문서규칙
각 규칙은 다음과 같이 표현됩니다. 조건 -j 액션 액션_옵션. 동일한 규칙에 여러 조건이 기술된 경우 기준은 접속사(논리적)입니다. 및)의 조건은 적어도 각 개별 조건만큼 제한적입니다.
XNUMXD덴탈의 -p 프로토콜 조건은 IP 패킷의 프로토콜 필드와 일치합니다. 가장 일반적인 값은 다음과 같습니다. TCP, udp, icmp및 ICMPV6. 이 조건은 다음과 같은 절을 사용하여 TCP 포트의 조건으로 보완될 수 있습니다. --소스 포트 포트 및 --대상 포트 포트.
조건부정 조건 앞에 느낌표를 붙이면 해당 조건이 무효화됩니다. 예를 들어, 조건을 부정하는 것은 -p 옵션은 "지정된 프로토콜과 다른 프로토콜을 사용하는 모든 패킷"과 일치합니다. 이 부정 메커니즘은 다른 모든 조건에도 적용될 수 있습니다.
조건부정 조건 앞에 느낌표를 붙이면 해당 조건이 무효화됩니다. 예를 들어, 조건을 부정하는 것은 -p 옵션은 "지정된 프로토콜과 다른 프로토콜을 사용하는 모든 패킷"과 일치합니다. 이 부정 메커니즘은 다른 모든 조건에도 적용될 수 있습니다.
XNUMXD덴탈의 -s 주소 or -s 네트워크/마스크 조건은 패킷의 소스 주소와 일치합니다. 이에 따라, -d 주소 or -d 네트워크/마스크 목적지 주소와 일치합니다.
XNUMXD덴탈의 -i 인터페이스 조건은 지정된 네트워크 인터페이스에서 들어오는 패킷을 선택합니다. -o 인터페이스
특정 인터페이스로 나가는 패킷을 선택합니다.
XNUMXD덴탈의 --상태 상태 조건은 연결에 있는 패킷의 상태와 일치합니다(이를 위해서는 ipt_ conntrack 연결 추적용 커널 모듈). 그만큼 현재 상태는 새로운 연결을 시작하는 패킷을 설명합니다. 설립 이미 존재하는 연결에 속하는 패킷과 일치합니다. 관련 기존 연결과 관련된 새로운 연결을 시작하는 패킷과 일치합니다(이는 FTP 데이터 FTP 프로토콜의 "활성" 모드에서의 연결).
사용할 수 있는 옵션이 많이 있습니다. iptables에 및 IP6테이블 그리고 그것들을 모두 익히려면 많은 연구와 경험이 필요합니다. 그러나 가장 자주 사용하게 될 옵션 중 하나는 호스트 또는 호스트 범위에서 발생하는 악성 네트워크 트래픽을 차단하는 것입니다. 예를 들어 해당 IP 주소에서 들어오는 트래픽을 자동으로 차단하려면 10.0.1.5 그리고 31.13.74.0/24 클래스 C 서브넷:
# iptables -A 입력 -s 10.0.1.5 -j DROP
# iptables -A 입력 -s 31.13.74.0/24 -j DROP
# iptables -n -L 입력
체인 INPUT(정책 수락)
타겟 보호 옵션 소스 대상
모두 삭제 -- 10.0.1.5 0.0.0.0/0 모두 삭제 -- 31.13.74.0/24 0.0.0.0/0
또 일반적으로 사용되는 iptables에 명령은 특정 서비스나 포트에 대한 네트워크 트래픽을 허용하는 것입니다. 사용자가 SSH, HTTP 및 IMAP에 연결하도록 허용하려면 다음 명령을 실행할 수 있습니다.
# iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT
# iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
# iptables -A INPUT -m state --state NEW -p tcp --dport 143 -j ACCEPT
# iptables -n -L 입력
체인 INPUT(정책 수락)
목표 | 제자 | 고르다 |
| 목적지 | ||||
DROP | 모든 | -- | 10.0.1.5 | 0.0.0.0/0 | ||||
DROP | 모든 | -- | 31.13.74.0/24 | 0.0.0.0/0 | ||||
동의 | TCP | -- | 0.0.0.0/0 | 0.0.0.0/0 | 상태 | 현재 | TCP | dpt:22 |
동의 | TCP | -- | 0.0.0.0/0 | 0.0.0.0/0 | 상태 | 현재 | TCP | dpt:80 |
동의 | TCP | -- | 0.0.0.0/0 | 0.0.0.0/0 | 상태 | 현재 | TCP | dpt:143 |
좋은 컴퓨터라고 생각됩니다 위생 오래되고 불필요한 규칙을 정리합니다. 삭제하는 가장 쉬운 방법 iptables에 규칙은 줄 번호로 규칙을 참조하는 것입니다.
전에, --줄 번호 옵션. 하지만 주의하세요. 규칙을 삭제하면 체인에서 더 아래쪽에 나타나는 모든 규칙의 번호가 다시 지정됩니다.
# iptables -n -L INPUT --라인 번호
체인 INPUT(정책 수락)
대상 보호 옵션 소스 대상 수
1 | DROP | 모든 | -- | 10.0.1.5 | 0.0.0.0/0 | |
2 | DROP | 모든 | -- | 31.13.74.0/24 | 0.0.0.0/0 | |
3 | 동의 | TCP | -- | 0.0.0.0/0 | 0.0.0.0/0 | 상태 NEW tcp dpt:22 |
4 | 동의 | TCP | -- | 0.0.0.0/0 | 0.0.0.0/0 | 상태 NEW tcp dpt:80 |
5 | 동의 | TCP | -- | 0.0.0.0/0 | 0.0.0.0/0 | 상태 NEW tcp dpt:143 |
# iptables -D 입력 2
# iptables -D 입력 1
# iptables -n -L INPUT --라인 번호
체인 INPUT(정책 수락)
대상 보호 옵션 소스 대상 수
1 | 동의 | TCP | -- | 0.0.0.0/0 | 0.0.0.0/0 | 상태 NEW tcp dpt:22 |
2 | 동의 | TCP | -- | 0.0.0.0/0 | 0.0.0.0/0 | 상태 NEW tcp dpt:80 |
3 | 동의 | TCP | -- | 0.0.0.0/0 | 0.0.0.0/0 | 상태 NEW tcp dpt:143 |
위에서 설명한 일반적인 조건에 따라 더 구체적인 조건이 있습니다. 자세한 내용은 다음을 참조하세요. iptables(8) 및 IP6테이블(8)