25 ກົດລະບຽບ Firewall IPtable ທີ່ມີປະໂຫຍດທຸກໆຜູ້ບໍລິຫານ Linux ຄວນຮູ້

ຕັ້ງຄ່າ firewall ໃນແບບທີ່ມັນຈະຕອບສະ ໜອງ ກັບຄວາມຕ້ອງການຂອງລະບົບແລະຜູ້ໃຊ້ ສຳ ລັບການເຊື່ອມຕໍ່ຂາເຂົ້າແລະຂາອອກ, ໂດຍບໍ່ຕ້ອງເຮັດໃຫ້ລະບົບມີຄວາມສ່ຽງທີ່ຈະຖືກໂຈມຕີ.

ນີ້ແມ່ນບ່ອນທີ່ iptables ເຂົ້າມາໃຊ້ໄດ້ງ່າຍ. Iptables ແມ່ນລະບົບປ້ອງກັນເສັ້ນ ຄຳ ສັ່ງ Linux ເຊິ່ງຊ່ວຍໃຫ້ຜູ້ບໍລິຫານລະບົບສາມາດຈັດການການເຂົ້າຊົມແລະເຂົ້າ - ອອກໂດຍຜ່ານກົດລະບຽບຕາຕະລາງທີ່ສາມາດຕັ້ງໄດ້.

Iptables ໃຊ້ຊຸດຂອງຕາຕະລາງທີ່ມີຕ່ອງໂສ້ທີ່ປະກອບດ້ວຍຊຸດຂອງລະບຽບການທີ່ສ້າງຂຶ້ນຫລືຜູ້ ນຳ ໃຊ້. ຂໍຂອບໃຈພວກເຂົາທີ່ຜູ້ເບິ່ງແຍງລະບົບສາມາດກັ່ນຕອງການເຂົ້າຊົມເຄືອຂ່າຍຂອງລະບົບຂອງລາວຢ່າງຖືກຕ້ອງ.

ໃນຄູ່ມື iptables, ປະຈຸບັນມີ 3 ຕາຕະລາງ:

< <

<

<

ໃນບົດຂຽນນີ້, ທ່ານຈະເຫັນ ຄຳ ສັ່ງທີ່ມີປະໂຫຍດບາງຢ່າງເຊິ່ງຈະຊ່ວຍທ່ານໃນການຈັດການ firewall ກ່ອງ Linux ຂອງທ່ານຜ່ານ iptables. ສຳ ລັບຈຸດປະສົງຂອງບົດຂຽນນີ້, ຂ້ອຍຈະເລີ່ມຕົ້ນດ້ວຍ ຄຳ ສັ່ງທີ່ລຽບງ່າຍແລະໄປສູ່ສະລັບສັບຊ້ອນຈົນເຖິງທີ່ສຸດ.

1. ເລີ່ມຕົ້ນ/ຢຸດ/Restart Iptables Firewall

ຫນ້າທໍາອິດ, ທ່ານຄວນຮູ້ວິທີການຈັດການບໍລິການ iptables ໃນການແຈກແຈງ Linux ທີ່ແຕກຕ່າງກັນ. ນີ້ແມ່ນງ່າຍດາຍ:

------------ On Cent/RHEL 7 and Fedora 22+ ------------
# systemctl start iptables
# systemctl stop iptables
# systemctl restart iptables

------------ On Cent/RHEL 6/5 and Fedora ------------
# /etc/init.d/iptables start 
# /etc/init.d/iptables stop
# /etc/init.d/iptables restart

2. ກວດກາທຸກລະບຽບຂອງ Firewall IPtables

ຖ້າທ່ານຕ້ອງການກວດເບິ່ງກົດລະບຽບທີ່ມີຢູ່ຂອງທ່ານ, ໃຫ້ໃຊ້ ຄຳ ສັ່ງຕໍ່ໄປນີ້:

# iptables -L -n -v

ນີ້ຄວນກັບຄືນຜົນຜະລິດທີ່ຄ້າຍຄືກັບຜົນໄດ້ຮັບຂ້າງລຸ່ມນີ້:

