نکته های ظریف و کارای IPTABLES

saman_nn2000 · 2005-09-11, 09:56 AM

دوستان عزیز
هدف من نوشتن متنی در تشریح این دستورات و یا چگونگی کار آنها نیست ...چون قبلا یکی از اساتید فن دراینجا به صوت کامل این دستورات را تشریح نموده است...بلکه ذکر نکات و تجربه های عملی کار با این دستورات گیرا می باشد که امیدوارم معلوماتمان را در زمینه IPTABLES با هم به اشتراک بگذاریم:
نکته۱:
بعد از استفاده از دستورات iptables بدین صورت آنها را save می کنیم:

Code:

# iptables-save 
 # service iptables save

[] بستن PING:

Code:

 # iptables -A OUTPUT -p icmp - j REJECT
# iptables -A INPUT -p icmp - j REJECT

و برای حذف این دستور چنین عمل می کنیم:

Code:

# iptables -D OUTPUT -p icmp -j REJECT

[] [] فعال کردن IP Forwarding:

Code:

 # echo "1" > /proc/sys/net/ipv4/ip_forward

saman_nn2000 · 2005-09-11, 12:55 PM

برای Drop کردن درخواست IP خاص یا پورت خاص چنین عمل می کنیم:
.بستن پورت 23برای همه ip ها:

Code:

 # iptables -t nat -A POSTROUTING -o eth1 -p tcp -m tcp --dport 23 -j DROP

..بستن پورت های 22 و 23 برای همه ip ها:

Code:

 # iptables -t nat -A POSTROUTING -o eth1 -p tcp -m tcp --dport 22:23 -j DROP

...بستن پورت 22و 23 برای یک ip خاص:

Code:

 # iptables -t nat -A POSTROUTING -s 192.168.0.88 -o eth1 -p tcp -m tcp --dport 22:23 -j DROP

....برای drop کردن تمامی Packet های یک IP خاص:

Code:

 # iptables -A INPUT -s 217.61.158.248 -j DROP

..... برای Drop کردن SSH packetهای یک Ip خاص:

Code:

 # iptables -A INPUT -s 217.61.158.248 -p tcp --dport 22 -j DROP

saman_nn2000 · 2005-09-12, 12:33 PM

برای اینکه مدیریت کامل تری به شبکه خود داشته باشیم و بتوانیم منابعی که در حال اسکن کردن سیستم ما هستند بیابیم و یا در هر حال گزارشی از عملکرد صحیح فایر وال داشته باشیم می توانیم به طرق ذیل Log فایل ها را برای موارد دلخواهمان فعال کنیم:

.فعال کردن Log برای دیدن بسته های ICMP:

Code:

 # iptables -A OUTPUT -p icmp -j LOG --log-prefix "PING:> "
# iptables -A INPUT -p icmp -j LOG --log-prefix "PING:> "

برای دیدن این log ها به این مسیر بروید:

Code:

/var/log/messages

و خط هایی را که با

Code:

 PING:>

شروع شده اند بررسی نمایید.( البته راه ساده تر آن استفاده از دستور فیلتر کننده grep و مختص کردن به log های فایروال می باشد)
. فعال کردن Log برای دیدن Ftp:

Code:

 # iptables -A OUTPUT -p tcp -s 0/0 --dport 21 -j LOG --log-prefix "FTP:> "
# iptables -A INPUT -p tcp -s 0/0 --dport 21 -j LOG --log-prefix "FTP:> "

که در لاگ فایل ها دنبال عبارت انتخابی

Code:

FTP:>

می گردیم.

