ຄຳ ແນະ ນຳ ຂັ້ນພື້ນຖານກ່ຽວກັບ IPTables (Linux Firewall) ຄຳ ແນະ ນຳ/ຄຳ ສັ່ງ
ບົດແນະ ນຳ ນີ້ ນຳ ພາທ່ານຮູ້ວ່າ Firewall ໃຊ້ງານໄດ້ແນວໃດໃນລະບົບປະຕິບັດການ Linux ແລະ IPTables ໃນ Linux ແມ່ນຫຍັງ? Firewall ຕັດສິນໃຈຊະຕາ ກຳ ຂອງແພັກເກັດທີ່ເຂົ້າແລະອອກໃນລະບົບ. IPTables ແມ່ນລະບົບໄຟທີ່ອີງຕາມກົດລະບຽບແລະມັນຖືກຕິດຕັ້ງໄວ້ກ່ອນໃນລະບົບປະຕິບັດການ Linux ສ່ວນໃຫຍ່. ໂດຍໃນຕອນຕົ້ນມັນແລ່ນໂດຍບໍ່ມີກົດລະບຽບໃດໆ. IPTables ຖືກລວມເຂົ້າໃນ Kernel 2.4, ກ່ອນມັນຖືກເອີ້ນວ່າ ipchains ຫຼື ipfwadm. IPTables ແມ່ນເຄື່ອງມືດ້ານ ໜ້າ ເພື່ອເວົ້າກັບແກ່ນແລະຕັດສິນໃຈແພກເກັດເພື່ອກັ່ນຕອງ. ຄູ່ມືນີ້ອາດຈະຊ່ວຍໃຫ້ທ່ານສາມາດສ້າງຄວາມຄິດທີ່ຫຍໍ້ທໍ້ແລະ ຄຳ ສັ່ງພື້ນຖານຂອງ IPTables ບ່ອນທີ່ພວກເຮົາ ກຳ ລັງຈະອະທິບາຍກ່ຽວກັບກົດລະບຽບຂອງ iptables ທີ່ທ່ານສາມາດອ້າງອີງແລະປັບແຕ່ງຕາມຄວາມຕ້ອງການຂອງທ່ານ.
ການບໍລິການທີ່ແຕກຕ່າງກັນແມ່ນຖືກ ນຳ ໃຊ້ ສຳ ລັບໂປໂຕຄອນທີ່ແຕກຕ່າງກັນດັ່ງນີ້:
<
ແຟ້ມຕົ້ນຕໍຂອງ IPTables ແມ່ນ:
<
ປະຈຸບັນມີສາມຕາຕະລາງ.
- ກອງ
- NAT
- ມັງກອນ
ໃນປະຈຸບັນ, ມີທັງ ໝົດ 4 ສາຍໂສ້:
<
ໝາຍ ເຫດ: ເໜືອ ເອກະສານຫລັກອາດຈະແຕກຕ່າງກັນເລັກນ້ອຍໃນ Ubuntu Linux.
ວິທີການເລີ່ມຕົ້ນ, ຢຸດແລະເລີ່ມ Iptabe Firewall.
# /etc/init.d/iptables start # /etc/init.d/iptables stop # /etc/init.d/iptables restart
ເພື່ອເລີ່ມຕົ້ນ IPTables ໃນລະບົບ boot, ໃຊ້ ຄຳ ສັ່ງຕໍ່ໄປນີ້.
#chkconfig --level 345 iptables on
ບັນທຶກຂໍ້ມູນກ່ຽວກັບ IPTables ດ້ວຍ ຄຳ ສັ່ງລຸ່ມນີ້. ເມື່ອໃດກໍ່ຕາມທີ່ລະບົບໄດ້ເລີ່ມການບໍລິການ IPTables ຄືນ ໃໝ່, ກົດລະບຽບທີ່ຖືກຍົກຍ້າຍອອກໄປໄດ້ຖືກເລື່ອນອອກໄປຫລືຕັ້ງຄ່າ ໃໝ່. ຄຳ ສັ່ງຂ້າງລຸ່ມນີ້ບັນທຶກຊຸດ TPTables ໃນ/etc/sysconfig/iptables file ໂດຍຄ່າເລີ່ມຕົ້ນແລະກົດລະບຽບຈະຖືກ ນຳ ໃຊ້ຫຼືຟື້ນຟູໃນກໍລະນີທີ່ IPTables ໄຫລອອກ.
#service iptables save
ການກວດສອບສະຖານະພາບຂອງ IPTables/Firewall. ຕົວເລືອກ“ -L” (ຕົວເລືອກລາຍການ),“ -v” (Verbose) ແລະ“ -n” (ສະແດງໃນຮູບແບບຕົວເລກ).
iptables -L -n -v Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 6 396 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT 5 packets, 588 bytes) pkts bytes target prot opt in out source destination
ສະແດງກົດລະບຽບ IPTables ດ້ວຍຕົວເລກ. ດ້ວຍການຊ່ວຍເຫຼືອຂອງການໂຕ້ຖຽງ“ –line-numbers” ທ່ານສາມາດເພີ່ມເຕີມຫຼືຍົກເລີກກົດລະບຽບ.
iptables -n -L -v --line-numbers Chain INPUT (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination 1 51 4080 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 2 0 0 ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0 3 0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 4 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 5 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination 1 0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited Chain OUTPUT (policy ACCEPT 45 packets, 5384 bytes) num pkts bytes target prot opt in out source destination
ກະແສຫລືລຶບກົດລະບຽບ IPTables. ຄໍາສັ່ງຂ້າງລຸ່ມນີ້ຈະເອົາກົດທັງ ໝົດ ອອກຈາກຕາຕະລາງ. ເອົາການ backup backupets ກ່ອນທີ່ຈະປະຕິບັດຄໍາສັ່ງຂ້າງເທິງ.
iptables -F
ການລຶບຫຼືເພີ່ມເຕີມກົດລະບຽບ, ໃຫ້ພວກເຮົາເຫັນກົດລະບຽບໃນຕ່ອງໂສ້. ຄຳ ສັ່ງຂ້າງລຸ່ມນີ້ຈະສະແດງເຄື່ອງສາຍໃນລະບົບຕ່ອງໂສ້ INPUT ແລະ OUTPUT ດ້ວຍເລກລະຫັດເຊິ່ງຈະຊ່ວຍໃຫ້ພວກເຮົາເພີ່ມຫຼືລຶບກົດລະບຽບ
iptables -L INPUT -n --line-numbers Chain INPUT (policy ACCEPT) num target prot opt source destination 1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 5 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
iptables -L OUTPUT -n --line-numbers Chain OUTPUT (policy ACCEPT) num target prot opt source destination
ບອກວ່າຖ້າທ່ານຕ້ອງການລຶບກົດ 5 ບໍ່ອອກຈາກລະບົບຕ່ອງໂສ້ INPUT. ໃຊ້ ຄຳ ສັ່ງຕໍ່ໄປນີ້.
iptables -D INPUT 5
ເພື່ອໃສ່ຫຼືເພີ່ມເຕີມກົດລະບຽບຕໍ່ຕ່ອງໂສ້ INPUT ໃນລະຫວ່າງ 4 ແລະ 5 ruleset.
iptables -I INPUT 5 -s ipaddress -j DROP
ພວກເຮົາໄດ້ພະຍາຍາມປົກປິດການ ນຳ ໃຊ້ພື້ນຖານແລະ ໜ້າ ທີ່ຂອງ IPTables ສຳ ລັບ begineer. ທ່ານອາດຈະສ້າງກົດລະບຽບທີ່ສັບສົນເມື່ອທ່ານມີຄວາມເຂົ້າໃຈຄົບຖ້ວນກ່ຽວກັບ TCP/IP ແລະຄວາມຮູ້ທີ່ດີກ່ຽວກັບການຕັ້ງຄ່າຂອງທ່ານ.