Chain INPUT (policy ACCEPT 1129K packets, 415M bytes)
 pkts bytes target prot opt in out source destination 
 0 0 ACCEPT tcp -- lxcbr0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
 0 0 ACCEPT udp -- lxcbr0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
 0 0 ACCEPT tcp -- lxcbr0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:67
 0 0 ACCEPT udp -- lxcbr0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:67

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target prot opt in out source destination 
 0 0 ACCEPT all -- * lxcbr0 0.0.0.0/0 0.0.0.0/0 
 0 0 ACCEPT all -- lxcbr0 * 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 354K packets, 185M bytes)
 pkts bytes target prot opt in out source destination

ຖ້າທ່ານຕ້ອງການກວດເບິ່ງກົດລະບຽບ ສຳ ລັບຕາຕະລາງສະເພາະ, ທ່ານສາມາດໃຊ້ຕົວເລືອກ -t ຕາມດ້ວຍຕາຕະລາງທີ່ທ່ານຕ້ອງການກວດສອບ. ຕົວຢ່າງ, ເພື່ອກວດເບິ່ງກົດລະບຽບໃນຕາຕະລາງ NAT , ທ່ານສາມາດໃຊ້:

# iptables -t nat -L -v -n

3. ບລັອກທີ່ຢູ່ IP ສະເພາະໃນ IPtables Firewall

ຖ້າທ່ານພົບເຫັນກິດຈະ ກຳ ທີ່ຜິດປົກກະຕິຫຼື ໜ້າ ລັງກຽດຈາກທີ່ຢູ່ IP ທ່ານສາມາດບລັອກທີ່ຢູ່ IP ນັ້ນດ້ວຍກົດລະບຽບຕໍ່ໄປນີ້:

# iptables -A INPUT -s xxx.xxx.xxx.xxx -j DROP

ບ່ອນທີ່ທ່ານຕ້ອງການປ່ຽນແປງ "xxx.xxx.xxx.xxx" ກັບທີ່ຢູ່ IP ຂອງແທ້. ຈົ່ງລະມັດລະວັງຫຼາຍໃນເວລາທີ່ດໍາເນີນການຄໍາສັ່ງນີ້ເພາະວ່າທ່ານສາມາດບລັອກທີ່ຢູ່ IP ຂອງທ່ານເອງໂດຍບັງເອີນ. ຕົວເລືອກ -A ເພີ່ມເຕີມກົດລະບຽບໃນຕອນທ້າຍຂອງລະບົບຕ່ອງໂສ້ທີ່ເລືອກ.

ໃນກໍລະນີທີ່ທ່ານຕ້ອງການສະກັດການເຂົ້າຊົມ TCP ຈາກທີ່ຢູ່ IP ນັ້ນ, ທ່ານສາມາດໃຊ້ຕົວເລືອກ -p ທີ່ລະບຸໂປໂຕຄອນ. ວິທີນັ້ນ ຄຳ ສັ່ງຈະມີລັກສະນະດັ່ງນີ້:

# iptables -A INPUT -p tcp -s xxx.xxx.xxx.xxx -j DROP

4. ຍົກເລີກທີ່ຢູ່ IP ໃນ IPtables Firewall

ຖ້າທ່ານໄດ້ຕັດສິນໃຈວ່າທ່ານບໍ່ຕ້ອງການທີ່ຈະສະກັດກັ້ນການຮ້ອງຂໍຈາກທີ່ຢູ່ IP ສະເພາະ, ທ່ານສາມາດລຶບກົດລະບຽບການປິດກັ້ນດ້ວຍ ຄຳ ສັ່ງດັ່ງຕໍ່ໄປນີ້:

# iptables -D INPUT -s xxx.xxx.xxx.xxx -j DROP

ຕົວເລືອກ -D ລຶບ ໜຶ່ງ ຫຼືຫຼາຍກົດຈາກລະບົບຕ່ອງໂສ້ທີ່ເລືອກ. ຖ້າທ່ານຕ້ອງການໃຊ້ຕົວເລືອກທີ່ຍາວກວ່າທ່ານກໍ່ສາມາດໃຊ້ - ຍົກເລີກ .

