/Saving_Iptables_Firewall_Rules_Permanently

http://linux.fi/wiki/Iptables

Mainos / Advertisement: