Tutorial IPTABLES firewall linux- comenzi de baza

Ce este IPTABLES? Iptables este folosit pentru mai multe servicii precum : translatare de adrese sursa sau destinatie (SNAT / DNAT ) . • Post-routing: face NAT atunci cand adresa sursa a pachetului trebuie schimbata. port forwading sau pur si simplu rejectare sau forwadare de pachete . NAT – este responsabil cu network address translation(translatarea adresei de retea) 3. • Input : Filtreaza pachetele destinate firewall-ului. Mai jos aveti o imagine cu felul in care iptables manipuleaza pachetele: . Cum pornesc serviciul IPTABLES? 1 [root tmp]# service iptables start 2 [root tmp]# service iptables stop 3 [root tmp]# service iptables restart Ca serviciul IPTABLES sa porneasca o data cu sistemul rulati urmatoarea comanda: [root tmp]# chkconfig iptables on Procesarea de pachete in IPTABLES Toate pachetele inspectate de iptables trec printr-o secventa de tabele (cozi) pentru prelucrare. Tabela filter este. FILTER ( tabel implicit) . implicita. Iptables foloseste implicit trei tabele : 1. MANGLE – este responsabil pentru modificarea bitilor QOS din headerul TCP Are 2 lanturi built-in: • Pre-routing: face NAT atunci cand adresa destinatie a pachetului trebuie schimbata. prin urmare. Fiecare dintre aceste cozi este dedicata unui anumit tip de activitate de pachete si este controlata de un lanţ de filtrare asociat. Cum functioneaza IPTABLES? Pentru fiecare regula firewall pe care o creezi trebuie sa specifici tabela si lantul de careva apartine.este responsabil cu filtrarea pachetelor Are 3 lanturi built-in in care va puteti declara reguli de politica firewall • Forward : Filtreaza pachete catre servere protejate de firewall. La aceasta regula este o singura exceptie: Cele mai multe reguli sunt legate de filtrare. astfel iptables presupune că orice lanţ definit fără o tabela asociata va face parte din tabela filter.In Sisteme Operare >UNIX/LINUX | 16-09-2010 Tutorial usor de invatat cu comenzile de baza in IPTABLES pentru configurare firewall LINUX. • Output : Filtreaza pachetele expediate de firewall 2. routing.

Iptables opreste procesarea ulterioara. requires ip_conntrack modprobe ip_conntrack_ftp # Load iptables NAT module when required modprobe iptable_nat # Module required for active an FTP server using NAT modprobe ip_nat_ftp Exemple: * -R –replace : Inlocuirea lantului specificat 1 iptables -R INPUT 1 -s 192. tabela filter este asumata. mangle -j <target> : Salt la lanţul ţintă specificat în momentul pachet se potriveste cu regula actuală. . udp sau all -s <ip-address> : Potrivire cu adresa IP sursa -d <ip-address> : Potrivire cu adresa IP destinatie -i <interface-name> : Potrivire cu interfata de retea prin care intra pachetul -o <interface-name> : Potrivire cu interfata de retea prin care iese pachetul -m –state <state> : ESTABLISHED. NAT.local 1 # Module to track the state of connections 2 modprobe ip_conntrack # Load the iptables active FTP module. INVALID Pentru a activa anumite funcţii ale Iptables trebuie sa încărcaţi anumite module de kernel la pornirea sistemului. tabelele posibile pot fi: filtru.1 -j DROP * -I –insert : Permite introducerea unui lant in intr-o zona specifica 1 iptables -I INPUT 1 --dport 80 -j ACCEPT * -L –list : Afisarea tuturor regulilor IPTABLES 1 iptables -L # Afiseaza toate regulile din tabela FILTER 2 iptables -L INPUT # Afiseaza toate regulile din lantul INPUT (FILTER) * -F –flush : Sterge toate regulile din tabela. Aşa cum am discutat înainte. Pachetul este trimis catre aplicatie sau sistem de operare pentru prelucrare • DROP . Cele mai folosite tinte sunt: • ACCEPT – Iptables opreste procesarea ulterioara. -A sau –append : Adauga o regula la sfarsitul chainului -F : Flush. RELATED.Fiecare regulă firewall inspectează pachetele IP şi apoi încearcă să le identifice ca si tinte pentru o anumita operatie. NEW. În mod implicit adresa IP sursa este aceeaşi cu cea utilizată de interfaţa firewall-ului Parametrii pentru IPTABLES: -t <-table-> : Dacă nu specificaţi o tabela. Pachetul este blocat • LOG – Informaţiile sunt trimise la daemonul syslog pentru logare. Iptables continua procesarea pachetului • REJECT – Funcţionează DROP. tcp. dar va trimite un mesaj de eroare la gazda carea a trimis pachetul cum că pachetul a fost blocat • DNAT – Rescrie adresa IP destinaţie a pachetului • SNAT – Rescrie adresa IP sursa a pachetului • MASQUERADE – Folosit pentru SNAT. -p <protocol-type> : Potrivire cu protocolul icmp.168. Sterge toate regulile din tabela selectata.0. Fisier: /etc/rc.

