В общем виде команда редактирования правил межсетевого экрана выглядит следующим образом:

iptables [-t table-name ] command chain-name parameter-1 option-1 parameter-n option-n

Параметр table-name позволяет выбрать используемую таблицу. Command определяет выполняемое действие: добавление или исключение правила. Chain-name - это название соответствующего правила. Далее следует набор пар parameter-n option-n, которые, собственно говоря, и определяют конкретные действия программы.

Описания параметров команды легко можно найти в Интернете. Более подробно процесс настройки iptables приведен в моей другой книге (см. Практическое руководство системного администратора. - СПб.: БХВ-Петербург, 2010. - 464 с.). Здесь же кратко рассмотрим пример команд, выполняющих минимальную настройку Linux-системы для работы в сети Интернета:

iptables -A INPUT -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A INPUT -i eth0 -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -i eth1 -p tcp -m tcp -dport 22 -j ACCEPT

iptables -P INPUT DROP

iptables -t nat -A POSTROUTING -o eth1 -j SNAT -to-source xxx.xxx.xxx.xxx

Первое правило разрешает внешнему интерфейсу (eth1) прием пакетов, которые являются ответом на исходящий трафик (состояние RELATED и ESTABLISHED).

Второе и третье правила разрешают весь входящий трафик по внутреннему и локальному интерфейсам.

Четвертое правило разрешает подключение из Интернета к серверу для управления по протоколу ssh (на практике желательно разрешать доступ не со всех систем, а только с конкретных адресов). Пятое правило переключает политику по умолчанию на DROP: никакие пакеты, кроме явно перечисленных ранее, не будут пропускаться.

Последнее правило включает режим NAT для внешнего интерфейса с явным указанием адреса, от которого должен проходить обмен с внешними системами.

Принципы работы iptables | Самоучитель системного администратора | Аутентификация доступа в интернет


Самоучитель системного администратора



Новости за месяц

  • Сентябрь
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс