Atualizado no domingo, 19 de junho de 2016
iptables é um sistema de firewall vinculado ao kernel Linux. Ao contrário do que parecem que parecem que parecem iptables não são como um servidor que iniciamos ou paramos, houve alguma vulnerabilidade de que um DDoS permitiu, mas sempre será mais eficaz do que os aplicativos que ouvem em uma determinada porta TCP. Itable é integrado ao kernel, faz parte do sistema operacional. Podemos criar, modificar, excluir todos os tipos de regras, aqui vamos propor alguns exemplos.
Redefinir IPTables Firewall Regras
Visualizar o status de suas regras de firewall e listas
digite o seguinte comando como root:
iptables -L -n -viptables -n -L -v --line-numbers iptables -L INPUT -n -viptables -L OUTPUT -n -v --line-numbers
Excluir regras de firewall
iptables -L INPUT -n --line-numbersiptables -L OUTPUT -n --line-numbersiptables -L OUTPUT -n --line-numbers | lessiptables -L OUTPUT -n --line-numbers | grep 202.54.1.1
pode ser excluído pelo número da regra
iptables -D INPUT 4
ou especificar uma regra que corresponda
iptables -D INPUT -s 202.54.1.1 -j DROP
Defina as políticas padrão de firewall para Eliminar todo o tráfego:
iptables -P INPUT DROPiptables -P OUTPUT DROPiptables -P FORWARD DROPiptables -L -v -n
Basta bloquear o tráfego de entrada
excluir todos os pacotes recebidos / enviados, mas permitir o tráfego de saída, digite :
iptables -P INPUT DROPiptables -P FORWARD DROPiptables -P OUTPUT ACCEPTiptables -A INPUT -m state --state NEW,ESTABLISHED -j ACCEPTiptables -L -v -n
Exclua endereços de rede privada na interface pública (assumindo eth1 como um público Interface)
block IP:
Salvar regras:
iptables-save > /root/iptables.fw
no CENTOS / RHEL / FEDORA Linux ,:
service iptables save
Restaurar regras :
iptables-restore < /root/iptables.fw
restauração no CENTOS / RHEL / FEDORA Linux:
service iptables restart
você pode Recarregue as regras automaticamente ao reiniciar o servidor:
vi /etc/rc.local
# Reload IPTABLES Rules automatically on restart/sbin/iptables-restore < /root/iptables.fw
em centás Você pode salvar as regras para recarregá-las automaticamente:
/etc/sysconfig/iptables
Permitir todo o tráfego de loopback e remova todo o tráfego para 127/8 que não usa lo0
iptables -A INPUT -i lo -j ACCEPTiptables -A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT
Exclua qualquer pacote TCP que não tenha sido iniciado com o sinalizador Syn Active
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
Aceite todas as conexões de entrada estabelecidas
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Remova qualquer pacote inválido que não possa ser
iptables -A INPUT -m state --state INVALID -j DROPDrop all inbound telnet trafficiptables -I INPUT -p tcp --dport 23 -j DROPDrop all outbound web trafficiptables -I OUTPUT -p tcp --dport 80 -j DROPDrop all outbound traffic to 192.168.0.1iptables -I OUTPUT -p tcp --dest 192.168.0.1 -j DROPAllow all inbound web trafficiptables -I INPUT -p tcp --dport 80 -j ACCEPTAllow inbound port traffic for localhostiptables -I INPUT -s 12.0.0.1 -p tcp --dport 2003 -j ACCEPTAllow inbound HTTPS traffic from 10.2.2.4iptables -I INPUT -s 10.2.2.4 -p tcp -m tcp --dport 443 -j DROPDeny outbound traffic to 192.2.4.0-192.2.4.255iptables -I OUTPUT -d 192.2.4.6.0/24 -j DROP
bloqueia tráfego para o domínio do Facebook.com, nós olhamos para o IP do Facebook.com e, em seguida, seu intervalo IPS
host -t a www.facebook.comwhois 69.171.228.40 | grep CIDR
Criamos a regra para não permitir acesso
iptables -A OUTPUT -p tcp -d 69.171.224.0/19 -j DROP
também por nome de domínio, mas não é 100% eficaz.