5. ຕັນ Port Port ສະເພາະໃນ IPtables Firewall

ບາງຄັ້ງທ່ານອາດຈະຕ້ອງການທີ່ຈະກີດຂວາງການເຊື່ອມຕໍ່ຂາເຂົ້າຫຼືຂາອອກໃນພອດສະເພາະ. ມັນເປັນມາດຕະການຄວາມປອດໄພທີ່ດີແລະທ່ານຄວນຈະຄິດກ່ຽວກັບເລື່ອງນັ້ນແທ້ໆໃນເວລາທີ່ຕັ້ງ Firewall ຂອງທ່ານ.

ເພື່ອສະກັດການເຊື່ອມຕໍ່ຂາອອກໃນການ ນຳ ໃຊ້ພອດສະເພາະ:

# iptables -A OUTPUT -p tcp --dport xxx -j DROP

ເພື່ອອະນຸຍາດໃຫ້ມີການເຊື່ອມຕໍ່ຂາເຂົ້າ:

# iptables -A INPUT -p tcp --dport xxx -j ACCEPT

ໃນທັງສອງຕົວຢ່າງການປ່ຽນແປງ "xxx" ກັບພອດຈິງທີ່ທ່ານຕ້ອງການອະນຸຍາດ. ຖ້າທ່ານຕ້ອງການສະກັດການຈາລະຈອນຂອງ UDP ແທນ TCP, ພຽງແຕ່ປ່ຽນ "tcp" ກັບ "udp" ໃນກົດ iptables ຂ້າງເທິງ.

6. ອະນຸຍາດໃຫ້ມີ Port ຫຼາຍໃນ IPtables ໂດຍໃຊ້ Multiport

ທ່ານສາມາດອະນຸຍາດໃຫ້ມີຫລາຍໆພອດໃນເວລາດຽວກັນ, ໂດຍການ ນຳ ໃຊ້ multiport, ດ້ານລຸ່ມທ່ານສາມາດຊອກຫາກົດດັ່ງກ່າວ ສຳ ລັບທັງເຊື່ອມຕໍ່ຂາເຂົ້າແລະຂາອອກ:

# iptables -A INPUT  -p tcp -m multiport --dports 22,80,443 -j ACCEPT
# iptables -A OUTPUT -p tcp -m multiport --sports 22,80,443 -j ACCEPT

7. ອະນຸຍາດຂອບເຂດເຄືອຂ່າຍສະເພາະໃນ Port ໂດຍສະເພາະໃນ IPtables

ທ່ານອາດຈະຕ້ອງການ ຈຳ ກັດການເຊື່ອມຕໍ່ທີ່ແນ່ນອນໃນພອດສະເພາະກັບເຄືອຂ່າຍທີ່ໃຫ້. ໃຫ້ເວົ້າວ່າທ່ານຕ້ອງການທີ່ຈະອະນຸຍາດໃຫ້ເຊື່ອມຕໍ່ຂາອອກໃນພອດ 22 ກັບເຄືອຂ່າຍ 192.168.100.0/24 .

ທ່ານສາມາດເຮັດໄດ້ດ້ວຍ ຄຳ ສັ່ງນີ້:

# iptables -A OUTPUT -p tcp -d 192.168.100.0/24 --dport 22 -j ACCEPT

8. ປິດ Facebook ໃນ IPtables Firewall

ນາຍຈ້າງບາງຄົນມັກສະກັດກັ້ນການເຂົ້າເຖິງ Facebook ກັບລູກຈ້າງຂອງພວກເຂົາ. ຂ້າງລຸ່ມນີ້ແມ່ນຕົວຢ່າງທີ່ຈະກີດຂວາງການຈະລາຈອນຂອງເຟສບຸກ.

ໝາຍ ເຫດ: ຖ້າທ່ານເປັນຜູ້ບໍລິຫານລະບົບແລະຕ້ອງການ ນຳ ໃຊ້ກົດລະບຽບເຫຼົ່ານີ້, ຈົ່ງຈື່ໄວ້ວ່າເພື່ອນຮ່ວມງານຂອງທ່ານອາດຈະຢຸດເວົ້າກັບທ່ານ :)

ຊອກຫາທີ່ຢູ່ IP ທີ່ໃຊ້ໂດຍ Facebook:

# host facebook.com 
facebook.com has address 66.220.156.68

# whois 66.220.156.68 | grep CIDR
CIDR: 66.220.144.0/20

ຈາກນັ້ນທ່ານສາມາດສະກັດເຄືອຂ່າຍ Facebook ນັ້ນດ້ວຍ:

# iptables -A OUTPUT -p tcp -d 66.220.144.0/20 -j DROP

ຈົ່ງຈື່ໄວ້ວ່າລະດັບທີ່ຢູ່ IP ທີ່ໃຊ້ໂດຍເຟສບຸກອາດຈະແຕກຕ່າງກັນໃນປະເທດຂອງທ່ານ.

9. ຕັ້ງຄ່າ Port Forwarding ໃນ IPtables

ບາງຄັ້ງທ່ານອາດຈະຕ້ອງການສົ່ງຕໍ່ການຈາລະຈອນຂອງບໍລິການ ໜຶ່ງ ໄປທີ່ທ່າເຮືອອື່ນ. ທ່ານສາມາດປະສົບຜົນ ສຳ ເລັດໄດ້ດ້ວຍ ຄຳ ສັ່ງດັ່ງຕໍ່ໄປນີ້:

# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 25 -j REDIRECT --to-port 2525

ຄຳ ສັ່ງຂ້າງເທິງນີ້ສົ່ງຕໍ່ທຸກໆການເຂົ້າຊົມໃນເຄືອຂ່າຍອິນເຕີເນັດ eth0 , ຕັ້ງແຕ່ພອດ 25 ໄປທີ່ port 2525 . ທ່ານອາດຈະປ່ຽນທ່າເຮືອທີ່ທ່ານຕ້ອງການ.

10. Block Network ຖ້ວມເທິງ Apache Port ດ້ວຍ IPtables

ບາງຄັ້ງທີ່ຢູ່ IP ອາດຈະຮ້ອງຂໍການເຊື່ອມຕໍ່ຫລາຍເກີນໄປຕໍ່ພອດເວັບຕ່າງໆໃນເວັບໄຊທ໌ຂອງທ່ານ. ນີ້ສາມາດເຮັດໃຫ້ເກີດບັນຫາແລະເພື່ອປ້ອງກັນບັນຫາດັ່ງກ່າວ, ທ່ານສາມາດໃຊ້ກົດລະບຽບດັ່ງຕໍ່ໄປນີ້:

# iptables -A INPUT -p tcp --dport 80 -m limit --limit 100/minute --limit-burst 200 -j ACCEPT

ຄຳ ສັ່ງຂ້າງເທິງ ຈຳ ກັດການເຊື່ອມຕໍ່ຂາເຂົ້າຈາກ 1 ນາທີເຖິງ 100 ແລະ ກຳ ນົດຂອບເຂດ ຈຳ ກັດໃຫ້ 200 200 . ທ່ານສາມາດແກ້ໄຂຂໍ້ ຈຳ ກັດແລະຂອບເຂດ ຈຳ ກັດຕໍ່ຂໍ້ ກຳ ນົດສະເພາະຂອງທ່ານເອງ.

