Iptables
IPTables — простой фаервол, установленный на большинстве
дистрибутивов Linux. Руководство Linux говорит, что IPTables — это
инструмент управления пакетными фильтрами IPv4 и NAT, то есть, это
инструмент фильтрации и блокировки интернет-трафика. IPTables включен в
CentOS по умолчанию.
Проще говоря, любой фаервол — это список правил, которые разрешают или отклоняют входящие соединения, которые отвечают этим правилам. Если правила не были установлены пользователем, используются правила по умолчанию.
Каждое правило -- это строка, содержащая в себе критерии определяющие, подпадает ли пакет под заданное правило, и действие, которое необходимо выполнить в случае выполнения критерия. В общем виде правила записываются примерно так:
iptables [-t table] command [match] [target/jump]
Обычно хостинг-провайдеры предоставляют ненастроенные серверы — весь трафик разрешен. Но на всякий случай можно сбросить все правила фаервола:
Затем можно добавить несколько простых правил, которые отражают наиболее распространенные атаки и защищают сервер от скрипт-кидди. Конечно, IPTables вряд ли сможет защитить сервер от серьезной DDOS или подобных атак; но, по крайней мере, этот фаервол устранит сканирующих сеть ботов, которые рано или поздно начнут искать бреши в системе безопасности данного сервера. Для начала нужно заблокировать нулевые пакеты:
Теперь фаервол не будет принимать входящих пакетов с tcp-флагами. Нулевые пакеты, по сути, разведывательные. они используются, чтобы выяснить настройки сервера и определить его слабые места. Следующее правило отражает атаки syn-flood:
Во время атаки syn-flood злоумышленник создает новое соединение, но не устанавливает никаких флагов (SYN, ACK и т.д.). Все, что ему нужно — отнять ресурсы сервера. Такие пакеты принимать не стоит. Далее нужно защитить сервер от разведывательных пакетов XMAS:
Теперь сервер защищен от некоторых общих атак, которые ищут его уязвимости.
Данная команда говорит добавить (-А) правило в фильтр входящих соединений (INPUT), разрешающее (-j ACCEPT) любой трафик, поступающий на локальный интерфейс (-i lo). Локальный хост часто используется для размещения базы данных, к которой подключаются веб-сайт и почтовый сервер. Таким образом, VPS имеет доступ к базе данных, но взломать ее через интернет нельзя.
Теперь нужно разрешить трафик веб-сервера:
В цепочку ACCEPT были добавлены два порта (порт http 80 и порт https 443), что разрешит трафик на эти порты. Теперь нужно разрешить пользователям работать с SMTP-сервером:
Как уже было сказано, имея возможность влиять на пользователей, лучше использовать безопасные версии протоколов; к сожалению, это не всегда возможно, и клиенты будут использовать порт 25, который достаточно просто взломать. Теперь нужно разрешить пользователям читать электронную почту:
Эти два правила разрешают трафик POP3. Опять же, усилить защиту почтового сервера можно при помощи безопасной версии сервиса. Также нужно включить доступ по протоколу IMAP:
Данная команда говорит фаерволу добавить правило, принимающее tcp-трафик, входящий на порт 22 (порт SSH по умолчанию). Рекомендуется заменить порт 22 другим портом, и вышеуказанное правило нужно изменить соответственно; настройка SSH не входит в данное руководство. Тем не менее, можно настроить сам фаервол. При наличии постоянного IP-адреса можно включить доступ к SSH только с помощью этого адреса. Для этого нужно узнать IP-адрес. Убедитесь, что это не адрес локальной сети, иначе правило не будет работать. Узнать IP-адрес можно на сайте whatismyip.com. Также можно ввести в терминал:
Это действие покажет текущего пользователя (если он единственный вошедший в систему пользователь) и IP-адрес. Результат выглядит примерно так:
Теперь можно создать правило фаервола, разрешающее на порт SSH только исходящий от указанного IP-адреса трафик:
Замените фразу «IP_АДРЕС» настоящим адресом.
При необходимости можно открыть больше портов сервера, но для этого нужно сменить их номера. Тогда фаервол будет разрешать доступ только нужным сервисам. Сейчас нужно добавить еще одно правило, которое позволит устанавливать исходящие соединения (т.е. использовать ping или запускать обновления программного обеспечения):
Это позволит любым установленным исходящим соединениям получать ответы от VPS на другой стороне этой связи. Создав все эти правила, можно заблокировать все остальное и разрешить все исходящие соединения.
Теперь правила фаервола настроены должным образом.
