| Наступна ревізія | Попередня ревізія |
| linux:network:firewall:iptables [29/05/2024 08:31] – створено osvex | linux:network:firewall:iptables [Невідома дата] (поточний) – зовнішнє редагування (Невідома дата) 127.0.0.1 |
|---|
| ====== IPtables ====== | ====== IPtables ====== |
| | |
| | Подивитись список правил |
| | |
| | <code> |
| | iptables -L |
| | |
| | </code> |
| | |
| | Очистити список правил |
| | |
| | <code> |
| | iptables -F |
| | |
| | </code> |
| |
| ===== Види пакетів ===== | ===== Види пакетів ===== |
| Відповідно у фільтрі iptables усі пакети діляться на три аналогічні ланцюжки: | Відповідно у фільтрі iptables усі пакети діляться на три аналогічні ланцюжки: |
| |
| * Input - обробляє вхідні пакети і підключення. Наприклад, якщо будь-який зовнішній користувач намагається під'єднатися до вашого комп'ютера через ssh або будь-який веб-сайт надішле вам свій контент за запитом браузера. Усі ці пакети потраплять у цей ланцюжок; | * ''Input'' - обробляє вхідні пакети і підключення. Наприклад, якщо будь-який зовнішній користувач намагається під'єднатися до вашого комп'ютера через ssh або будь-який веб-сайт надішле вам свій контент за запитом браузера. Усі ці пакети потраплять у цей ланцюжок; |
| * forward - цей ланцюжок застосовується для з'єднань, що проходять. Сюди потрапляють пакети, які надіслані на ваш комп'ютер, але не призначені йому, вони просто пересилаються мережею до своєї мети. Як я вже говорив, таке спостерігається на маршрутизаторах або, наприклад, якщо ваш комп'ютер роздає wifi; | * ''forward'' - цей ланцюжок застосовується для з'єднань, що проходять. Сюди потрапляють пакети, які надіслані на ваш комп'ютер, але не призначені йому, вони просто пересилаються мережею до своєї мети. Як я вже говорив, таке спостерігається на маршрутизаторах або, наприклад, якщо ваш комп'ютер роздає wifi; |
| * output - цей ланцюжок використовується для вихідних пакетів і з'єднань. Сюди потрапляють пакети, які були створені під час спроби виконати ping losst.pro або коли ви запускаєте браузер і намагаєтеся відкрити будь-який сайт. | * ''output'' - цей ланцюжок використовується для вихідних пакетів і з'єднань. Сюди потрапляють пакети, які були створені під час спроби виконати ping losst.pro або коли ви запускаєте браузер і намагаєтеся відкрити будь-який сайт. |
| ===== Правила та дії ===== | ===== Правила та дії ===== |
| |
| * **LOG** - зробити запис про пакет у лог-файл; | * **LOG** - зробити запис про пакет у лог-файл; |
| * **QUEUE** - надіслати пакет користувацькому застосунку. | * **QUEUE** - надіслати пакет користувацькому застосунку. |
| | ==== Приклад: ==== |
| | |
| | **Дозволити** підключення на 80 порт: |
| | |
| | <code> |
| | sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT |
| | |
| | </code> |
| | |
| | **Видалити** правило iptables: |
| | |
| | Перевірити номер правила: |
| | |
| | <code> |
| | iptables -L -n –line-numbers |
| | |
| | </code> |
| | |
| | Видалити потрібне правило: |
| | |
| | <code> |
| | iptables -D INPUT 2 |
| | |
| | </code> |
| | |
| | **Зберегти**: |
| | |
| | <code> |
| | sudo iptables-save> /etc/iptables/rules.v4 |
| | |
| | </code> |
| |