11. ຂັດຂວາງຄວາມຕ້ອງການຂອງ Ping ທີ່ເຂົ້າມາໃນ IPtables

ຜູ້ເບິ່ງແຍງລະບົບບາງຄົນມັກສະກັດກັ້ນການຮ້ອງຂໍປິງປິງເຂົ້າມາຍ້ອນຄວາມກັງວົນດ້ານຄວາມປອດໄພ. ໃນຂະນະທີ່ໄພຂົ່ມຂູ່ບໍ່ໃຫຍ່, ມັນເປັນການດີທີ່ຈະຮູ້ວິທີການສະກັດກັ້ນການຮ້ອງຂໍດັ່ງກ່າວ:

# iptables -A INPUT -p icmp -i eth0 -j DROP

12. ອະນຸຍາດໃຫ້ເຂົ້າໃຊ້ loopback

ການເຂົ້າເຖິງ Loopback (ການເຂົ້າເຖິງຈາກ 127.0.0.1 ) ແມ່ນ ສຳ ຄັນແລະທ່ານຄວນປ່ອຍໃຫ້ມັນເຄື່ອນໄຫວຢູ່ສະ ເໝີ:

# iptables -A INPUT -i lo -j ACCEPT
# iptables -A OUTPUT -o lo -j ACCEPT

13. ເກັບຮັກສາຊຸດຂອງຊຸດເຄືອຂ່າຍທີ່ຖືກລຸດລົງໃນ IPtables

ຖ້າທ່ານຕ້ອງການບັນຈຸຊຸດທີ່ຖືກຫຼຸດລົງໃນອິນເຕີເນັດເຄືອຂ່າຍ eth0 , ທ່ານສາມາດໃຊ້ ຄຳ ສັ່ງຕໍ່ໄປນີ້:

# iptables -A INPUT -i eth0 -j LOG --log-prefix "IPtables dropped packets:"

ທ່ານສາມາດປ່ຽນຄ່າຫຼັງຈາກທີ່ "--log-prefix" ມີບາງຢ່າງໂດຍທາງເລືອກຂອງທ່ານ. ຂໍ້ຄວາມເຫຼົ່ານີ້ຖືກເຂົ້າສູ່ລະບົບ /var/log/messages ແລະທ່ານສາມາດຄົ້ນຫາພວກມັນດ້ວຍ:

# grep "IPtables dropped packets:" /var/log/messages

14. ຂັດຂວາງການເຂົ້າເຖິງທີ່ຢູ່ MAC ທີ່ສະເພາະໃນ IPtables

ທ່ານສາມາດສະກັດກັ້ນການເຂົ້າເຖິງລະບົບຂອງທ່ານຈາກທີ່ຢູ່ MAC ສະເພາະໂດຍໃຊ້:

# iptables -A INPUT -m mac --mac-source 00:00:00:00:00:00 -j DROP

ແນ່ນອນ, ທ່ານ ຈຳ ເປັນຕ້ອງປ່ຽນ "00: 00: 00: 00: 00: 00" ກັບທີ່ຢູ່ MAC ຈິງທີ່ທ່ານຕ້ອງການບລັອກ.

15. ຈຳ ກັດ ຈຳ ນວນການເຊື່ອມຕໍ່ພ້ອມກັນຕໍ່ທີ່ຢູ່ IP

ຖ້າທ່ານບໍ່ຕ້ອງການໃຫ້ມີການເຊື່ອມຕໍ່ພ້ອມກັນຫຼາຍຄັ້ງຈາກທີ່ຢູ່ IP ດຽວໃນພອດທີ່ທ່ານມອບໃຫ້ທ່ານສາມາດໃຊ້ ຄຳ ສັ່ງຂ້າງລຸ່ມນີ້:

# iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 3 -j REJECT

ຄໍາສັ່ງຂ້າງເທິງອະນຸຍາດໃຫ້ບໍ່ເກີນ 3 ການເຊື່ອມຕໍ່ຕໍ່ລູກຄ້າ. ແນ່ນອນ, ທ່ານສາມາດປ່ຽນ ໝາຍ ເລກພອດໃຫ້ກົງກັບການບໍລິການທີ່ແຕກຕ່າງກັນ. ພ້ອມທັງລະຫັດທີ່ຢູ່ --connlimit-above ຄວນຖືກປ່ຽນເພື່ອໃຫ້ກົງກັບຄວາມຕ້ອງການຂອງທ່ານ.

