INFORMATICS

Reguły Iptables czytane są od góry w dół przyczym ostatnia reguła jest domyślnie DROP reguły są porównywane z pakietem jeżeli pakiet pasuje wykonywane jest działanie. Jak reguła zostanie dopasowana wykonane jest działanie ACCEPT lub DROP i pakiet nie jest przetwarzany przez dalsze reguły. Jeżeli nie zostanie znaleziony odpowiedni schemat zostaje wykonany domyślna akcja. Domyślnie jest to DROP można to zmienić na ACCEPT.

Czyszczenie wszystkich reguł
# iptables -F
Upuszczanie pakietów ICMP
# iptables -A INPUT -p icmp -j DROP

Przykład ping działa
Chain INPUT (policy ACCEPT)
num target  prot opt   source    destination
1   ACCEPT  icmp --   0.0.0.0/0       0.0.0.0/0
2   DROP    icmp --   0.0.0.0/0       0.0.0.0/0

Przykład ping zablokowany
Chain INPUT (policy ACCEPT)
num target    prot opt   source       destination
1   DROP      icmp --   0.0.0.0/0      0.0.0.0/0
2   ACCEPT    icmp --   0.0.0.0/0      0.0.0.0/0

Przykład ping zablokowany
Chain INPUT (policy DROP)
num target    prot opt   source       destination
1   DROP      icmp --   0.0.0.0/0      0.0.0.0/0
2   ACCEPT    icmp --   0.0.0.0/0      0.0.0.0/0

Przykład ping działa
Chain INPUT (policy DROP)
num target  prot opt   source    destination
1   ACCEPT  icmp --   0.0.0.0/0       0.0.0.0/0
2   DROP    icmp --   0.0.0.0/0       0.0.0.0/0

Usuwanie wpisów -D
iptables-D INPUT 1
 iptables-D INPUT - dport 80-j DROP

Zastąpienie łańcucha -R
iptables -R INPUT 1-s 192.168.0.1 -j DROP

Dodawanie łańcucha
iptables-I INPUT 1 - dport 80-j ACCEPT

Wyświetlanie zasad -L

Nowy łańcuch -N
iptables-N LOG_DROP

Kasowanie łańcucha
iptables-X LOG_DROP # Usuń LOG_DROP łańcuch
 iptables-X # Usuń łańcuchy

Znak "!" określa przeciwieństwo. Na przykład komenda blokuje przychodzący ruch TCP z wyjątkiem IP o numerze 12.12.12.22

  iptables-A INPUT-p tcp!  - Source 12.12.12.22-j DROP

Dopasowanie określa co ma być dopasowane -M: TCP, UDP, stan
Przykład DROP ruch przychodzący tcp na porcie 143

iptables-A INPUT-p tcp-m tcp - sport 143-j DROP

Source -Źródło -S - określa adresy źródłowe pasujące do wpisu
Przykład: Zezwalan na przychodzacy ruch tcp przychodzący z IP 192.168.0.100
iptables-A INPUT-p tcp-s 192.168.0.100-j ACCEPT

Destination - adres docelowy -D
Przykład pozwala przekierować port dla ruchu TCP na 10.1.0.1
iptables-A FORWARD-p tcp-d 10.1.0.1-j ACCEPT

Interfejs wejściowy -I - określa interfejs wejściowy karty Ethernet INPUT FORWARD
Przykład - DROP przychodzace pakiety ICMP
iptables-A INPUT-p icmp-i eth0-j DROP

Interfejs wyjściowy -O określa interfejs wyjściowy tylko FORWARD
Przykład wyjście DROP icmp na karcie sieciowej
  iptables-A OUTPUT-p icmp-o eth0-j DROP

MAC Zródło określa dopasowanie MAC adresu
Przykład drop cały ruch przychodzący z adresu MAC 15:15:15:15:15
iptables-A INPUT - mac-source 15:15: 15: 15:15: AA-j DROP

Blokada całego ruchu
# iptables -P INPUT DROP

Opcje IPTABLES