. فعال کردن Log برای یک ip خاص:

Code:

 # iptables -t  nat POSTROUTING -s 192.168.0.88 -o eth1 -j LOG --log-prefix "<NAT88> "

که در لاگ فایل ها دنبال عبارت انتخابی

Code:

<NAT88>

می گردیم.

saman_nn2000 · 2005-09-14, 09:16 AM

در این بخش redirect کردن پورت های مختلف را با هم بررسی می کنیم:

1-Transparent کردنSquid

Code:

 # iptables -t nat -A PREROUTING -p tcp --dport 80  -j REDIRECT --to-ports 3128

2-برای redirect کردن گروهی از پورتها:

Code:

 # iptables -t nat -A PREROUTING -p tcp -d 203.145.184.246 --dport 20:23 -j DNAT --to 192.168.0.88:20-23
# iptables -A FORWARD -p tcp -d 192.168.0.88 --dport 20:23 -j ACCEPT
# iptables -t nat -A PREROUTING -p udp -d 203.145.184.246 --dport 20:23 -j DNAT --to 192.168.0.88:20-23
# iptables -A FORWARD -p udp -d 192.168.0.88 --dport 20:23 -j ACCEPT

3- برای redirect کردن تمامی درخواست های SMTP از اینترفیسeth0 به یک کامپیوتر دیگه داخل شبکه( LAN):

Code:

 # iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 25 -j DNAT --to 192.168.0.88:25
# iptables -A FORWARD -p tcp -d 192.168.0.88 --dport 25 -j ACCEPT

امیدوارم که گویا و قابل درک بوده باشند...

sinaeslami · 2005-09-14, 03:57 PM

سامان جان واقعا دستت درد نکنه
خیلی زحمت کشیدی و خیلی مفید و به درد بخور بود.

من هم يك مقاله راجع به IPTABLES در آدرس زير قرار دادم و اميد وارم كه مورد استفاده قرار بگيره.
http://forum.persiannetworks.com/sho...d.php?p=112470

saman_nn2000 · 2005-09-17, 10:09 AM

ضمن تشکر از لطف دوستان عزیز و امید اینکه این مطالب مورد استفاده قرار گرفته باشه....

در این بخش با استفاده از سیاست MASQUERADE اینترنت را در شبکه به اشتراک می گزاریم:

A) با استفاده از دو کارت شبکه که یکی به اینترنت و دیگری به شبکه داخلی متصل است:

Code:

 # iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

(توضیح اینکه در اینجا eth1 اینترفیسی است که به اینترنت متصل است.)

B) با استفاده از مودم ( به صورت Dialup) و یک کارت شبکه:

Code:

 # iptables -t  nat  -A POSTROUTING -o ppp0 -j MASQUERADE

( توضیح اینکه لازم است که IP forwarding نیز فعال شده باشد مطابق روش پست اول)

saman_nn2000 · 2005-09-18, 05:07 PM

[] برای دیدن قوانینی که اعمال کرده ایم :

Code:

 # iptables -L
# iptables -nL

[][] وبرای حذف کردن تمامی قوانین Iptables چنین عمل می کنیم:

Code:

 # iptables -F
# iptables -X
# iptables -Z

2005-09-11, 09:56 AM	#1 (permalink)
saman_nn2000 (Saman Nasrollahi) مدیر بخش Linux Join Date: Feb 2004 Location: Iran_Kurdistan نوشته ها: 583 Thanks: 3 Thanked 34 Times in 19 Posts Groans: 0 Groaned at 0 Times in 0 Posts	نکته های ظریف و کارای IPTABLES دوستان عزیز هدف من نوشتن متنی در تشریح این دستورات و یا چگونگی کار آنها نیست ...چون قبلا یکی از اساتید فن دراینجا به صوت کامل این دستورات را تشریح نموده است...بلکه ذکر نکات و تجربه های عملی کار با این دستورات گیرا می باشد که امیدوارم معلوماتمان را در زمینه IPTABLES با هم به اشتراک بگذاریم: نکته۱: بعد از استفاده از دستورات iptables بدین صورت آنها را save می کنیم: Code: # iptables-save # service iptables save [] بستن PING: Code: # iptables -A OUTPUT -p icmp - j REJECT # iptables -A INPUT -p icmp - j REJECT و برای حذف این دستور چنین عمل می کنیم: Code: # iptables -D OUTPUT -p icmp -j REJECT [] [] فعال کردن IP Forwarding: Code: # echo "1" > /proc/sys/net/ipv4/ip_forward __________________ Saman Saman _nn2000 (at) yahoo (.) com