iptables -A OUTPUT -p tcp -d www.facebook.com -j DROPiptables -A OUTPUT -p tcp -d facebook.com -j DROP
Permitir conexões de entrada à porta 21 de um IP 11.22.33.44
iptables -A INPUT -p tcp -m state --state NEW --dport 21 --source 11.22.33.44
Permitir todo o tráfego de entrada ssh
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPTiptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
Permitir o ssh de saída
Permitir tráfego HTTP
iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPTiptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT
Permitir https de saída.
iptables -A OUTPUT -o eth0 -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPTiptables -A INPUT -i eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT
Combine regras com multiplicar
iptables -A INPUT -i eth0 -p tcp -m multiport --dports 22,80,443 -m state --state NEW,ESTABLISHED -j ACCEPTiptables -A OUTPUT -o eth0 -p tcp -m multiport --sports 22,80,443 -m state --state ESTABLISHED -j ACCEPT
negar Todas as conexões recebidas para a porta 21.
iptables -A INPUT -p tcp -m state --state NEW --dport 21 -j DROP
Exclua a primeira regra de entrada
florescer Quear ou permitir solicitação ICMP ping
iptables -A INPUT -p icmp --icmp-type echo-request -j DROPiptables -A INPUT -i eth1 -p icmp --icmp-type echo-request -j DROP iptables -A INPUT -s 192.168.1.0/24 -p icmp --icmp-type echo-request -j ACCEPT/// A continuación sólo acepta tipo limitado de peticiones ICMP:
### ** Assumiu que a política de entrada padrão definiu para queda ** ######## ######## ## ## iptables -a entrada -p icmp -icmp-type echo-responder -J aceite iptables -a entrada -p icmp-destation-tipo -icmp – inaceitável -J aceitar iptables -a inserção -pi-type time -exesced -J aceitar
## ** todo o nosso servidor para responder aos pings ** ## iptables -a entrada -p icmp -icmp-type echo-solicitam -j aceitar
iptables -a entrada -P ICMP -CMP-tipo echo-requily -j aceitar iptables -a saída -P ICMP – ICMP- Tipo Echo-Responder -J Aceitar
Permitir PING de dentro a fuera.
iptables -a saída -P ICMP -CMP-TIPO ECHO-PEDIDO -J aceitar iptables -a entrada – p icmp -CMP-Type Echo-Responder -J aceitar
Permitir tráfico DNS saliente.
iptables -a saída -p udp -o eth0 -dport 53 -J aceitar iptables -a entrada – P udp -i eth0 -sport 53 -j aceitar
Abrir un rango de puertos de entrada
iptables -a estado de entrada -m estado de estado ne W -m tcp -p tcp dpt 7000: 7010 -J aceitar
Abrir un rango de IPs
## só aceita conexão com a porta TCP 80 (Apache) IP IP está entre 192.168 .1.100 e 192.168.1.168.200 ## iptofables -a entrada-PP TCP Destino-Porta 80-M de IPRENDE SRC-faixa de 192.168.1.100-192.168.1.200 -J Aceitar
## NAT exemplo ## iptables – T Nat-Tástruto -J snat-a-fonte 192.168.1.20-192.168.1.25
%%%Restringir el número de conexiones concurrentes a un servidor por IP%%%Puedes utilizar el módulo connlimit para crear estas restricciones. Permitir 3 conexiones SSH por cliente:
iptables -a entrada -p tcp syn dport 22 -m connlimit -connlimit – acima de 3 -J Rejeitar
Limitar el número de conexiones HTTP a 20:
iptables -p tcp syn dport 80 – m connlimit connlimit-acima de 20 connlimit-máscara 24 -J Drop
Donde:* --connlimit-above 3 : Match if the number of existing connections is above 3.* --connlimit-mask 24 : Group hosts using the prefix length. For IPv4, this must be a number between (including) 0 and 32.%%%Eliminar o aceptar paquetes desde una MAC Address
iptables -a entrada -m Mac -mac-fonte 00: 0F: EA: 91 : 04: 08 -Ja drop
## * Apenas aceite tráfego para a porta TCP # 22 da Mac 00: 0F: EA: 91: 04: 07 * ## iptables -a entrada -p TCPDestination-Port 22 -m Mac MAC-FONTE 00: 0F: EA: 91: 04: 07 -J Aceitar
%%%Prevenir ataques DoS* -Limit 25/minute : Limita a sólo 25 conexiones por minuto.* -Limit-burst 100: Indica que el valor de limit/minute será forzado sólo después del número de conexiones en este nivel
iptables -a entrada -P DPORT 80-M Limite limite 25 / minuto -limit-estourando 100 -J aceitar
%%%Permitir redirección de puertos.* Ejemplo puerto 422 redirigimos al 22, con lo que podemos tener conexiones al puerto 22 y al puerto 422 por ssh.
