ຄຳ ແນະ ນຳ ຂັ້ນພື້ນຖານກ່ຽວກັບ IPTables (Linux Firewall) ຄຳ ແນະ ນຳ/ຄຳ ສັ່ງ


ບົດແນະ ນຳ ນີ້ ນຳ ພາທ່ານຮູ້ວ່າ Firewall ໃຊ້ງານໄດ້ແນວໃດໃນລະບົບປະຕິບັດການ Linux ແລະ IPTables ໃນ Linux ແມ່ນຫຍັງ? Firewall ຕັດສິນໃຈຊະຕາ ກຳ ຂອງແພັກເກັດທີ່ເຂົ້າແລະອອກໃນລະບົບ. IPTables ແມ່ນລະບົບໄຟທີ່ອີງຕາມກົດລະບຽບແລະມັນຖືກຕິດຕັ້ງໄວ້ກ່ອນໃນລະບົບປະຕິບັດການ Linux ສ່ວນໃຫຍ່. ໂດຍໃນຕອນຕົ້ນມັນແລ່ນໂດຍບໍ່ມີກົດລະບຽບໃດໆ. IPTables ຖືກລວມເຂົ້າໃນ Kernel 2.4, ກ່ອນມັນຖືກເອີ້ນວ່າ ipchains ຫຼື ipfwadm. IPTables ແມ່ນເຄື່ອງມືດ້ານ ໜ້າ ເພື່ອເວົ້າກັບແກ່ນແລະຕັດສິນໃຈແພກເກັດເພື່ອກັ່ນຕອງ. ຄູ່ມືນີ້ອາດຈະຊ່ວຍໃຫ້ທ່ານສາມາດສ້າງຄວາມຄິດທີ່ຫຍໍ້ທໍ້ແລະ ຄຳ ສັ່ງພື້ນຖານຂອງ IPTables ບ່ອນທີ່ພວກເຮົາ ກຳ ລັງຈະອະທິບາຍກ່ຽວກັບກົດລະບຽບຂອງ iptables ທີ່ທ່ານສາມາດອ້າງອີງແລະປັບແຕ່ງຕາມຄວາມຕ້ອງການຂອງທ່ານ.

ການບໍລິການທີ່ແຕກຕ່າງກັນແມ່ນຖືກ ນຳ ໃຊ້ ສຳ ລັບໂປໂຕຄອນທີ່ແຕກຕ່າງກັນດັ່ງນີ້:

<

  • iptables ໃຊ້ກັບ IPv4.
  • ip6tables ໃຊ້ກັບ IPv6.
  • arptables ໃຊ້ໄດ້ກັບ ARP.
  • ebtables ໃຊ້ກັບເຟຣມ Ethernet ..
  • ແຟ້ມຕົ້ນຕໍຂອງ IPTables ແມ່ນ:

    <

  • /etc/sysconfig/iptables - ບ່ອນທີ່ Rulesets ຖືກບັນທຶກ.
  • /sbin/iptables - ໄບນາລີ.
  • ປະຈຸບັນມີສາມຕາຕະລາງ.

    • ກອງ
    • NAT
    • ມັງກອນ

    ໃນປະຈຸບັນ, ມີທັງ ໝົດ 4 ສາຍໂສ້:

    <

  • INPUT: ລະບົບຕ່ອງໂສ້ເລີ່ມຕົ້ນທີ່ມາກັບລະບົບ.
  • OUTPUT: ລະບົບຕ່ອງໂສ້ເລີ່ມຕົ້ນຜະລິດຈາກລະບົບ.
  • FORWARD: ແພັກເກັດຕ່ອງໂສ້ເລີ່ມຕົ້ນຖືກສົ່ງຜ່ານອິນເຕີເຟດອື່ນ.
  • RH-Firewall-1-INPUT: ລະບົບຕ່ອງໂສ້ທີ່ ກຳ ນົດເອງໂດຍຜູ້ໃຊ້.
  • ໝາຍ ເຫດ: ເໜືອ ເອກະສານຫລັກອາດຈະແຕກຕ່າງກັນເລັກນ້ອຍໃນ Ubuntu Linux.

    ວິທີການເລີ່ມຕົ້ນ, ຢຸດແລະເລີ່ມ Iptabe Firewall.

    # /etc/init.d/iptables start 
    # /etc/init.d/iptables stop
    # /etc/init.d/iptables restart

    ເພື່ອເລີ່ມຕົ້ນ IPTables ໃນລະບົບ boot, ໃຊ້ ຄຳ ສັ່ງຕໍ່ໄປນີ້.