2005-09-11, 12:55 PM	#2 (permalink)
saman_nn2000 (Saman Nasrollahi) مدیر بخش Linux Join Date: Feb 2004 Location: Iran_Kurdistan نوشته ها: 583 Thanks: 3 Thanked 34 Times in 19 Posts Groans: 0 Groaned at 0 Times in 0 Posts	برای Drop کردن درخواست IP خاص یا پورت خاص چنین عمل می کنیم: .بستن پورت 23برای همه ip ها: Code: # iptables -t nat -A POSTROUTING -o eth1 -p tcp -m tcp --dport 23 -j DROP ..بستن پورت های 22 و 23 برای همه ip ها: Code: # iptables -t nat -A POSTROUTING -o eth1 -p tcp -m tcp --dport 22:23 -j DROP ...بستن پورت 22و 23 برای یک ip خاص: Code: # iptables -t nat -A POSTROUTING -s 192.168.0.88 -o eth1 -p tcp -m tcp --dport 22:23 -j DROP ....برای drop کردن تمامی Packet های یک IP خاص: Code: # iptables -A INPUT -s 217.61.158.248 -j DROP ..... برای Drop کردن SSH packetهای یک Ip خاص: Code: # iptables -A INPUT -s 217.61.158.248 -p tcp --dport 22 -j DROP __________________ Saman Saman _nn2000 (at) yahoo (.) com

2005-09-12, 12:33 PM	#3 (permalink)
saman_nn2000 (Saman Nasrollahi) مدیر بخش Linux Join Date: Feb 2004 Location: Iran_Kurdistan نوشته ها: 583 Thanks: 3 Thanked 34 Times in 19 Posts Groans: 0 Groaned at 0 Times in 0 Posts	فعال کردن LOG در قوانین فایروال برای اینکه مدیریت کامل تری به شبکه خود داشته باشیم و بتوانیم منابعی که در حال اسکن کردن سیستم ما هستند بیابیم و یا در هر حال گزارشی از عملکرد صحیح فایر وال داشته باشیم می توانیم به طرق ذیل Log فایل ها را برای موارد دلخواهمان فعال کنیم: .فعال کردن Log برای دیدن بسته های ICMP: Code: # iptables -A OUTPUT -p icmp -j LOG --log-prefix "PING:> " # iptables -A INPUT -p icmp -j LOG --log-prefix "PING:> " برای دیدن این log ها به این مسیر بروید: Code: /var/log/messages و خط هایی را که با Code: PING:> شروع شده اند بررسی نمایید.( البته راه ساده تر آن استفاده از دستور فیلتر کننده grep و مختص کردن به log های فایروال می باشد) . فعال کردن Log برای دیدن Ftp: Code: # iptables -A OUTPUT -p tcp -s 0/0 --dport 21 -j LOG --log-prefix "FTP:> " # iptables -A INPUT -p tcp -s 0/0 --dport 21 -j LOG --log-prefix "FTP:> " که در لاگ فایل ها دنبال عبارت انتخابی Code: FTP:> می گردیم. . فعال کردن Log برای یک ip خاص: Code: # iptables -t nat POSTROUTING -s 192.168.0.88 -o eth1 -j LOG --log-prefix "<NAT88> " که در لاگ فایل ها دنبال عبارت انتخابی Code: <NAT88> می گردیم. __________________ Saman Saman _nn2000 (at) yahoo (.) com

