Konfigurowanie zapory ogniowej systemu Linux za pomocą iptables

Jeśli potrzebujesz dobrej zapory ogniowej dla swojego serwera Linux lub komputera stacjonarnego, iptables to świetny wybór. Jest bardzo elastyczny i szybki. W tym przewodniku pokażemy, jak skonfigurować zaporę ogniową iptables w systemie Linux.

Instalacja iptables w systemie Linux

Aby skonfigurować zaporę ogniową za pomocą iptables w systemie Linux , musisz ją najpierw zainstalować. Otwórz okno terminala i postępuj zgodnie z poniższymi instrukcjami instalacji dla swojego systemu operacyjnego Linux. Iptables można zainstalować zarówno na komputerach stacjonarnych, jak i na serwerach z systemem Linux, a jeśli wolisz ogólne pobieranie iptables dla systemu Linux, możesz odwiedzić oficjalną stronę internetową . Po zakończeniu instalacji możesz przystąpić do konfigurowania zapory za pomocą iptables.

Instrukcje Ubuntu

Sudo apt zainstaluj iptables

Instrukcje Debiana

sudo apt-get install iptables

Instrukcje Arch Linux

sudo pacman -S iptables

Instrukcje Fedory

sudo dnf zainstaluj iptables

Instrukcje OpenSUSE

sudo sudo zypper w iptables

Dystrybucje EPEL (Rhel, CentOS, Rocky, Alma itp.)

sudo yum zainstaluj iptables

Jak stworzyć zestaw reguł iptables

Musisz utworzyć nowy zestaw reguł iptables przed próbą użycia go jako zapory. Otwórz okno terminala i upewnij się, że możesz wprowadzić polecenia sudo . Jeśli twój użytkownik nie może, zaloguj się na konto root za pomocą su .

Stąd użyj polecenia iptables -F . To polecenie usunie i opróżni wszystkie poprzednie reguły dla iptables w twoim systemie.

sudo iptables -F

Po uruchomieniu powyższego polecenia możesz uruchomić polecenie iptables -L , aby sprawdzić i potwierdzić, że reguły zostały usunięte.

sudo iptables -L

Po potwierdzeniu, że reguły iptables zostały usunięte, użyj poniższego polecenia iptables -P, aby domyślnie blokować ruch przychodzący.

OSTRZEŻENIE: jeśli edytujesz iptables przez SSH, rozłącz się i edytuj na fizycznej maszynie. Uruchomienie poniższego polecenia automatycznie rozłączy Cię z SSH, dopóki nie zezwolisz na to przez zaporę.

sudo iptables -P SPADEK WEJŚCIA

Następnie musisz zezwolić na ruch wychodzący z twojego systemu przez iptables. Możesz zezwolić na ruch wychodzący przez zaporę iptables, wprowadzając następujące polecenie iptables -P .

sudo iptables -P WYJŚCIE AKCEPTUJ

Po wyłączeniu ruchu przychodzącego i włączeniu ruchu wychodzącego można przejść do zezwalania na określone usługi.

Jak zezwolić na porty przez zaporę iptables

Domyślnie uruchomienie iptables -P INPUT DROP wyłącza ruch przychodzący ze wszystkich źródeł (SSH, HTTP itp.). Aby włączyć te usługi, musisz dodać reguły iptables.

Aby uprościć sprawę, oto lista typowych portów, które możesz chcieć włączyć w zaporze iptables. Skopiuj polecenie powiązane z portem, który chcesz włączyć za pośrednictwem zapory iptables.

• HTTP (port 80):sudo iptables -A INPUT -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
• HTTPS (port 443):sudo iptables -A INPUT -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
• SSH (port 22):sudo iptables -A INPUT -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
• FTP (port 21):sudo iptables -A INPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
• SMTP (port 25):sudo iptables -A INPUT -p tcp --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
• DNS (port 53): sudo iptables -A INPUT -p udp --dport 53 -j ACCEPTdla UDP lub sudo iptables -A INPUT -p tcp --dport 53 -m state --state NEW,ESTABLISHED -j ACCEPTdla TCP
• DNS przez TLS (DoT) (port 853):sudo iptables -A INPUT -p tcp --dport 853 -m state --state NEW,ESTABLISHED -j ACCEPT
• DNS przez HTTPS (DoH) (port 443):sudo iptables -A INPUT -p tcp --dport 443 -m state --state NEW,ESTABLISHED -j ACCEPT
• Protokół pulpitu zdalnego (RDP) (port 3389):sudo iptables -A INPUT -p tcp --dport 3389 -m state --state NEW,ESTABLISHED -j ACCEPT
• Przetwarzanie sieci wirtualnej (VNC) (port 5900):sudo iptables -A INPUT -p tcp --dport 5900 -m state --state NEW,ESTABLISHED -j ACCEPT
• Secure Shell (SSH) z przekierowaniem X11 (port 6010):sudo iptables -A INPUT -p tcp --dport 6010 -m state --state NEW,ESTABLISHED -j ACCEPT
• Baza danych MySQL (port 3306):sudo iptables -A INPUT -p tcp --dport 3306 -m state --state NEW,ESTABLISHED -j ACCEPT
• Baza danych PostgreSQL (port 5432):sudo iptables -A INPUT -p tcp --dport 5432 -m state --state NEW,ESTABLISHED -j ACCEPT

Po zezwoleniu na wszystkie porty, na które chcesz zezwolić, możesz sprawdzić swoje reguły za pomocą iptables -L .

sudo iptables -L

Na koniec zapisz swoje reguły iptables w pliku w celu wykonania kopii zapasowej. Możesz to zrobić za pomocą polecenia iptables-save .

sudo iptables-save > /ścieżka/tosave/where/you/wish/to/save/rules/iptable-rules-backup

Jak przywrócić kopie zapasowe iptables

Jeśli musisz ponownie wdrożyć zaporę iptables na innym komputerze, oto co należy zrobić. Najpierw użyj polecenia iptables -F , aby opróżnić istniejące reguły.

sudo iptables -F

Następnie skopiuj plik kopii zapasowej do systemu. Po skopiowaniu przywróć kopię zapasową.

sudo iptables-restore <>