ຄົ້ນຫາພາຍໃນກົດລະບຽບ IPtables

ເມື່ອທ່ານໄດ້ ກຳ ນົດກົດລະບຽບ iptables ຂອງທ່ານແລ້ວ, ທ່ານຈະຕ້ອງການຄົ້ນຫາເລື້ອຍໆແລະອາດຈະຕ້ອງປ່ຽນແປງມັນ. ວິທີງ່າຍໆໃນການຄົ້ນຫາພາຍໃນກົດລະບຽບຂອງທ່ານແມ່ນການໃຊ້:

# iptables -L $table -v -n | grep $string

ໃນຕົວຢ່າງຂ້າງເທິງ, ທ່ານ ຈຳ ເປັນຕ້ອງປ່ຽນ $ຕາຕະລາງ ກັບຕາຕະລາງຕົວຈິງທີ່ທ່ານຕ້ອງການຄົ້ນຫາແລະ $string ພ້ອມດ້ວຍສະຕິງຕົວຈິງທີ່ທ່ານ ກຳ ລັງຊອກຫາ.

ນີ້ແມ່ນຕົວຢ່າງ:

# iptables -L INPUT -v -n | grep 192.168.0.100

17. ກຳ ນົດຕ່ອງໂສ້ IPTables ໃໝ່

ດ້ວຍ iptables, ທ່ານສາມາດ ກຳ ນົດລະບົບຕ່ອງໂສ້ຂອງທ່ານເອງແລະເກັບຮັກສາກົດລະບຽບທີ່ ກຳ ນົດເອງຢູ່ໃນນັ້ນ. ເພື່ອ ກຳ ນົດລະບົບຕ່ອງໂສ້, ໃຫ້ໃຊ້:

# iptables -N custom-filter

ຕອນນີ້ທ່ານສາມາດກວດເບິ່ງວ່າຕົວກອງ ໃໝ່ ຂອງທ່ານຢູ່ບ່ອນໃດ:

# iptables -L

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain custom-filter (0 references)
target prot opt source destination

18. ລະບົບຕ່ອງໂສ້ຫລືກົດລະບຽບໄຟວຸໂສຂອງ IPtables

ຖ້າທ່ານຕ້ອງການຖູໂສ້ ກຳ ແພງຂອງທ່ານ, ທ່ານສາມາດໃຊ້:

# iptables -F

ທ່ານສາມາດຖີ້ມໂສ້ຈາກຕາຕະລາງສະເພາະດ້ວຍ:

# iptables -t nat -F

ທ່ານສາມາດປ່ຽນ "nat" ກັບຕາຕະລາງຕົວຈິງທີ່ທ່ານຕ້ອງການໂສ້.

19. ປະຫຍັດກົດລະບຽບ IPtables ໄວ້ໃນເອກະສານ

ຖ້າທ່ານຕ້ອງການປະຫຍັດກົດລະບຽບຂອງທ່ານຂອງໄຟວໍ, ທ່ານສາມາດໃຊ້ ຄຳ ສັ່ງ iptables-save . ທ່ານສາມາດໃຊ້ສິ່ງຕໍ່ໄປນີ້ເພື່ອບັນທຶກແລະເກັບຮັກສາກົດຂອງທ່ານໄວ້ໃນແຟ້ມ:

# iptables-save > ~/iptables.rules

ມັນຂຶ້ນກັບວ່າທ່ານຈະເກັບເອກະສານແລະວິທີທີ່ທ່ານຈະຕັ້ງຊື່ມັນ.

20. ຟື້ນຟູກົດລະບຽບ IPtables ຈາກແຟ້ມເອກະສານ

ຖ້າທ່ານຕ້ອງການຟື້ນຟູບັນຊີລາຍຊື່ຂອງກົດລະບຽບ iptables, ທ່ານສາມາດໃຊ້ລະຫັດ iptables-restore . ຄຳ ສັ່ງເບິ່ງຄືດັ່ງນີ້:

# iptables-restore < ~/iptables.rules

ແນ່ນອນເສັ້ນທາງໄປຫາເອກະສານກົດລະບຽບຂອງທ່ານອາດຈະແຕກຕ່າງກັນ.

