Verwendung von iptables zum Filtern von Paketen unter Linux

administrator Leave a Comment

In diesem Tutorial werden wir uns mit iptables befassen , der Firewall oder Firewall, die wir unter Linux haben . Mit diesem Tool können wir Pakete filtern (nach dem, was im Tutorial behandelt wird), ein Protokoll erstellen und NAT-Übersetzungen durchführen.

Dank iptables können wir Regeln generieren, um die Pakete ganz einfach zu filtern. Wenn Sie es zum ersten Mal verwenden, werden Sie feststellen, dass es keine Komplikationen gibt, wenn Sie es einige Tage lang verwenden.

Die Verwendung dieses Tools erfordert hohe Berechtigungen, das heißt, wir müssen Superuser sein, damit es ausgeführt werden kann. Wir haben viele Funktionen in iptables, das Ziel des Tutorials ist es, eine Annäherung an seine Verwendung anhand von Beispielen zu sehen. Es ist wichtig, dass Sie nach Abschluss des Tutorials weiter vertiefen, da dies sehr nützlich ist.

Dann verlassen wir die offizielle Website, falls es von Interesse ist:

Netzfilter / Iptables
Hinweis
Für IPv6 haben wir ip6tables .

Wenn wir Informationen über iptables sehen wollen, werden wir Folgendes in einem Terminal ausführen: 

 man iptables

Wir werden die folgenden Informationen sehen:

iptables-1.jpg

Im Bild sehen Sie einen Teil der vom Befehl bereitgestellten Informationen. Um alles zu sehen, scrollen Sie zum Terminal. Wie wir am Anfang des Tutorials gesehen haben, besteht eine der Aufgaben, die uns iptables ermöglichen wird, darin, Regeln oder Filter zu erstellen, um zu wissen, was mit den Paketen zu tun ist, die als Ursprung / Ziel unsere Maschine haben. Für diese Aufgabe werden wir interessiert sein, damit wir die folgenden Konzepte verwenden:

Tabellen

Iptables hat mehrere Tabellen, aber in unserem Tutorial konzentrieren wir uns nur auf die Filtertabelle , die für die Filterung zuständig ist. Sie wird standardmäßig in iptables verwendet.

Ketten

Die Ketten, die ich hier einfügen werde, sind diejenigen, die zu der Tabelle gehören, die zuvor kommentiert wurde.

  • Eingabe : Pakete, die für unsere Maschine bestimmt sind.
  • Ausgabe : Die Pakete, die von unserem System stammen.
  • Weiterleiten : Pakete, die unsere Maschine passieren, um an eine andere weitergeleitet zu werden.
Regeln

Wir werden die 2 angeben, die im Tutorial verwendet werden, aber es gibt noch mehr.

  • Akzeptieren : Pakete werden akzeptiert.
  • Verwerfen : Pakete werden verworfen.
Parameter

Einige der Parameter, die wir verwenden können, sind diejenigen, die als nächstes kommen.

  • -Eine Regel : Zum Hinzufügen einer Regel
  • -D Regel : Löscht die angegebene Regel.
  • -L : Es erlaubt uns, die Regeln aufzulisten.
  • -F : Löscht alle vorhandenen Regeln.
  • -j Ziel : Festlegen des Regeltyps (Akzeptieren, Löschen).
  • -t Tabelle : Gibt die verwendete Tabelle an (Standardfiltertabelle).
  • -p Protokoll : Dient zur Angabe des Protokolls.
  • -i Schnittstelle : Wir legen die Schnittstelle für die Regel fest.
  • -s : Um den Ursprung anzugeben.
  • -d : Um das Ziel anzugeben.
  • -h : Hilfe anzeigen .
See also  Richtlinien zurücksetzen Lokale Gruppen Gruppenrichtlinienobjekt Windows Server 2016, 2012

Es gibt viele weitere, wie zum Beispiel –destination-port oder –source-port . Um alles zu sehen, können Sie den Befehl ausführen, den wir oben kommentiert haben: 

 man iptables

Oder du kannst auch laufen: 

 iptables -h
Hinweis
Sie müssen die vom Tool angebotenen Optionen sorgfältig prüfen, da zwischen Klein- und Großbuchstaben unterschieden wird und wir Fehler machen können (es ist nicht dasselbe, -p als -P zu setzen).

Beginnen wir mit den Beispielen, insgesamt werden 10 angegeben, damit es besser verstanden wird und wir sehen können, wie iptables im Firewall-Modus funktioniert. In den Beispielen wird sudo nicht angezeigt. Falls Sie als root angemeldet sind, ist dies nicht erforderlich. Andernfalls müssen Sie das Wort sudo am Anfang jedes Beispiels einfügen.

1. Verbieten Sie die Abfahrt zu jedem Ziel
Lassen Sie uns zunächst ein einfaches Beispiel geben und lassen Sie den Ausgang an keiner Stelle liegen. 

 iptables -A OUTPUT -j DROP

Dies ist sehr einfach, wie erkannt wurde, das Folgende gilt umso mehr.

2. Löschen Sie alle Regeln
Wir fahren mit einem sehr einfachen Beispiel fort und lassen unsere iptables ohne Regeln. Dazu werden wir ausführen: 

 iptables -F

Nun, lassen Sie es uns im nächsten ein wenig komplizierter machen.

