Hostwinds Tutorial
Cerca risultati per:
Sommario
Tag: CentOS Web Panel, Firewall, Linux
Iptables è un'utility firewall basata sulla riga di comando estremamente flessibile costruita specificamente per distros Linux.Iptables utilizza catene politiche per consentire o bloccare il traffico.Quando viene stabilita una connessione sul server, iptables identificherà una regola nel suo elenco per determinare quale azione deve essere presa.Se non è presente alcuna regola per la connessione, ricorrerà all'azione predefinita definita per il sistema.
In genere, IPTables è installato per impostazione predefinita sulla maggior parte dei sistemi Linux. Per aggiornarlo o installarlo, puoi recuperare il pacchetto IPTables immettendo i seguenti comandi:
Nota: IPTables dovrebbe essere preinstallato su CentOS 6.
Ubuntu
apt-get install iptables-persistent
CentOS 7
systemctl stop firewalld
systemctl mask firewalld
yum install iptables-services
systemctl enable iptables
systemctl start iptables
Iptables sarà ora installato sul tuo sistema.Diamo un'occhiata a come usare iptables.
Questa sezione coprirà alcuni comandi e usi specifici iptables di base, come elencando il trattamento corrente e il blocco di un indirizzo IP da stabilire una connessione.
Per elencare la regolazione attualmente attiva per specifica, emetti il seguente comando:
iptables -S
Per visualizzare le regole attualmente applicate a una catena specifica, è possibile utilizzare il seguente comando. Questo esempio mostrerà tutte le specifiche delle regole per la catena UDP:
iptables -S UDP
È possibile elencare tutte le regole IPTables correnti che sono in atto in una vista tabella utilizzando il seguente comando che richiama l'opzione -L. Questo elencherà tutti i set di regole correnti ordinati per tipo di catena.
iptables -L
È possibile eliminare le regole in iptables utilizzando l'opzione -D.Puoi rimuovere le regole in alcuni modi diversi.Copriremo la rimozione delle regole con le specifiche.Ad esempio, se si desidera rimuovere la regola che consente a tutti i traffico in arrivo sulla porta 443, useresti il seguente comando:
iptables -D INPUT -i eth0 -p tcp --dport 443 -j ACCEPT
Con IPTables, puoi scaricare le regole. Questo può essere fatto lavando una singola catena o lavando tutte le catene. Tratteremo entrambi i metodi di seguito.
Per scaricare una singola catena è possibile utilizzare l'opzione -f -F o l'opzione equivalente -Fluso, combinata con il nome della catena che desideri flush.Ad esempio, è possibile eliminare tutte le regole nella catena di input utilizzando il seguente comando:
iptables -F INPUT
Per sciacquare tutte le catene, useresti di nuovo l'opzione -f o equivalente -Fluso senza alcun parametro aggiuntivo.Ciò rimuoverà efficacemente tutte le regole del firewall che sono attualmente attive sul server.Il comando è il seguente:
iptables -F
Iptables fornisce la possibilità di bloccare le connessioni di rete da un indirizzo IP specifico.Ad esempio, per bloccare tutte le connessioni in arrivo dal 10.10.10.10, eseguirai il seguente comando:
iptables -A INPUT -s 10.10.10.10 -j DROP
È inoltre possibile rifiutare la connessione, che risponderà con un errore "Connection ha rifiutato".Sostituire la goccia con rifiuto.
iptables -A INPUT -s 10.10.10.10 -j REJECT
È inoltre possibile bloccare le connessioni da un IP specifico a un dispositivo di rete specifico, ad esempio ETH1, utilizzando l'opzione -i.
iptables -A INPUT -i eth1 -s 10.10.10.10 -j DROP
Per consentire TUTTE le connessioni SSH in entrata sulla porta SSH predefinita (22), utilizzare i seguenti comandi:
iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT
È anche possibile limitare le connessioni SSH per essere consentite solo da un indirizzo IP specifico o da una sottorete.Ad esempio, se si desidera solo consentire l'indirizzo IP 10.10.10.10 di connettersi al server tramite SSH, useresti il seguente comando:
iptables -A INPUT -p tcp -s 10.10.10.10 --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT
Questa operazione può essere eseguita anche per un'intera sottorete aggiungendo la sottorete al comando, ad esempio / 27, come illustrato nel comando seguente:
iptables -A INPUT -p tcp -s 10.10.10.10/27 --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
Il firewall potrebbe non avere la politica di uscita impostata per accettare.Se questo è il caso, potrebbe essere necessario consentire le connessioni SSH in uscita se si desidera connettersi direttamente a un server esterno dal server.È possibile eseguire i seguenti comandi per ottenere questo sulla porta SSH predefinita (22).Se si utilizza una porta SSH diversa, sostituire "22" nell'esempio seguente con il numero di porta che stai utilizzando:
iptables -A OUTPUT -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT
Per impostazione predefinita, il traffico HTTP viene generalmente servito sulla porta 80 e il traffico HTTPS viene generalmente servito sulla porta 443. È possibile consentire a entrambi i tipi di connessioni al server Web utilizzando i seguenti comandi.
Nota: Se si desidera consentire solo un e non l'altro, rimuovere il numero di porta dal comando che è correlato al protocollo che desideri consentire.
iptables -A INPUT -p tcp -m multiport --dports 80,443 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --dports 80,443 -m conntrack --ctstate ESTABLISHED -j ACCEPT
Iptables consente di bloccare le porte specifiche, ad esempio la porta SMTP predefinita (25). Ad esempio, potresti non voler consentire la posta in uscita sul server. Per interrompere questo usando iptables, è possibile emettere il seguente comando:
iptables -A OUTPUT -p tcp --dport 25 -j REJECT
Ciò configurarà iptables per rifiutare tutto il traffico in uscita sulla porta 25. Se desideri rifiutare il traffico su una porta diversa, è possibile sostituire "25" con il numero di porta in questione.
È possibile consentire al server di rispondere a tutte le connessioni SMTP sulla porta 25 eseguendo i seguenti comandi:
iptables -A INPUT -p tcp --dport 25 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 25 -m conntrack --ctstate ESTABLISHED -j ACCEPT
Scritto da Hostwinds Team / dicembre 13, 2016