Опция -n используется для того, чтобы вывести только IP-адреса, а не доменные имена. К примеру, если в правилах используется IP 12.34.56.78:, фаервол отследит его и узнает, что это IP сайта somesite.com. Но этого делать не нужно, нужны только IP-адреса. Теперь наконец можно сохранить настройки фаервола:
Конфигурационный файл IPTables на CentOS хранится в /etc/sysconfig/iptables. Вышеприведенная команда сохранила созданные правила в данный файл. Чтобы убедиться, что все работает должным образом, перезапустите фаервол:
----------------------------------------------------------------------------------------------------------------------
В iptables создаются цепочки, в эти цепочки мы добавляем правила. Для примера создадим цепочку abrahabra (она будет создаваться в конце правил!)
iptables -N abrahabra
Теперь добавим туда запись
iptables -A abrahabra -s0/0 -m state --state NEW -p udp --dport 137 -j ACCEPT
Если мы хотим добавить запись в iptables, но при этом нам важно, чтоб она была в начале, то комманда -А не подойдет (будет добавлять записи в конец выбранной цепочки). Надо использовать -I название цепочки 1 (где 1 - это номер строчки в который будет записано правило, всё остальные привила смещаются на одно)
iptables -I INPUT 1 -s0/0 -d 192.168.192.128 -p tcp --dport 22 -j ACCEPT
(Создали правило для цепочки INPUT, в котором разрешаем с любого адреса доступ по 22 порту, по протоколу TCP к ip адресу 192.168.192.128)
Мы добавляем первую строку в цепочку INPUT. НО! Это первая строка в цепочке INPUT, а не первая в файле iptables. Так что тут надо быть внимательным. После этого, это правило, которое мы добавили, будет до перезагрузки, после перезагрузки оно будет удалено, так как не сохранено. Для сохранения пишем:
service iptables save
Если нам надо посмотреть правила для iptables и счётчики, исползуем комманду:
iptables -L -n -v
-L (list) - показывает список настроек
-n (numeric) - показывает цифровые значения, не заменянные на буквенные (0.0.0.0 вместо anywhere, номера портов, а не названия, и тд)
-v (verbose=многословный)- показывает более подробные данные (в данном случае счетчики (статистику попаданий пакетов под правила)
-Z (zero) - обнуляет счётчики
ACCEPT
Данная операция не имеет дополнительных ключей. Если над пакетом выполняется действие ACCEPT, то пакет прекращает движение по цепочке (и всем вызвавшим цепочкам, если текущая цепочка была вложенной) и считается ПРИНЯТЫМ (то бишь пропускается), тем не менее, пакет продолжит движение по цепочкам в других таблицах и может быть отвергнут там. Действие задается с помощью ключа -j ACCEPT.
DROP
Данное действие просто "сбрасывает" пакет и iptables "забывает" о его существовании. "Сброшенные" пакеты прекращают свое движение полностью, т.е. они не передаются в другие таблицы, как это происходит в случае с действием ACCEPT. Следует помнить, что данное действие может иметь негативные последствия, поскольку может оставлять незакрытые "мертвые" сокеты как на стороне сервера, так и на стороне клиента, наилучшим способом защиты будет использование действия REJECT особенно при защите от сканирования портов.
REJECT используется, как правило, в тех же самых ситуациях, что и DROP, но в отличие от DROP, команда REJECT выдает сообщение об ошибке на хост, передавший пакет. Действие REJECT на сегодняшний день может использоваться только в цепочках INPUT, FORWARD и OUTPUT (и во вложенных в них цепочках). Пока существует только единственный ключ, управляющий поведением команды REJECT.
LOG -- действие, которое служит для журналирования отдельных пакетов и событий. В журнал могут заноситься заголовки IP пакетов и другая интересующая вас информация. Информация из журнала может быть затем прочитана с помощью dmesg или syslogd либо с помощью других программ. Превосходное средство для отладки ваших правил.
REDIRECT
Выполняет перенаправление пакетов и потоков на другой порт той же самой машины. К примеру, можно пакеты, поступающие на HTTP порт перенаправить на порт HTTP proxy. Действие REDIRECT очень удобно для выполнения "прозрачного" проксирования (transparent proxying), когда машины в локальной сети даже не подозревают о существовании прокси.
REDIRECT может использоваться только в цепочках PREROUTING и OUTPUT таблицы nat. И конечно же это действие можно выполнять в подцепочках, вызываемых и вышеуказанных. Для действия REDIRECT предусмотрен только один ключ.
Таблица 6-20. Действие REDIRECT
DNAT (Destination Network Address Translation) используется для преобразования адреса места назначения в IP заголовке пакета. Если пакет подпадает под критерий правила, выполняющего DNAT, то этот пакет, и все последующие пакеты из этого же потока, будут подвергнуты преобразованию адреса назначения и переданы на требуемое устройство, хост или сеть. Данное действие может, к примеру, успешно использоваться для предоставления доступа к вашему web-серверу, находящемуся в локальной сети, и не имеющему реального IP адреса. Для этого вы строите правило, которое перехватывает пакеты, идущие на HTTP порт брандмауэра и выполняя DNAT передаете их на локальный адрес web-сервера. Для этого действия так же можно указать диапазон адресов, тогда выбор адреса назначения для каждого нового потока будет производиться случайнам образом.