3. Verbieten Sie den Ausgang durch Port 80
Jetzt kümmern wir uns darum, den Exit durch einen bestimmten Port zu schließen, in diesem Fall ist es 80, daher haben wir kein Surfen im Internet durch das http-Protokoll (wenn wir zu einer Seite https navigieren, können wir navigieren, obwohl wir dasselbe tun könnten wie die 80). . 

 iptables -A OUTPUT -p tcp --bestimmungsort-port 80 -j DROP
Hinweis
Wenn Sie einen Zielport oder eine Zielquelle verwenden, müssen Sie den Parameter -p eingeben, um das Protokoll anzugeben.

Wir wenden uns dem vierten Beispiel zu.

See also  So stellen Sie gelöschte Dateien auf einem Mac mit iBoysoft Data Recovery für Mac wieder her

4. Verbieten Sie die Navigation zu einer Seite
Diesmal sind wir daran interessiert, den Zugriff auf die X-Seite von unserem System aus zu verbieten. Stellen Sie sich vor, diese Seite ist solvetic.com. Dafür ermitteln wir Ihre IP. Es ist sehr einfach, einen Ping auszuführen. Wir werden ihn bekommen.

iptables-2.jpg

Und jetzt werden wir ausführen: 

 iptables -A OUTPUT -d 178.33.118.246 -j DROP

Wie wir sehen, reicht es aus, die IP nach dem Parameter -d anzugeben.

5. Listen Sie die Regeln auf, die sind
In diesem Beispiel wird versucht, die derzeit definierten Filterregeln aufzulisten: 

 iptables -L

Wir sehen ein Bild, wir haben nur zwei Regeln definiert, wie wir unten sehen:

iptables-3.jpg

Fahren wir mit dem sechsten Beispiel fort, in dem wir die Liste der Regeln erneut verwenden.

6. Löschen Sie eine bestimmte Regel
Hier löschen wir basierend auf den Regeln, die wir im vorherigen Beispiel hatten, eine der Exit-Regeln. In diesem Fall führen wir die folgenden Schritte aus: 

 iptables -D OUTPUT 1

Und um zu überprüfen, ob es effektiv gelöscht wurde, verwenden wir Beispiel 5:

iptables-4.jpg

Fahren wir mit mehr fort.

7. Vermeiden Sie Ping
Wir wollen nicht pingen können, dafür werden wir den Eintrag für das ICMP-Protokoll sperren. 

 iptables -A INPUT -p ICMP -j DROP

Als nächstes hinterlasse ich ein Bild von Ping, bevor ich den vorherigen Befehl ausführe und dann:

iptables_icmp.jpg

Wir können sehen, dass unser Computer nicht antwortet, weil er ICMP-Pakete ablehnt. Wenn wir die Ausgabe anstelle der Eingabe blockieren, würden wir ausführen: 

 iptables -A OUTPUT -p ICMP -j DROP

Es würde wieder dasselbe passieren wie im vorherigen Bild. Zum Testen habe ich 3 mal ping gemacht, wenn wir ausführen, können wir die Anzahl der Pakete sehen: 

 iptables -L -v

iptables-5.jpg

Wir sehen, dass es effektiv 3 im vorherigen Bild setzt.

See also  So senden Sie schwere Dateien per Google Mail

8. Verhindern Sie, dass eine IP uns Daten sendet
Wir werden eine der Eingaben anwenden, wir wollen nicht, dass wir eine bestimmte IP verbinden können, also werden wir ausführen: 

 iptables -A INPUT -s 192.168.66.1 -j DROP

Schauen wir uns ein etwas längeres Beispiel an.

9. Ermöglichen Sie die Ausgabe einer Reihe von IP-Adressen
Stellen Sie sich vor, Sie möchten nur Ausgaben für einen Bereich von IP-Adressen akzeptieren, aber den Rest der Ausgaben ablehnen. Wir müssen Folgendes ausführen: 

 Iptables -A OUTPUT -d 192.168.0.0/24 -j ACCEPT Iptables -A OUTPUT -j DROP
Hinweis
Die Reihenfolge der Ausführung der Regeln ist wichtig. Versuchen Sie dieses Beispiel mit dem Netzwerk, das Sie zulassen möchten, und stellen Sie eine Verbindung her. Sie werden sehen, dass es funktioniert. Löschen Sie dann alle Regeln und führen Sie die beiden Sätze in umgekehrter Reihenfolge aus. Jetzt würde ich die Verbindungen ablehnen.

Schauen wir uns das zehnte und letzte Beispiel an.

10. Öffnen Sie Port 143 (IMAP)
Wir werden einen Port für die Eingabe aller TCP-Pakete öffnen, in diesem Fall 143 (im Übrigen wäre es dasselbe). 

 iptables -A INPUT -m state --state NEW -p tcp --dport 143 -j ACCEPT

In diesem Beispiel wollten wir –port verwenden , damit Sie sehen, dass wir diesen oder –destination-Port verwenden können. Wir könnten auch –sport anstelle von –source-port verwenden .

Hier kommt also das Tutorial. Versuchen Sie nun, andere Regeln anzuwenden. Je mehr Sie üben, desto schneller werden Sie Regeln anwenden und desto weniger wird es Sie kosten. Zum Abschluss verlassen wir ein Tutorial, das von Ihrem Interesse sein kann, und öffnen und schließen Sie Ports in Windows 10 .

administrator

More Posts

Leave a Reply

Your email address will not be published. Required fields are marked *