21. ຕັ້ງກົດລະບຽບ IPtables ສຳ ລັບການປະຕິບັດຕາມ PCI

ຜູ້ບໍລິຫານລະບົບບາງຄົນອາດ ຈຳ ເປັນຕ້ອງ ກຳ ຫນົດເຄື່ອງແມ່ຂ່າຍຂອງພວກເຂົາໃຫ້ເປັນຄອມພິວເຕີ້ PCI. ມີຂໍ້ ກຳ ນົດຫຼາຍຢ່າງໂດຍຜູ້ ຈຳ ໜ່າຍ ປະຕິບັດຕາມ PCI ທີ່ແຕກຕ່າງກັນ, ແຕ່ວ່າມັນບໍ່ມີຫຼາຍເລື່ອງທົ່ວໄປ.

ໃນຫຼາຍໆກໍລະນີ, ທ່ານຈະຕ້ອງມີທີ່ຢູ່ IP ຫຼາຍກ່ວາ ໜຶ່ງ. ທ່ານຈະຕ້ອງໄດ້ ນຳ ໃຊ້ກົດລະບຽບຂ້າງລຸ່ມນີ້ ສຳ ລັບທີ່ຢູ່ IP ຂອງເວັບໄຊທ໌້. ຈົ່ງລະມັດລະວັງເປັນພິເສດເມື່ອ ນຳ ໃຊ້ກົດລະບຽບຂ້າງລຸ່ມນີ້ແລະ ນຳ ໃຊ້ພວກມັນຖ້າທ່ານແນ່ໃຈວ່າທ່ານ ກຳ ລັງເຮັດຢູ່:

# iptables -I INPUT -d SITE -p tcp -m multiport --dports 21,25,110,143,465,587,993,995 -j DROP

ຖ້າທ່ານໃຊ້ cPanel ຫຼືແຜງຄວບຄຸມທີ່ຄ້າຍຄືກັນ, ທ່ານກໍ່ ຈຳ ເປັນຕ້ອງປິດທ່າເຮືອຂອງມັນເຊັ່ນກັນ. ນີ້ແມ່ນຕົວຢ່າງ:

# iptables -I in_sg -d DEDI_IP -p tcp -m multiport --dports  2082,2083,2095,2096,2525,2086,2087 -j DROP

ໝາຍ ເຫດ: ເພື່ອໃຫ້ແນ່ໃຈວ່າທ່ານໄດ້ຮັບຂໍ້ ກຳ ນົດຂອງຜູ້ຂາຍ PCI ຂອງທ່ານ, ໃຫ້ກວດເບິ່ງບົດລາຍງານຂອງພວກເຂົາຢ່າງລະມັດລະວັງແລະ ນຳ ໃຊ້ກົດລະບຽບທີ່ ກຳ ນົດໄວ້. ໃນບາງກໍລະນີທ່ານອາດຈະ ຈຳ ເປັນຕ້ອງກີດຂວາງການເຂົ້າຊົມຂອງ UDP ຢູ່ໃນທ່າເຮືອບາງບ່ອນເຊັ່ນກັນ.

22. ອະນຸຍາດໃຫ້ສ້າງຕັ້ງແລະເຊື່ອມຕໍ່ທີ່ກ່ຽວຂ້ອງ

ຍ້ອນວ່າການຈະລາຈອນຂອງເຄືອຂ່າຍແມ່ນແຍກຕ່າງຫາກໃນການເຂົ້າ - ຂາອອກ, ທ່ານຈະຕ້ອງການທີ່ຈະອະນຸຍາດໃຫ້ມີການຈະລາຈອນເຂົ້າມາທີ່ກ່ຽວຂ້ອງ. ສຳ ລັບການເຊື່ອມຕໍ່ຂາເຂົ້າມາເຮັດກັບ:

# iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

ສຳ ລັບການ ນຳ ໃຊ້ລາຍຈ່າຍ:

# iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT

23. ຖີ້ມແພັກເກັດທີ່ບໍ່ຖືກຕ້ອງໃນ IPtables

ມັນເປັນໄປໄດ້ທີ່ຈະມີຊຸດເຄືອຂ່າຍບາງອັນທີ່ຖືກ ໝາຍ ວ່າບໍ່ຖືກຕ້ອງ. ບາງຄົນອາດຈະມັກທີ່ຈະລົງບັນຈຸແພັກເກັດເຫຼົ່ານັ້ນ, ແຕ່ບາງຄົນກໍ່ມັກທີ່ຈະລຸດລົງ. ເພື່ອລຸດລົງແພັກເກັດທີ່ບໍ່ຖືກຕ້ອງ, ທ່ານສາມາດໃຊ້:

# iptables -A INPUT -m conntrack --ctstate INVALID -j DROP 

24. ບລັອກການເຊື່ອມຕໍ່ໃນເຄືອຂ່າຍອິນເຕີເຟດ

ບາງລະບົບອາດຈະມີຫຼາຍກວ່າ ໜຶ່ງ ອິນເຕີເຟດເຄືອຂ່າຍ. ທ່ານສາມາດ ຈຳ ກັດການເຂົ້າເຖິງອິນເຕີເຟດເຄືອຂ່າຍນັ້ນຫຼືຕັນການເຊື່ອມຕໍ່ຈາກທີ່ຢູ່ IP ທີ່ແນ່ນອນ.

ຍົກຕົວຢ່າງ:

# iptables -A INPUT -i eth0 -s xxx.xxx.xxx.xxx -j DROP

ປ່ຽນ“ xxx.xxx.xxx.xxx” ພ້ອມກັບທີ່ຢູ່ IP (ຫລືເຄືອຂ່າຍ) ທີ່ທ່ານຕ້ອງການປິດກັ້ນ.

25. ປິດການໃຊ້ງານທາງຈົດ ໝາຍ ທາງຜ່ານ IPTables

ຖ້າລະບົບຂອງທ່ານບໍ່ຄວນສົ່ງອີເມວໃດໆ, ທ່ານສາມາດບລັອກບັນດາທ່າອອກທີ່ຢູ່ໃນພອດ SMTP. ຕົວຢ່າງທ່ານສາມາດໃຊ້ສິ່ງນີ້:

# iptables -A OUTPUT -p tcp --dports 25,465,587 -j REJECT

ສະຫຼຸບ

Iptables ແມ່ນ Firewall ທີ່ມີປະສິດທິພາບທີ່ທ່ານສາມາດໄດ້ຮັບຜົນປະໂຫຍດຈາກທ່ານ. ມັນເປັນສິ່ງ ສຳ ຄັນ ສຳ ລັບຜູ້ບໍລິຫານລະບົບທຸກໆຄົນທີ່ຕ້ອງຮຽນຮູ້ຢ່າງ ໜ້ອຍ ພື້ນຖານຂອງ iptables. ຖ້າທ່ານຕ້ອງການຊອກຫາຂໍ້ມູນລາຍລະອຽດເພີ່ມເຕີມກ່ຽວກັບ iptables ແລະທາງເລືອກຂອງມັນມັນຂໍແນະ ນຳ ໃຫ້ອ່ານຄູ່ມືນີ້:

# man iptables

ຖ້າທ່ານຄິດວ່າພວກເຮົາຄວນເພີ່ມ ຄຳ ສັ່ງເພີ່ມເຕີມເຂົ້າໃນບັນຊີລາຍຊື່ນີ້, ກະລຸນາແບ່ງປັນໃຫ້ພວກເຮົາ, ໂດຍການສົ່ງພວກເຂົາໃນສ່ວນ ຄຳ ເຫັນຂ້າງລຸ່ມນີ້.