Таблица 6-16. Действие DNAT
Таблица 6-2. Команды
Таблица 6-4. Общие критерии
Таблица 6-5. TCP критерии
Таблица 6-6. UDP критерии
Таблица 6-11. Ключи критерия Multiport
Таблица 6-13. Ключи критерия State
Если необходимо запустить сервис iptables на уровнях 2, 3 и 5. Об этих уровнях мы знаем:
chkconfig --level 235 iptables on
https://www.opennet.ru/docs/RUS/iptables/
http://www.8host.com/blog/bazovye-konfiguracii-iptables-na-centos-6/
Проще говоря, любой фаервол — это список правил, которые разрешают или отклоняют входящие соединения, которые отвечают этим правилам. Если правила не были установлены пользователем, используются правила по умолчанию.
Каждое правило -- это строка, содержащая в себе критерии определяющие, подпадает ли пакет под заданное правило, и действие, которое необходимо выполнить в случае выполнения критерия. В общем виде правила записываются примерно так:
iptables [-t table] command [match] [target/jump]
Обычно хостинг-провайдеры предоставляют ненастроенные серверы — весь трафик разрешен. Но на всякий случай можно сбросить все правила фаервола:
iptables -FЗатем можно добавить несколько простых правил, которые отражают наиболее распространенные атаки и защищают сервер от скрипт-кидди. Конечно, IPTables вряд ли сможет защитить сервер от серьезной DDOS или подобных атак; но, по крайней мере, этот фаервол устранит сканирующих сеть ботов, которые рано или поздно начнут искать бреши в системе безопасности данного сервера. Для начала нужно заблокировать нулевые пакеты:
iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROPТеперь фаервол не будет принимать входящих пакетов с tcp-флагами. Нулевые пакеты, по сути, разведывательные. они используются, чтобы выяснить настройки сервера и определить его слабые места. Следующее правило отражает атаки syn-flood:
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROPВо время атаки syn-flood злоумышленник создает новое соединение, но не устанавливает никаких флагов (SYN, ACK и т.д.). Все, что ему нужно — отнять ресурсы сервера. Такие пакеты принимать не стоит. Далее нужно защитить сервер от разведывательных пакетов XMAS:
iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROPТеперь сервер защищен от некоторых общих атак, которые ищут его уязвимости.
Открытие портов выбранных сервисов
Теперь можно внести выбранные сервисы в фильтр фаервола. Чтобы внести локальный интерфейс:iptables -A INPUT -i lo -j ACCEPTДанная команда говорит добавить (-А) правило в фильтр входящих соединений (INPUT), разрешающее (-j ACCEPT) любой трафик, поступающий на локальный интерфейс (-i lo). Локальный хост часто используется для размещения базы данных, к которой подключаются веб-сайт и почтовый сервер. Таким образом, VPS имеет доступ к базе данных, но взломать ее через интернет нельзя.
Теперь нужно разрешить трафик веб-сервера:
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPTВ цепочку ACCEPT были добавлены два порта (порт http 80 и порт https 443), что разрешит трафик на эти порты. Теперь нужно разрешить пользователям работать с SMTP-сервером:
iptables -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 465 -j ACCEPTКак уже было сказано, имея возможность влиять на пользователей, лучше использовать безопасные версии протоколов; к сожалению, это не всегда возможно, и клиенты будут использовать порт 25, который достаточно просто взломать. Теперь нужно разрешить пользователям читать электронную почту:
iptables -A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 995 -j ACCEPTЭти два правила разрешают трафик POP3. Опять же, усилить защиту почтового сервера можно при помощи безопасной версии сервиса. Также нужно включить доступ по протоколу IMAP:
iptables -A INPUT -p tcp -m tcp --dport 143 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 993 -j ACCEPT
Ограничение доступа SSH
Также нужно разрешить трафик SSH, чтобы иметь возможность
подключаться к VPS удаленно. Это очень просто сделать при помощи
команды:iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPTДанная команда говорит фаерволу добавить правило, принимающее tcp-трафик, входящий на порт 22 (порт SSH по умолчанию). Рекомендуется заменить порт 22 другим портом, и вышеуказанное правило нужно изменить соответственно; настройка SSH не входит в данное руководство. Тем не менее, можно настроить сам фаервол. При наличии постоянного IP-адреса можно включить доступ к SSH только с помощью этого адреса. Для этого нужно узнать IP-адрес. Убедитесь, что это не адрес локальной сети, иначе правило не будет работать. Узнать IP-адрес можно на сайте whatismyip.com. Также можно ввести в терминал:
wЭто действие покажет текущего пользователя (если он единственный вошедший в систему пользователь) и IP-адрес. Результат выглядит примерно так:
root@iptables# w
11:42:59 up 60 days, 11:21, 1 user, load average: 0.00, 0.00, 0.00
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/0 213.191.xxx.xxx 09:27 0.00s 0.05s 0.00s wТеперь можно создать правило фаервола, разрешающее на порт SSH только исходящий от указанного IP-адреса трафик:
iptables -A INPUT -p tcp -s IP_АДРЕС -m tcp --dport 22 -j ACCEPTЗамените фразу «IP_АДРЕС» настоящим адресом.