1 iptables -F INPUT # Sterge toate regulile din lantul INPUT 2 iptables -F # Sterge toate regulile * -N –new-chain : Crearea unui nou lant 1 iptables -N LOG_DROP * -X –delete-chain : Stergerea unui lant 1 iptables -X LOG_DROP # Stergerea lantului LOG_DROP 2 iptables -X # Sterge toate lanturile * -P –policy : Permite specificarea politicii default pentru un anumit lant ACCEPT. not another. 1 iptables -A INPUT -p icmp --icmp-type echo-request \ 2 -m limit --limit 1/s -i eth0 -j ACCEPT Setari de baza pentru protejarea sistemului de operare Sistemul de operare Linux are cateva mecanismele de protecţie definite pe care ar trebui să le activaţi prin modificarea parametrilor kernel-ului prin fişierul /etc/sysctl. REJECT. NAT included . DROP … 1 iptables -P INPUT DROP * Iptables va fi configurat pentru a permite firewall-ului sa trimita cereri ICMP(ping) şi. să accepte cereri ICMP 1 iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT 2 iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT * Iptables va fi configurat sa accepte cereri ICMP si le limiteze la un număr maxim mediu de o cerere pe secundă. la rândul său. Required if your firewall is protecting a 33 # network. Respond to queries out 3 # the same interface.conf 1 #--------------------------------------------------------------2 # Disable routing triangulation. Helps to maintain state 4 # Also protects against IP spoofing 5 #--------------------------------------------------------------6 net/ipv4/conf/all/rp_filter = 1 7 #--------------------------------------------------------------8 # Enable logging of packets with malformed IP addresses 9 #--------------------------------------------------------------10 net/ipv4/conf/all/log_martians = 1 11 #--------------------------------------------------------------12 # Disable redirects 13 #--------------------------------------------------------------14 net/ipv4/conf/all/send_redirects = 0 15 #--------------------------------------------------------------16 # Disable source routed packets 17 #--------------------------------------------------------------18 net/ipv4/conf/all/accept_source_route = 0 19 #--------------------------------------------------------------20 # Disable acceptance of ICMP redirects 21 #--------------------------------------------------------------22 net/ipv4/conf/all/accept_redirects = 0 23 #--------------------------------------------------------------24 # Turn on protection from Denial of Service (DOS) attacks 25 #--------------------------------------------------------------26 net/ipv4/tcp_syncookies = 1 27 #--------------------------------------------------------------28 # Disable responding to ping broadcasts 29 #--------------------------------------------------------------30 net/ipv4/icmp_echo_ignore_broadcasts = 1 31 #--------------------------------------------------------------32 # Enable IP routing.

34 #--------------------------------------------------------------35 net/ipv4/ip_forward = 1 .