    #chkconfig --level 345 iptables on

    ບັນທຶກຂໍ້ມູນກ່ຽວກັບ IPTables ດ້ວຍ ຄຳ ສັ່ງລຸ່ມນີ້. ເມື່ອໃດກໍ່ຕາມທີ່ລະບົບໄດ້ເລີ່ມການບໍລິການ IPTables ຄືນ ໃໝ່, ກົດລະບຽບທີ່ຖືກຍົກຍ້າຍອອກໄປໄດ້ຖືກເລື່ອນອອກໄປຫລືຕັ້ງຄ່າ ໃໝ່. ຄຳ ສັ່ງຂ້າງລຸ່ມນີ້ບັນທຶກຊຸດ TPTables ໃນ/etc/sysconfig/iptables file ໂດຍຄ່າເລີ່ມຕົ້ນແລະກົດລະບຽບຈະຖືກ ນຳ ໃຊ້ຫຼືຟື້ນຟູໃນກໍລະນີທີ່ IPTables ໄຫລອອກ.

    #service iptables save

    ການກວດສອບສະຖານະພາບຂອງ IPTables/Firewall. ຕົວເລືອກ“ -L” (ຕົວເລືອກລາຍການ),“ -v” (Verbose) ແລະ“ -n” (ສະແດງໃນຮູບແບບຕົວເລກ).

     iptables -L -n -v
    
    Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
     pkts bytes target     prot opt in     out     source               destination
        6   396 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited
    
    Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
     pkts bytes target     prot opt in     out     source               destination
        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited
    
    Chain OUTPUT (policy ACCEPT 5 packets, 588 bytes)
     pkts bytes target     prot opt in     out     source               destination

    ສະແດງກົດລະບຽບ IPTables ດ້ວຍຕົວເລກ. ດ້ວຍການຊ່ວຍເຫຼືອຂອງການໂຕ້ຖຽງ“ –line-numbers” ທ່ານສາມາດເພີ່ມເຕີມຫຼືຍົກເລີກກົດລະບຽບ.

     iptables -n -L -v --line-numbers
    
    Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
    num   pkts bytes target     prot opt in     out     source               destination
    1       51  4080 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    2        0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
    3        0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
    4        0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
    5        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited
    
    Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
    num   pkts bytes target     prot opt in     out     source               destination
    1        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited
    
    Chain OUTPUT (policy ACCEPT 45 packets, 5384 bytes)
    num   pkts bytes target     prot opt in     out     source               destination

    ກະແສຫລືລຶບກົດລະບຽບ IPTables. ຄໍາສັ່ງຂ້າງລຸ່ມນີ້ຈະເອົາກົດທັງ ໝົດ ອອກຈາກຕາຕະລາງ. ເອົາການ backup backupets ກ່ອນທີ່ຈະປະຕິບັດຄໍາສັ່ງຂ້າງເທິງ.

     iptables -F

    ການລຶບຫຼືເພີ່ມເຕີມກົດລະບຽບ, ໃຫ້ພວກເຮົາເຫັນກົດລະບຽບໃນຕ່ອງໂສ້. ຄຳ ສັ່ງຂ້າງລຸ່ມນີ້ຈະສະແດງເຄື່ອງສາຍໃນລະບົບຕ່ອງໂສ້ INPUT ແລະ OUTPUT ດ້ວຍເລກລະຫັດເຊິ່ງຈະຊ່ວຍໃຫ້ພວກເຮົາເພີ່ມຫຼືລຶບກົດລະບຽບ

     iptables -L INPUT -n --line-numbers
    
    Chain INPUT (policy ACCEPT)
    num  target     prot opt source               destination
    1    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    2    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0
    3    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
    4    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           state NEW tcp dpt:22
    5    REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited
     iptables -L OUTPUT -n --line-numbers
    Chain OUTPUT (policy ACCEPT)
    num  target     prot opt source               destination

    ບອກວ່າຖ້າທ່ານຕ້ອງການລຶບກົດ 5 ບໍ່ອອກຈາກລະບົບຕ່ອງໂສ້ INPUT. ໃຊ້ ຄຳ ສັ່ງຕໍ່ໄປນີ້.

     iptables -D INPUT 5

    ເພື່ອໃສ່ຫຼືເພີ່ມເຕີມກົດລະບຽບຕໍ່ຕ່ອງໂສ້ INPUT ໃນລະຫວ່າງ 4 ແລະ 5 ruleset.

     iptables -I INPUT 5 -s ipaddress -j DROP

    ພວກເຮົາໄດ້ພະຍາຍາມປົກປິດການ ນຳ ໃຊ້ພື້ນຖານແລະ ໜ້າ ທີ່ຂອງ IPTables ສຳ ລັບ begineer. ທ່ານອາດຈະສ້າງກົດລະບຽບທີ່ສັບສົນເມື່ອທ່ານມີຄວາມເຂົ້າໃຈຄົບຖ້ວນກ່ຽວກັບ TCP/IP ແລະຄວາມຮູ້ທີ່ດີກ່ຽວກັບການຕັ້ງຄ່າຂອງທ່ານ.