При необходимости можно открыть больше портов сервера, но для этого нужно сменить их номера. Тогда фаервол будет разрешать доступ только нужным сервисам. Сейчас нужно добавить еще одно правило, которое позволит устанавливать исходящие соединения (т.е. использовать ping или запускать обновления программного обеспечения):
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPTЭто позволит любым установленным исходящим соединениям получать ответы от VPS на другой стороне этой связи. Создав все эти правила, можно заблокировать все остальное и разрешить все исходящие соединения.
iptables -P OUTPUT ACCEPT
iptables -P INPUT DROPТеперь правила фаервола настроены должным образом.
Сохранение настроек
Теперь можно просмотреть список установленных правил, чтобы убедиться, что все нужные правила внесены:iptables -L -nОпция -n используется для того, чтобы вывести только IP-адреса, а не доменные имена. К примеру, если в правилах используется IP 12.34.56.78:, фаервол отследит его и узнает, что это IP сайта somesite.com. Но этого делать не нужно, нужны только IP-адреса. Теперь наконец можно сохранить настройки фаервола:
iptables-save | sudo tee /etc/sysconfig/iptablesКонфигурационный файл IPTables на CentOS хранится в /etc/sysconfig/iptables. Вышеприведенная команда сохранила созданные правила в данный файл. Чтобы убедиться, что все работает должным образом, перезапустите фаервол:
service iptables restart----------------------------------------------------------------------------------------------------------------------
В iptables создаются цепочки, в эти цепочки мы добавляем правила. Для примера создадим цепочку abrahabra (она будет создаваться в конце правил!)
iptables -N abrahabra
iptables -A abrahabra -s0/0 -m state --state NEW -p udp --dport 137 -j ACCEPT
iptables -I INPUT 1 -s0/0 -d 192.168.192.128 -p tcp --dport 22 -j ACCEPT
(Создали правило для цепочки INPUT, в котором разрешаем с любого адреса доступ по 22 порту, по протоколу TCP к ip адресу 192.168.192.128)
Мы добавляем первую строку в цепочку INPUT. НО! Это первая строка в цепочке INPUT, а не первая в файле iptables. Так что тут надо быть внимательным. После этого, это правило, которое мы добавили, будет до перезагрузки, после перезагрузки оно будет удалено, так как не сохранено. Для сохранения пишем:
service iptables save
Если нам надо посмотреть правила для iptables и счётчики, исползуем комманду:
iptables -L -n -v
-L (list) - показывает список настроек
-n (numeric) - показывает цифровые значения, не заменянные на буквенные (0.0.0.0 вместо anywhere, номера портов, а не названия, и тд)
-v (verbose=многословный)- показывает более подробные данные (в данном случае счетчики (статистику попаданий пакетов под правила)
-Z (zero) - обнуляет счётчики
ACCEPT
Данная операция не имеет дополнительных ключей. Если над пакетом выполняется действие ACCEPT, то пакет прекращает движение по цепочке (и всем вызвавшим цепочкам, если текущая цепочка была вложенной) и считается ПРИНЯТЫМ (то бишь пропускается), тем не менее, пакет продолжит движение по цепочкам в других таблицах и может быть отвергнут там. Действие задается с помощью ключа -j ACCEPT.
DROP
Данное действие просто "сбрасывает" пакет и iptables "забывает" о его существовании. "Сброшенные" пакеты прекращают свое движение полностью, т.е. они не передаются в другие таблицы, как это происходит в случае с действием ACCEPT. Следует помнить, что данное действие может иметь негативные последствия, поскольку может оставлять незакрытые "мертвые" сокеты как на стороне сервера, так и на стороне клиента, наилучшим способом защиты будет использование действия REJECT особенно при защите от сканирования портов.
REJECT используется, как правило, в тех же самых ситуациях, что и DROP, но в отличие от DROP, команда REJECT выдает сообщение об ошибке на хост, передавший пакет. Действие REJECT на сегодняшний день может использоваться только в цепочках INPUT, FORWARD и OUTPUT (и во вложенных в них цепочках). Пока существует только единственный ключ, управляющий поведением команды REJECT.
LOG -- действие, которое служит для журналирования отдельных пакетов и событий. В журнал могут заноситься заголовки IP пакетов и другая интересующая вас информация. Информация из журнала может быть затем прочитана с помощью dmesg или syslogd либо с помощью других программ. Превосходное средство для отладки ваших правил.
REDIRECT
Выполняет перенаправление пакетов и потоков на другой порт той же самой машины. К примеру, можно пакеты, поступающие на HTTP порт перенаправить на порт HTTP proxy. Действие REDIRECT очень удобно для выполнения "прозрачного" проксирования (transparent proxying), когда машины в локальной сети даже не подозревают о существовании прокси.
