INFORMATICS

The Best

IPTABLES składnia

Ratio: 2 / 5

Inicio activadoInicio activadoInicio desactivadoInicio desactivadoInicio desactivado
 

Reguły Iptables czytane są od góry w dół przyczym ostatnia reguła jest domyślnie DROP reguły są porównywane z pakietem jeżeli pakiet pasuje wykonywane jest działanie. Jak reguła zostanie dopasowana wykonane jest działanie ACCEPT lub DROP i pakiet nie jest przetwarzany przez dalsze reguły. Jeżeli nie zostanie znaleziony odpowiedni schemat zostaje wykonany domyślna akcja. Domyślnie jest to DROP można to zmienić na ACCEPT.

Czyszczenie wszystkich reguł
# iptables -F
Upuszczanie pakietów ICMP
# iptables -A INPUT -p icmp -j DROP

Przykład ping działa
Chain INPUT (policy ACCEPT)
num target  prot opt   source    destination
1   ACCEPT  icmp --   0.0.0.0/0       0.0.0.0/0
2   DROP    icmp --   0.0.0.0/0       0.0.0.0/0


Przykład ping zablokowany
Chain INPUT (policy ACCEPT)
num target    prot opt   source       destination
1   DROP      icmp --   0.0.0.0/0      0.0.0.0/0
2   ACCEPT    icmp --   0.0.0.0/0      0.0.0.0/0

Przykład ping zablokowany
Chain INPUT (policy DROP)
num target    prot opt   source       destination
1   DROP      icmp --   0.0.0.0/0      0.0.0.0/0
2   ACCEPT    icmp --   0.0.0.0/0      0.0.0.0/0

Przykład ping działa
Chain INPUT (policy DROP)
num target  prot opt   source    destination
1   ACCEPT  icmp --   0.0.0.0/0       0.0.0.0/0
2   DROP    icmp --   0.0.0.0/0       0.0.0.0/0

Usuwanie wpisów -D
iptables-D INPUT 1
 iptables-D INPUT - dport 80-j DROP

Zastąpienie łańcucha -R
iptables -R INPUT 1-s 192.168.0.1 -j DROP

Dodawanie łańcucha
iptables-I INPUT 1 - dport 80-j ACCEPT

Wyświetlanie zasad -L

Nowy łańcuch -N
iptables-N LOG_DROP

Kasowanie łańcucha
iptables-X LOG_DROP # Usuń LOG_DROP łańcuch
 iptables-X # Usuń łańcuchy

Znak "!" określa przeciwieństwo. Na przykład komenda blokuje przychodzący ruch TCP z wyjątkiem IP o numerze 12.12.12.22

  iptables-A INPUT-p tcp!  - Source 12.12.12.22-j DROP

Dopasowanie określa co ma być dopasowane -M: TCP, UDP, stan
Przykład DROP ruch przychodzący tcp na porcie 143

iptables-A INPUT-p tcp-m tcp - sport 143-j DROP

Source -Źródło -S - określa adresy źródłowe pasujące do wpisu
Przykład: Zezwalan na przychodzacy ruch tcp przychodzący z IP 192.168.0.100
iptables-A INPUT-p tcp-s 192.168.0.100-j ACCEPT

Destination - adres docelowy -D
Przykład pozwala przekierować port dla ruchu TCP na 10.1.0.1
iptables-A FORWARD-p tcp-d 10.1.0.1-j ACCEPT

Interfejs wejściowy -I - określa interfejs wejściowy karty Ethernet INPUT FORWARD
Przykład - DROP przychodzace pakiety ICMP
iptables-A INPUT-p icmp-i eth0-j DROP

Interfejs wyjściowy -O określa interfejs wyjściowy tylko FORWARD
Przykład wyjście DROP icmp na karcie sieciowej
  iptables-A OUTPUT-p icmp-o eth0-j DROP

MAC Zródło określa dopasowanie MAC adresu
Przykład drop cały ruch przychodzący z adresu MAC 15:15:15:15:15
iptables-A INPUT - mac-source 15:15: 15: 15:15: AA-j DROP


Blokada całego ruchu
# iptables -P INPUT DROP

Opcje IPTABLES

Opcja: Opis:
-A Dodaj
-D Usuń
-I Umieść w określonym miejscu
-R Zamień
-L Pokaż listę
-F Usuń wszystkie reguły z łańcucha
-Z Wyzeruj liczniki łańcucha
-C Sprawdź pakiet w łańcuchu
-N Utwórz nowy, zdefiniowany przez użytkownika łańcuch
-X Usuń zdefiniowany przez użytkownika łańcuch
-P Zmień politykę łańcucha
-E Zmień nazwę łańcucha
-p Protokół
-s Źródłowy adres/maska
-d Docelowy adres/maska
-i Interfejs, na którym pakiet został przyjęty
-o Interfejs, przez który pakiet zostanie wysłany
-j Cel
-m Rozszerzone dopasowanie, przez podanie tekstu
-n Numeryczne wynikowe adresy i porty
-t Tabela do manipulowania
-v Tryb szczegółowy
-x Rozszerzanie numerów (podaje dokładne wartości)
-f Dopasuj drugie i dalsze fragmenty
-V Wersja pakietu
--line-numbers Wyświetla numery linii na liście

 

Search