	Навигация
	Обратная связь Последние публикации

	Вход для пользователей
	Имя пользователя: * Пароль: * Запросить новый пароль

	Кто на сайте
	Сейчас на сайте 0 пользователей и 1 гость.

Использование iptables

Red Hat Enterprise Linux 4: Руководство по безопасности
Назад	Глава 7. Брандмауэры	Вперёд

7.2. Использование `iptables`

Первым этапом в использовании iptables является запуск службы iptables. Это можно сделать с помощью команды:

service iptables start

Предупреждение

Чтобы служба iptables смогла работать, следует выключить IP6Tables, выполнив следующие команды:

service ip6tables stopchkconfig ip6tables off

Чтобы iptables по умолчанию запускалась при загрузке системы, вы должны изменить уровень выполнения этой службы с помощью chkconfig.

chkconfig --level 345 iptables on

Синтаксис iptables поделён на ярусы. Основной ярус — это цепочка (chain). Параметр chain определяет состояние, в котором обрабатывается пакет. Используется это так:

iptables -A chain -j target

Параметр -A добавляет правило в конец существующего набора правил. В параметре chain задаётся имя цепочки правил. В iptables три цепочки (или состояния, которые проходят пакеты, пересылаемые по сети): INPUT, OUTPUT и FORWARD. Эти цепочки фиксированы и удалить их нельзя. Параметр -j target указывает место в наборе правил iptables, куда должно «перепрыгнуть» данное правило. В число встроенных назначений входят ACCEPT, DROP и REJECT.

Можно также создать новые цепочки (цепочки, определяемые пользователем) с помощью параметра -N. Создание новой цепочки полезно для настройки более точных или проработанных правил.

7.2.1. Основные политики брандмауэра

Утверждение базовых политик брандмауэра создаёт основу для построения более подробных, определяемых пользователем правил. Для создания правил по умолчанию в iptables используются политики (-P). Думающие о безопасности администраторы обычно применяют политику отбрасывания всех пакетов и задают разрешающие правила только для каждого конкретного случая. Следующие правила блокируют все входящие и исходящие пакеты:

iptables -P INPUT DROP
iptables -P OUTPUT DROP

Кроме этого рекомендуется, чтобы все пересылаемые пакеты (пакеты, маршрутизируемые брандмауэром к точке назначения) также были запрещены — это защитит внутренних клиентов от нежелательного влияния Интернета. Для этого добавьте следующее правило:

iptables -P FORWARD DROP

Определив цепочки политики, вы можете создавать новые правила для конкретной сети и требований безопасности. В следующих разделах рассматриваются некоторые правила, которые вы можете внедрить, настраивая брандмауэр iptables.

7.2.2. Сохранение и восстановление правил `iptables`

Правила брандмауэра существуют только пока компьютер включён, после перезагрузки правила автоматически сбрасываются и очищаются. Чтобы сохранить правила, чтобы они загрузились впоследствии, выполните команду:

/sbin/service iptables save

Правила сохранятся в файле /etc/sysconfig/iptables и будут применяться при запуске, перезапуске службы или при перезагрузке компьютера.

Назад	Начало	Вперёд
Брандмауэры	Вверх	Типичные фильтры `iptables`


	Тут могла бы быть ваша реклама!

LinuxShare

Навигация

Вход для пользователей

Кто на сайте

Использование iptables

7.2. Использование iptables

7.2.1. Основные политики брандмауэра

7.2.2. Сохранение и восстановление правил iptables

7.2. Использование `iptables`

7.2.2. Сохранение и восстановление правил `iptables`