REDIRECT может использоваться только в цепочках PREROUTING и OUTPUT таблицы nat. И конечно же это действие можно выполнять в подцепочках, вызываемых и вышеуказанных. Для действия REDIRECT предусмотрен только один ключ.
Таблица 6-20. Действие REDIRECT
| Ключ | --to-ports |
| Пример | iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080 |
| Описание | Ключ --to-ports определяет порт или диапазон портов назначения. Без указания ключа --to-ports, перенаправления не происходит, т.е. пакет идет на тот порт, куда и был назначен. В примере, приведенном выше, --to-ports 8080 указан один порт назначения. Если нужно указать диапазон портов, то мы должны написать нечто подобное --to-ports 8080-8090. Этот ключ можно использовать только в правилах, где критерий содержит явное указание на протокол TCP или UDP с помощью ключа --protocol. |
DNAT (Destination Network Address Translation) используется для преобразования адреса места назначения в IP заголовке пакета. Если пакет подпадает под критерий правила, выполняющего DNAT, то этот пакет, и все последующие пакеты из этого же потока, будут подвергнуты преобразованию адреса назначения и переданы на требуемое устройство, хост или сеть. Данное действие может, к примеру, успешно использоваться для предоставления доступа к вашему web-серверу, находящемуся в локальной сети, и не имеющему реального IP адреса. Для этого вы строите правило, которое перехватывает пакеты, идущие на HTTP порт брандмауэра и выполняя DNAT передаете их на локальный адрес web-сервера. Для этого действия так же можно указать диапазон адресов, тогда выбор адреса назначения для каждого нового потока будет производиться случайнам образом.
Таблица 6-16. Действие DNAT
| Ключ | --to-destination |
| Пример | iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.1.1-192.168.1.10 |
| Описание | Ключ --to-destination указывает, какой IP адрес должен быть подставлен в качестве адреса места назначения. В выше приведенном примере во всех пакетах, пришедших на адрес 15.45.23.67, адрес назначения будет изменен на один из диапазона от 192.168.1.1 до 192.168.1.10. Как уже указывалось выше, все пакеты из одного потока будут направляться на один и тот же адрес, а для каждого нового потока будет выбираться один из адресов в указанном диапазоне случайным образом. Можно также определить единственный IP адрес. Можно дополнительно указать порт или диапазон портов, на который (которые) будет перенаправлен траффик. Для этого после ip адреса через двоеточие укажите порт, например --to-destination 192.168.1.1:80, а указание диапазона портов выглядит так: --to-destination 192.168.1.1:80-100. Как вы можете видеть, синтаксис действий DNAT и SNAT во многом схож. Не забывайте, что указание портов допускается только при работе с протоколом TCP или UDP, при наличии опции --protocol в критерии. |
Таблица 6-2. Команды
| Команда | -A, --append |
| Пример | iptables -A INPUT ... |
| Описание | Добавляет новое правило в конец заданной цепочки. |
| Команда | -D, --delete |
| Пример | iptables -D INPUT --dport 80 -j DROP, iptables -D INPUT 1 |
| Описание | Удаление правила из цепочки. Команда имеет два формата записи, первый -- когда задается критерий сравнения с опцией -D (см. первый пример), второй -- порядковый номер правила. Если задается критерий сравнения, то удаляется правило, которое имеет в себе этот критерий, если задается номер правила, то будет удалено правило с заданным номером. Счет правил в цепочках начинается с 1. |
| Команда | -R, --replace |
| Пример | iptables -R INPUT 1 -s 192.168.0.1 -j DROP |
| Описание | Эта команда заменяет одно правило другим. В основном она используется во время отладки новых правил. |
| Команда | -I, --insert |
| Пример | iptables -I INPUT 1 --dport 80 -j ACCEPT |
| Описание | Вставляет новое правило в цепочку. Число, следующее за именем цепочки указывает номер правила, перед которым нужно вставить новое правило, другими словами число задает номер для вставляемого правила. В примере выше, указывается, что данное правило должно быть 1-м в цепочке INPUT. |
| Команда | -L, --list |
| Пример | iptables -L INPUT |
| Описание | Вывод списка правил в заданной цепочке, в данном примере предполагается вывод правил из цепочки INPUT. Если имя цепочки не указывается, то выводится список правил для всех цепочек. Формат вывода зависит от наличия дополнительных ключей в команде, например -n, -v, и пр. |
| Команда | -F, --flush |
| Пример | iptables -F INPUT |
| Описание | Сброс (удаление) всех правил из заданной цепочки (таблицы). Если имя цепочки и таблицы не указывается, то удаляются все правила, во всех цепочках. (Хочется от себя добавить, что если не указана таблица ключом -t (--table), то очистка цепочек производится только в таблице filter, прим. перев. ) |
| Команда | -Z, --zero |
| Пример | iptables -Z INPUT |
