IPTABLES

trbidi=»on»> raíz se utilizan para permitir y restringir el acceso:

  1. IPTABLES
  2. TCP / ENVOLTURA
    a) Permitir />
  3. SELINUX


iptables:



Interruptores utilizados en IPTABLES:

-A Append regla a la cadena input
-I regla de inserción superior a la cadena INPUT
-D Eliminar la regla de la cadena INPUT
-F Flush
-s Dirección de Origen (tráfico procedente de esta IP). Sustituya con la dirección IP del equipo cliente.
-d Dirección Destino (El tráfico que va a esta IP). Sustituir con el IP de este servidor.
-p Protocolo. Especificación de tráfico que es TCP / UDP.
«66» – dport Destino Número de puerto
-j Jump. Si todo en esta regla coincide entonces ‘jump’ ACEPTAR

Acción:

ACEPTAR Tráfico es aceptado para entrega.
REJECT Tráfico es rechazada, el envío de un paquete de vuelta al servidor que envía.
DROP El tráfico se ha caído. No se envía nada de vuelta al servidor que envía.


Nota: Hay que tener mucho cuidado al anexar reglas a las iptables. Por ejemplo, si su primera regla es negar todo, entonces no importa lo que usted permite específicamente, se negó

Ejemplo:.

1. Para permitir a un PC (10.0.0.100) para acceder a Telnet Server (10.0.0.111), Ejecutar comando siguiente:

[root @ wtuto ~] # iptables-A 192.168.1.100-d 10.0.0.111-p tcp ENTRADA-s – dport 23-j ACCEPT
:. Número de puerto de telnet es 23

Ahora que tenemos nuestros principios básicos establecidos en el lugar, vamos a ver qué iptables listas para nuestros conjuntos de reglas:
[root @ wtuto ~] # iptables – list

Chain INPUT (política ACCEPT)
origen destino opt prot objetivo

ACCEPT tcp – 192.168. dpt 1.10 10.1.15.1 tcp: ssh
ACEPTAR todo – en cualquier lugar en cualquier parte del Estado, establecidos

Cadena FORWARD (política ACCEPT)
origen destino opt prot objetivo
ACEPTAR todo – en cualquier lugar en cualquier parte del Estado, establecidos

SALIDA Chain (política ACCEPT)

target origen destino opt prot
ACEPTAR todo – en cualquier lugar en cualquier parte del estado NUEVO,, establecidos

Desde aquí se puede añadir de lo que las reglas que desee. Si está ejecutando un servidor web básico, es probable que tengas algo similar a:

inividual rechaza PRIMERO:


CHICOS MALOS (bloque de direcciones IP de origen):

[ root @ wtuto ~] # iptables-A INPUT-s 172.34.5.8-j DROP

NO SPAMMERS (observe el uso de FQDN):

[root @ wtuto ~] # iptables-A INPUT-s mail.spamsite.com-d 10.1.15.1 – p tcp – dport 25-j REJECT


A continuación, abra IT UP:
MYSQL />
[root @ wtuto ~] # iptables A INPUT-s 172.50.3.45-d 10.1.15.1-p tcp – dport 3306-j ACCEPT

SSH:

[root @ wtuto ~] # iptables-A INPUT-d 10.1.15.1-p tcp – dport 22-j ACCEPT

Sendmail / Postfix:

[root @ wtuto ~] # iptables-A INPUT-d 10.1.15.1-p tcp – dport 25-j ACCEPT

FTP /> [root @ wtuto ~] # iptables-A INPUT-d 10.1.15.1-p tcp – dport 20:21-j ACCEPT

Pasivas Puertos FTP Quizás : (De nuevo, especificando los puertos 50000 a través de 50.050 en una regla):

[root @ wtuto ~] # iptables -A INPUT-d 10.1.15.1-p tcp – dport 50000:50050-j ACCEPT

HTTP / Apache

[root @ wtuto ~] # iptables-A INPUT-d 10.1.15.1-p tcp – dport 80-j ACCEPT

SSL / Apache

[root @ wtuto ~] # iptables-A INPUT-d 10.1.15.1-p tcp – dport 443-j ACCEPT

IMAP

[root @ wtuto ~] # iptables-A INPUT-d 10.1.15.1-p tcp – dport 143-j ACCEPT

IMAPS

[root @ wtuto ~] # iptables-A INPUT-d 10.1.15.1-p tcp – dport 993-j ACCEPT

POP3

[root @ wtuto ~] # iptables-A INPUT-d 10.1.15.1-p tcp – dport 110-j ACCEPT

POP3S

[root @ wtuto ~] # iptables-A INPUT-d 10.1.15.1-p tcp – dport 995 – j ACCEPT

Cualquier tráfico de localhost:

[root @ wtuto ~] # iptables-A INPUT-d 10.1.15.1-s 127.0.0.1-j ACCEPT

ICMP / Ping:

[root @ wtuto ~ ] # iptables-A INPUT-d-p icmp 10.1.15.1-j ACCEPT

GLOBAL RECHAZA ÚLTIMO:
————————————————————————————————————————————————————————————
Rechazar todo lo demás para que la propiedad intelectual:

[root @ wtuto ~] # iptables-A INPUT-d 10.1.15.1-j REJECT

O, ​​rechazan todo lo demás que viene a través de cualquier IP:

[root @ wtuto ~] # iptables-A INPUT-j REJECT
[root @ wtuto ~] # iptables-A FORWARD-j REJECT

————————————————————————————————————————————————————————————

Aviso que hacemos los rechazan líneas globales duran! Estos deben ser el último

Para guardar sus reglas activas se ejecutan los siguientes:.

[root @ wtuto ~ ] # / etc / init.d / iptables ahorrar

Este comando anterior guardará sus normas a ‘/ etc / sysconfig / iptables.

Al iniciar iptables, las reglas se leen de ‘/ etc / sysconfig / iptables’:

[root @ wtuto ~] # / etc / init.d / iptables empezar
iptables partir [OK]

Y cuando deje de iptables, todas las reglas se vacían:

[root @ wtuto ~] #a10487;»> style=»color: # Detener iptables [OK]

Manual Guardar y Restaurar:
También puede utilizar manualmente las utilidades iptables-save e iptables-restore así:

Guarde las reglas a un archivos:

[root @ wtuto ~] # iptables-save> / root / iptables-save.out

Restaurar la reglas:

[root @ wtuto ~] # iptables-restore-c / root / iptables-save.out

La-c le indica a iptables-restore que este es el archivo se ha creado usando iptables-save

Estado de paquetes:

  1. NUEVO: Servidor1 conecta al servidor 2 la emisión de un SYN (Sincronizar) paquetes.
  2. relacionados: Server 2 recibe el paquete SYN y, a continuación, responde con un SYN-ACK (Acuse Sincronizar) paquetes.
  3. ESTABLECIDO: Server 1 recibe el paquete SYN-ACK y luego responde con el final ACK (reconocimiento) de paquetes.

Después de este 3 way handshake se completa, el tráfico se ha establecido. Para que este tipo de comunicación TCP, algo parecido a estas tres reglas son necesarias:

[root @ wtuto ~] # iptables-A INPUT-m state – state RELACIONADOS,-j ACCEPT ESTABLECIDO
[root @ wtuto ~] # iptables-A FORWARD-i eth0-m state – state RELACIONADOS,-j ACCEPT ESTABLECIDO
[root @ wtuto ~] # iptables-A OUTPUT -m state – state NEW, RELACIONADOS,-j ACCEPT ESTABLECIDO

La última regla, obviamente, permite que cualquier tráfico al dejar el servidor.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *