إدارة قواعد IPTables

ما هي iptables؟

iptables هي أداة جدار حماية مرنة للغاية في سطر الأوامر تم تصميمها خصيصا ل Distros Linux.يستخدم iPtables سلاسل السياسة للسماح أو حظر حركة المرور.عند إنشاء اتصال على الخادم الخاص بك، ستحدد iPtables قاعدة في قائمتها لتحديد الإجراءات التي يجب اتخاذها.إذا لم تكن هناك قاعدة موجودة للاتصال، فسيتم اللجوء إلى الإجراء الافتراضي المحدد لنظامك.

كيف أقوم بتثبيت IPTables؟

بشكل عام ، يتم تثبيت IPTables افتراضيًا على معظم أنظمة Linux. لتحديثه أو تثبيته ، يمكنك استرداد حزمة IPTables عن طريق إصدار الأوامر التالية:

ملحوظة: يجب أن تكون IPTables مثبتة مسبقًا على CentOS 6.

أوبونتو

apt-get install iptables-persistent

CentOS 7

systemctl stop firewalld
systemctl mask firewalld
yum install iptables-services
systemctl enable iptables
systemctl start iptables

سيتم الآن تثبيت iptables الآن على نظامك.دعونا نلقي نظرة على كيفية استخدام iptables.

كيف أستخدم IPTables؟

سيتغطي هذا القسم بعض الأوامر والاستخدامات الأساسية الأساسية، مثل إدراج قواعدك الحالية وحظر عنوان IP من إنشاء اتصال.

سرد القواعد حسب المواصفات

لسرد القواعد التدريبية النشطة حاليا عن طريق المواصفات، كنت تصدر الأمر التالي:

iptables -S

سرد القواعد حسب سلسلة محددة

لعرض القواعد التي يتم تطبيقها حاليا على سلسلة محددة، يمكنك استخدام الأمر التالي. سيعرض هذا المثال جميع مواصفات القاعدة لسلسلة UDP:

iptables -S UDP

سرد القواعد كجداول

يمكنك سرد كافة قواعد IPTables الحالية الموجودة في طريقة عرض جدول باستخدام الأمر التالي الذي يستدعي الخيار -L. سيؤدي ذلك إلى سرد جميع مجموعات القواعد الحالية مرتبة حسب نوع السلسلة.

iptables -L

حذف القاعدة باستخدام المواصفات

يمكنك حذف القواعد في iptables باستخدام خيار -d.يمكنك إزالة القائمين بيندز بضع طرق مختلفة.سنغطي قواعد إزالة القواعد من خلال المواصفات.على سبيل المثال، إذا كنت ترغب في إزالة القاعدة التي تسمح لجميع حركة المرور الواردة على المنفذ 443، كنت تستخدم الأمر التالي:

iptables -D INPUT -i eth0 -p tcp --dport 443 -j ACCEPT

قواعد التدفق

باستخدام IPTables ، يمكنك مسح القواعد. يمكن القيام بذلك عن طريق شطف سلسلة واحدة أو شطف كل السلاسل. سنغطي كلا الطريقتين أدناه.

لطرد سلسلة واحدة يمكنك استخدام خيار -f، أو خيار إضافي مكاني، جنبا إلى جنب مع اسم السلسلة الذي ترغب في تدفقه.على سبيل المثال، يمكنك حذف جميع القواعد في سلسلة الإدخال عن طريق الاستفادة من الأمر التالي:

iptables -F INPUT

لمسة جميع السلاسل، كنت تستخدم مرة أخرى الخيار -Flush -Flush مرة أخرى دون أي معلمات إضافية.سيؤدي ذلك بشكل فعال إلى إزالة جميع قواعد جدار الحماية بشكل فعال حاليا نشطا على الخادم.الأمر كما يلي:

iptables -F

منع عنوان IP

توفر iPtables القدرة على حظر اتصالات الشبكة من عنوان IP محدد.على سبيل المثال، لمنع جميع الاتصالات الواردة من 10.10.10.10، كنت تقوم بتشغيل الأمر التالي:

iptables -A INPUT -s 10.10.10.10 -j DROP

يمكنك أيضا رفض الاتصال، والذي سيستجيب مع خطأ "رفض الاتصال".استبدال الانخفاض مع الرفض.

iptables -A INPUT -s 10.10.10.10 -j REJECT

يمكنك أيضا حظر الاتصالات من IP محددة إلى جهاز شبكة معين، مثل ETH1، باستخدام خياري.

iptables -A INPUT -i eth1 -s 10.10.10.10 -j DROP

السماح بجميع اتصالات SSH الواردة

للسماح لجميع اتصالات SSH الواردة على منفذ SSH الافتراضي (22) ، استخدم الأوامر التالية:

iptables -A INPUT -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT

السماح لجميع اتصالات SSH الواردة من IP الصريح

يمكنك أيضا تحديد اتصالات SSH المسموح بها فقط من عنوان IP أو الشبكة الفرعية المحددة.على سبيل المثال، إذا كنت تريد فقط السماح بعنوان IP 10.10.10.10 للاتصال بالخادم عبر SSH، فستستخدم الأمر التالي:

iptables -A INPUT -p tcp -s 10.10.10.10 --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT

يمكن القيام بذلك أيضًا لشبكة فرعية بأكملها عن طريق إضافة الشبكة الفرعية إلى الأمر ، مثل / 27 كما يوضح الأمر التالي:

iptables -A INPUT -p tcp -s 10.10.10.10/27 --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

السماح باتصالات SSH الصادرة

قد لا يكون جدار الحماية الخاص بك تعيين سياسة الإخراج لقبوله.إذا كانت هذه هي الحالة، فقد تحتاج إلى السماح باتصالات SSH المنتهية ولايتها إذا كنت ترغب في الاتصال بخادم خارجي من الخادم الخاص بك مباشرة.يمكنك تشغيل الأوامر التالية لتحقيق ذلك على منفذ SSH الافتراضي (22).إذا كنت تستخدم منفذ SSH مختلف، فاستبدل "22" في المثال التالي برقم المنفذ الذي تستخدمه:

iptables -A OUTPUT -p tcp --dport 22 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

iptables -A INPUT -p tcp --sport 22 -m conntrack --ctstate ESTABLISHED -j ACCEPT

السماح لكافة اتصالات HTTP و HTTPS الواردة

بشكل افتراضي، يتم تقديم حركة مرور HTTP بشكل عام على المنفذ 80، ويتم تشغيل حركة مرور HTTPS عادة على المنفذ 443. يمكنك السماح كلا النوعين من الاتصالات بخادم الويب الخاص بك باستخدام الأوامر التالية.

ملحوظة: إذا كنت ترغب فقط في السماح للاحد وليس الآخر، فقم بإزالة رقم المنفذ من الأمر الذي يرتبط بروتوكول ترغب في السماح به.

iptables -A INPUT -p tcp -m multiport --dports 80,443 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -p tcp -m multiport --dports 80,443 -m conntrack --ctstate ESTABLISHED -j ACCEPT

منع الصادر SMTP

يسمح لك iPtables بحظر منافذ محددة، مثل منفذ SMTP الافتراضي (25). على سبيل المثال، قد لا ترغب في السماح بالبريد الصادر على الخادم الخاص بك. لإيقاف هذا باستخدام iptables، يمكنك إصدار الأمر التالي:

iptables -A OUTPUT -p tcp --dport 25 -j REJECT

سيقوم هذا بتكوين IPTables لرفض جميع حركة المرور الصادرة على المنفذ 25. إذا كنت ترغب في رفض حركة المرور على منفذ مختلف، يمكنك استبدال "25" مع رقم المنفذ المعني.

السماح باتصالات SMTP الواردة

يمكنك السماح لخادمك بالاستجابة لجميع اتصالات SMTP على المنفذ 25 عن طريق تشغيل الأوامر التالية:

iptables -A INPUT -p tcp --dport 25 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -p tcp --sport 25 -m conntrack --ctstate ESTABLISHED -j ACCEPT