| Описание | Обнуление всех счетчиков в заданной цепочке. Если имя цепочки не указывается, то подразумеваются все цепочки. При использовании ключа -v совместно с командой -L, на вывод будут поданы и состояния счетчиков пакетов, попавших под действие каждого правила. Допускается совместное использование команд -L и -Z. В этом случае будет выдан сначала список правил со счетчиками, а затем произойдет обнуление счетчиков. |
| Команда | -N, --new-chain |
| Пример | iptables -N allowed |
| Описание | Создается новая цепочка с заданным именем в заданной таблице В выше приведенном примере создается новая цепочка с именем allowed. Имя цепочки должно быть уникальным и не должно совпадать с зарезервированными именами цепочек и действий (такими как DROP, REJECT и т.п.) |
| Команда | -X, --delete-chain |
| Пример | iptables -X allowed |
| Описание | Удаление заданной цепочки из заданной таблицы. Удаляемая цепочка не должна иметь правил и не должно быть ссылок из других цепочек на удаляемую цепочку. Если имя цепочки не указано, то будут удалены все цепочки заданной таблице кроме встроенных. |
| Команда | -P, --policy |
| Пример | iptables -P INPUT DROP |
| Описание | Задает политику по-умолчанию для заданной цепочки. Политика по-умолчанию определяет действие, применяемое к пакетам не попавшим под действие ни одного из правил в цепочке. В качестве политики по умолчанию допускается использовать DROP и ACCEPT. |
| Команда | -E, --rename-chain |
| Пример | iptables -E allowed disallowed |
| Описание | Команда -E выполняет переименование пользовательской цепочки. В примере цепочка allowed будет переименована в цепочку disallowed. Эти переименования не изменяют порядок работы, а носят только косметический характер. |
Таблица 6-4. Общие критерии
| Критерий | -p, --protocol |
| Пример | iptables -A INPUT -p tcp |
| Описание | Этот критерий используется для указания типа протокола. Примерами протоколов могут быть TCP, UDP и ICMP. Список протоколов можно посмотреть в файле /etc/protocols. Прежде всего, в качестве имени протокола в данный критерий можно передавать один из трех вышеупомянутых протоколов, а также ключевое слово ALL. В качестве протокола допускается передавать число - номер протокола, так например, протоколу ICMP соответствует число 1, TCP -- 6 и UDP -- 17. Соответствия между номерами протоколов и их именами вы можете посмотреть в файле /etc/protocols, который уже упоминался. Критерию может передаваться и список протоколов, разделенных запятыми, например так: udp,tcp (Хотя автор и указывает на возможность передачи списка протоколов, тем не менее вам врят ли удастся это сделать! Кстати, man iptables явно оговаривает, что в данном критерии может быть указан только один протокол. Может быть это расширение имеется в patch-o-matic? прим. перев.) Если данному критерию передается числовое значение 0, то это эквивалентно использованию спецификатора ALL, который подразумевается по умолчанию, когда критерий --protocol не используется. Для логической инверсии критерия, перед именем протокола (списком протоколов) используется символ !, например --protocol ! tcp подразумевает пакеты протоколов, UDP и ICMP. |
| Критерий | -s, --src, --source |
| Пример | iptables -A INPUT -s 192.168.1.1 |
| Описание | IP-адрес(а) источника пакета. Адрес источника может указываться так, как показано в примере, тогда подразумевается единственный IP-адрес. А можно указать адрес в виде address/mask, например как 192.168.0.0/255.255.255.0, или более современным способом 192.168.0.0/24, т.е. фактически определяя диапазон адресов Как и ранее, символ !, установленный перед адресом, означает логическое отрицание, т.е. --source ! 192.168.0.0/24 означает любой адрес кроме адресов 192.168.0.x. |
| Критерий | -d, --dst, --destination |
| Пример | iptables -A INPUT -d 192.168.1.1 |
| Описание | IP-адрес(а) получателя. Имеет синтаксис схожий с критерием --source, за исключением того, что подразумевает адрес места назначения. Точно так же может определять как единственный IP-адрес, так и диапазон адресов. Символ ! используется для логической инверсии критерия. |
| Критерий | -i, --in-interface |
| Пример | iptables -A INPUT -i eth0 |
| Описание | Интерфейс, с которого был получен пакет. Использование этого критерия допускается только в цепочках INPUT, FORWARD и PREROUTING, в любых других случаях будет вызывать сообщение об ошибке. При отсутствии этого критерия предполагается любой интерфейс, что равносильно использованию критерия -i +. Как и прежде, символ ! инвертирует результат совпадения. Если имя интерфейса завершается символом +, то критерий задает все интерфейсы, начинающиеся с заданной строки, например -i PPP+ обозначает любой PPP интерфейс, а запись -i ! eth+ -- любой интерфейс, кроме любого eth. |
| Критерий | -o, --out-interface |
| Пример | iptables -A FORWARD -o eth0 |
| Описание | Задает имя выходного интерфейса. Этот критерий допускается использовать только в цепочках OUTPUT, FORWARD и POSTROUTING, в противном случае будет генерироваться сообщение об ошибке. При отсутствии этого критерия предполагается любой интерфейс, что равносильно использованию критерия -o +. Как и прежде, символ ! инвертирует результат совпадения. Если имя интерфейса завершается символом +, то критерий задает все интерфейсы, начинающиеся с заданной строки, например -o eth+ обозначает любой eth интерфейс, а запись -o ! eth+ - любой интерфейс, кроме любого eth. |
| Критерий | -f, --fragment |
| Пример | iptables -A INPUT -f |
| Описание | Правило распространяется на все фрагменты фрагментированного пакета, кроме первого, сделано это потому, что нет возможности определить исходящий/входящий порт для фрагмента пакета, а для ICMP-пакетов определить их тип. С помощью фрагментированных пакетов могут производиться атаки на ваш брандмауэр, так как фрагменты пакетов могут не отлавливаться другими правилами. Как и раньше, допускается использования символа ! для инверсии результата сравнения. только в данном случае символ ! должен предшествовать критерию -f, например ! -f. Инверсия критерия трактуется как "все первые фрагменты фрагментированных пакетов и/или нефрагментированные пакеты, но не вторые и последующие фрагменты фрагментированных пакетов". |
Таблица 6-5. TCP критерии
| Критерий | --sport, --source-port |
| Пример | iptables -A INPUT -p tcp --sport 22 |
| Описание | Исходный порт, с которого был отправлен пакет. В качестве параметра может указываться номер порта или название сетевой службы. Соответствие имен сервисов и номеров портов вы сможете найти в файле /etc/services. При указании номеров портов правила отрабатывают несколько быстрее. однако это менее удобно при разборе листингов скриптов. Если же вы собираетесь создавать значительные по объему наборы правил, скажем порядка нескольких сотен и более, то тут предпочтительнее использовать номера портов. Номера портов могут задаваться в виде интервала из минимального и максимального номеров, например --source-port 22:80. Если опускается минимальный порт, т.е. когда критерий записывается как --source-port :80, то в качестве начала диапазона принимается число 0. Если опускается максимальный порт, т.е. когда критерий записывается как --source-port 22:, то в качестве конца диапазона принимается число 65535. Допускается такая запись --source-port 80:22, в этом случае iptables поменяет числа 22 и 80 местами, т.е. подобного рода запись будет преобразована в --source-port 22:80. Как и раньше, символ ! используется для инверсии. Так критерий --source-port ! 22 подразумевает любой порт, кроме 22. Инверсия может применяться и к диапазону портов, например --source-port ! 22:80. За дополнительной информацией обращайтесь к описанию критерия multiport. |
| Критерий | --dport, --destination-port |
| Пример | iptables -A INPUT -p tcp --dport 22 |
| Описание | Порт или диапазон портов, на который адресован пакет. Аргументы задаются в том же формате, что и для --source-port. |
| Критерий | --tcp-flags |
| Пример | iptables -p tcp --tcp-flags SYN,FIN,ACK SYN |
| Описание | Определяет маску и флаги tcp-пакета. Пакет считается удовлетворяющим критерию, если из перечисленных флагов в первом списке в единичное состояние установлены флаги из второго списка. Так для вышеуказанного примера под критерий подпадают пакеты у которых флаг SYN установлен, а флаги FIN и ACK сброшены. В качестве аргументов критерия могут выступать флаги SYN, ACK, FIN, RST, URG, PSH, а так же зарезервированные идентификаторы ALL и NONE. ALL -- значит ВСЕ флаги и NONE - НИ ОДИН флаг. Так, критерий --tcp-flags ALL NONE означает -- "все флаги в пакете должны быть сброшены". Как и ранее, символ ! означает инверсию критерия Важно: имена флагов в каждом списке должны разделяться запятыми, пробелы служат для разделения списков. |
| Критерий | --syn |
| Пример | iptables -p tcp --syn |
| Описание | Критерий --syn является по сути реликтом, перекочевавшим из ipchains. Критерию соответствуют пакеты с установленным флагом SYN и сброшенными флагами ACK и FIN. Этот критерий аналогичен критерию --tcp-flags SYN,ACK,FIN SYN. Такие пакеты используются для открытия соединения TCP. Заблокировав такие пакеты, вы надежно заблокируете все входящие запросы на соединение, однако этот критерий не способен заблокировать исходящие запросы на соединение. Как и ранее, допускается инвертирование критерия символом !. Так критерий ! --syn означает -- "все пакеты, не являющиеся запросом на соединение", т.е. все пакеты с установленными флагами FIN или ACK. |
| Критерий | --tcp-option |
| Пример | iptables -p tcp --tcp-option 16 |