iptables -t nat -a Prerouting -p TCP-PT 192.168.102.37 DPPT 422 -J DNAT para 192.168.102.37:22 iptables -a entrada -i etc0 -p tcp dport 422 -m estado estadual novo, estabelecido -J aceitar iptables -a saída -a saída -o eth0 -p tcpsport 422 -m estado estadual estabelecido
iptables -a entrada -i etc1 -s 10.0.0.0/8 -J Log -Log-prefix “ip_spoof a:” iptables -a entrada -i etc1 -s 10.0.0.0 / 8 -J Soltar
Logar y eliminar paquetes limitando el número de entradas repetidas en el LOG
iptables -a entrada -i etc1 -s 10.0.0.0/8 -m Limite de limite de limite 5 / estourando 7 – j log -log-prefix “ip_spoof a:” iptables -a entrada -i etc1 -s 10.0.0.0/8 -J Drop
Sacar en el log los paquetes caídos.* Primero creamos una cadena llamada LOGGING:
iptables -n Registro
Luego todas las conexiones entrantes vayan por la cadena LOGGING
iptables -a entrada -J log
iptables -a Log-Min Limit Limit 2 / min -J Log-prefix “iptables Packet caiu:” -Log-level 7
Y los bloqueamos:
iptables -a Logging -J Drop
%%%Listado de reglas ejemplo para puertos TCP/UDP comunes:* Replace ACCEPT with DROP to block port:
## Abrir a porta TCP da porta SSH 22 ## iptables – uma entrada – m estado estadual novo -m tcp -p tcp dport 22 -J aceitar iptables -a entrada -s 192.168.1.0/24 -m estado estadual novo -p tcp dport 22 -J aceitar
## copos abertos (Serviço de impressão) UDP / TCP Port 631 para usuários de LAN ## iptables -a entrada -s 192.168.1.0/24 -P UDP-MM UDP -DPort 631 -J aceitar iptables -a entrada -s 192.168.1.0/24 -p tcp -m tcp -dport 631 -J aceitar
## permite Sincronização de tempo via NTP para usuários da LAN (aberta porta UDP 123) ## iptables -a entrada -s 192.168.1.0/24 -m Statestate New -p UDP DPORT 123 -J aceitar
## Abrir porta TCP 25 (SMTP) para todos os iptables ## iptables – um estado de entrada de entrada -m New-P TCP DPPT 25 -J aceitar
- abrir portas de servidor DNS para todos ##
iptables -a estado de entrada -m estado de estado novo -p udp dport 53 -J aceitar iptables -a estado de entrada -m estado de estado novo -p tcpdport 53 -J aceitar
## aberto http / https (Apache) porta do servidor para todos ## iptables – um estado de entrada de entrada -m New-P TCP DPORT 80 -J aceitar iptables -a estado de entrada -m estado de estado novo -p tcp dport 443 -J aceitar
## Abrir a porta TCP 110 (POP3) para todos os iptables ## iptables -a estado de entrada -m estado novo -p tcp dport 110 -j aceitar
## abre a porta TCP 143 (IMAP) para todos ## iptables -a entrada -m estado estado novo -p tcp dport 143 -j aceitar
## acesso aberto ao samba f ILE servidor para usuários de lan apenas ## iptables -a entrada -s 192.168.1.0/24 -m estado estadual novo -p tcp dport 137 -J aceitar iptables -a entrada -s 192.168.1.0/24 -m estado estadual novo TCP DPPT 138 -J aceitar iptables -a entrada -s 192.168.1.0/24 -m estado estadual novo -p tcp dport 139 -J aceitar iptables -a entrada -s 192.168.1.0/24 -m estado estadual novo -p dport 445 -J aceitar
## Abrir acesso ao servidor proxy para usuários de LAN apenas ## iptables -a entrada -s -s 192.168.1.0/24 -m estado estadual novo -p tcp dport 3128 -J aceitar
## Abrir acesso ao servidor mysql para usuários de LAN apenas ## iptables -i entrada -p tcp -dport 3306 -J aceitar ///