| Описание | Удовлетворяющим условию данного критерия будет будет считаться пакет, TCP параметр которого равен заданному числу. TCP Option - это часть заголовка пакета. Она состоит из 3 различных полей. Первое 8-ми битовое поле содержит информацию об опциях, используемых в данном соединении. Второе 8-ми битовое поле содержит длину поля опций. Если следовать стандартам до конца, то следовало бы реализовать обработку всех возможных вариантов, однако, вместо этого мы можем проверить первое поле и в случае, если там указана неподдерживаемая нашим брандмауэром опция, то просто перешагнуть через третье поле (длина которого содержится во втором поле). Пакет, который не будет иметь полного TCP заголовка, будет сброшен автоматически при попытке изучения его TCP параметра. Как и ранее, допускается использование флага инверсии условия !. Дополнительную информацию по TCP Options вы сможете найти на Internet Engineering Task Force |
Таблица 6-6. UDP критерии
| Критерий | --sport, --source-port |
| Пример | iptables -A INPUT -p udp --sport 53 |
| Описание | Исходный порт, с которого был отправлен пакет. В качестве параметра может указываться номер порта или название сетевой службы. Соответствие имен сервисов и номеров портов вы сможете найти в файле other/services.txt. При указании номеров портов правила отрабатывают несколько быстрее. однако это менее удобно при разборе листингов скриптов. Если же вы собираетесь создавать значительные по объему наборы правил, скажем порядка нескольких сотен и более, то тут предпочтительнее использовать номера портов. Номера портов могут задаваться в виде интервала из минимального и максимального номеров, например -source-port 22:80. Если опускается минимальный порт, т.е. когда критерий записывается как --source-port :80, то в качестве начала диапазона принимается число 0. Если опускается максимальный порт, т.е. когда критерий записывается как --source-port 22: , то в качестве конца диапазона принимается число 65535. Допускается такая запись --source-port 80:22 , в этом случае iptables поменяет числа 22 и 80 местами, т.е. подобного рода запись будет преобразована в --source-port 22:80 . Как и раньше, символ ! используется для инверсии. Так критерий --source-port ! 22 подразумевает любой порт, кроме 22. Инверсия может применяться и к диапазону портов, например --source-port ! 22:80. |
| Критерий | --dport, --destination-port |
| Пример | iptables -A INPUT -p udp --dport 53 |
| Описание | Порт, на который адресован пакет. Формат аргументов полностью аналогичен принятому в критерии --source-port. |
Таблица 6-11. Ключи критерия Multiport
| Ключ | --source-port |
| Пример | iptables -A INPUT -p tcp -m multiport --source-port 22,53,80,110 |
| Описание | Служит для указания списка исходящих портов. С помощью данного критерия можно указать до 15 различных портов. Названия портов в списке должны отделяться друг от друга запятыми, пробелы в списке не допустимы. Данное расширение может использоваться только совместно с критериями -p tcp или -p udp. Главным образом используется как расширенная версия обычного критерия --source-port. |
| Ключ | --destination-port |
| Пример | iptables -A INPUT -p tcp -m multiport --destination-port 22,53,80,110 |
| Описание | Служит для указания списка входных портов. Формат задания аргументов полностью аналогичен -m multiport --source-port. |
| Ключ | --port |
| Пример | iptables -A INPUT -p tcp -m multiport --port 22,53,80,110 |
| Описание | Данный критерий проверяет как исходящий так и входящий порт пакета. Формат аргументов аналогичен критерию --source-port и --destination-port. Обратите внимание на то что данный критерий проверяет порты обеих направлений, т.е. если вы пишете -m multiport --port 80, то под данный критерий подпадают пакеты, идущие с порта 80 на порт 80. |
Таблица 6-13. Ключи критерия State
| Ключ | --state |
| Пример | iptables -A INPUT -m state --state RELATED,ESTABLISHED |
| Описание | Критерий state используется совместно с кодом трассировки соединений и позволяет нам получать информацию о признаке состояния соединения, что позволяет судить о состоянии соединения. Проверяется признак состояния соединения (state) На сегодняшний день можно указывать 4 состояния: INVALID, ESTABLISHED, NEW и RELATED. INVALID подразумевает, что пакет связан с неизвестным потоком или соединением и, возможно содержит ошибку в данных или в заголовке. Состояние ESTABLISHED указывает на то, что пакет принадлежит уже установленному соединению через которое пакеты идут в обеих направлениях. Признак NEW подразумевает, что пакет открывает новое соединение или пакет принадлежит однонаправленному потоку. И наконец, признак RELATED указывает на то что пакет принадлежит уже существующему соединению, но при этом он открывает новое соединение. |
Если необходимо запустить сервис iptables на уровнях 2, 3 и 5. Об этих уровнях мы знаем:
- 2. Многопользовательский режим без сети
- 3. Полнофункциональный многопользовательский режим.
- 5. X11. Уровень с GUI (уровень используется для автоматической загрузки Xwindows)
chkconfig --level 235 iptables on
https://www.opennet.ru/docs/RUS/iptables/
http://www.8host.com/blog/bazovye-konfiguracii-iptables-na-centos-6/
Comments
Post a Comment