2005-09-14, 09:16 AM	#4 (permalink)
saman_nn2000 (Saman Nasrollahi) مدیر بخش Linux Join Date: Feb 2004 Location: Iran_Kurdistan نوشته ها: 583 Thanks: 3 Thanked 34 Times in 19 Posts Groans: 0 Groaned at 0 Times in 0 Posts	redirect کردن پورت های مختلف در این بخش redirect کردن پورت های مختلف را با هم بررسی می کنیم: 1-Transparent کردنSquid Code: # iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128 2-برای redirect کردن گروهی از پورتها: Code: # iptables -t nat -A PREROUTING -p tcp -d 203.145.184.246 --dport 20:23 -j DNAT --to 192.168.0.88:20-23 # iptables -A FORWARD -p tcp -d 192.168.0.88 --dport 20:23 -j ACCEPT # iptables -t nat -A PREROUTING -p udp -d 203.145.184.246 --dport 20:23 -j DNAT --to 192.168.0.88:20-23 # iptables -A FORWARD -p udp -d 192.168.0.88 --dport 20:23 -j ACCEPT 3- برای redirect کردن تمامی درخواست های SMTP از اینترفیسeth0 به یک کامپیوتر دیگه داخل شبکه( LAN): Code: # iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 25 -j DNAT --to 192.168.0.88:25 # iptables -A FORWARD -p tcp -d 192.168.0.88 --dport 25 -j ACCEPT امیدوارم که گویا و قابل درک بوده باشند... __________________ Saman Saman _nn2000 (at) yahoo (.) com

2005-09-14, 03:57 PM	#5 (permalink)
sinaeslami Registered User Join Date: Oct 2004 Location: Iran,Mazandaran,chalous نوشته ها: 310 Thanks: 0 Thanked 36 Times in 25 Posts Groans: 0 Groaned at 0 Times in 0 Posts	سامان جان واقعا دستت درد نکنه خیلی زحمت کشیدی و خیلی مفید و به درد بخور بود. من هم يك مقاله راجع به IPTABLES در آدرس زير قرار دادم و اميد وارم كه مورد استفاده قرار بگيره. http://forum.persiannetworks.com/sho...d.php?p=112470 __________________ سينا اسلامي Yahoo ID & Email : sina20022006[AT]yahoo[DOT]com

2005-09-17, 10:09 AM	#6 (permalink)
saman_nn2000 (Saman Nasrollahi) مدیر بخش Linux Join Date: Feb 2004 Location: Iran_Kurdistan نوشته ها: 583 Thanks: 3 Thanked 34 Times in 19 Posts Groans: 0 Groaned at 0 Times in 0 Posts	Shareکردن اینترنت ضمن تشکر از لطف دوستان عزیز و امید اینکه این مطالب مورد استفاده قرار گرفته باشه.... در این بخش با استفاده از سیاست MASQUERADE اینترنت را در شبکه به اشتراک می گزاریم: A) با استفاده از دو کارت شبکه که یکی به اینترنت و دیگری به شبکه داخلی متصل است: Code: # iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE (توضیح اینکه در اینجا eth1 اینترفیسی است که به اینترنت متصل است.) B) با استفاده از مودم ( به صورت Dialup) و یک کارت شبکه: Code: # iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE ( توضیح اینکه لازم است که IP forwarding نیز فعال شده باشد مطابق روش پست اول) __________________ Saman Saman _nn2000 (at) yahoo (.) com

2005-09-18, 05:07 PM	#7 (permalink)
saman_nn2000 (Saman Nasrollahi) مدیر بخش Linux Join Date: Feb 2004 Location: Iran_Kurdistan نوشته ها: 583 Thanks: 3 Thanked 34 Times in 19 Posts Groans: 0 Groaned at 0 Times in 0 Posts	[] برای دیدن قوانینی که اعمال کرده ایم : Code: # iptables -L # iptables -nL [][] وبرای حذف کردن تمامی قوانین Iptables چنین عمل می کنیم: Code: # iptables -F # iptables -X # iptables -Z __________________ Saman Saman _nn2000 (at) yahoo (.) com

امکانات بيشتر	جستجو در اين بحث
Show Printable Version Email this Page	جستجو در اين بحث: جستجوی پیشرفته
نحوه نمايش	Rate This Thread
Linear Mode Switch to Hybrid Mode Switch to Threaded Mode	Rate This Thread:

مطالب مشابه
مطلب	آغازگر	انجمن	پاسخ	آخرین نوشته
وب سرويس چيست ؟	sinaeslami	مقالات عمومی شبکه -ا-	0	2005-08-27 04:55 PM
مفاهیم پایه‌ای لینوکس	sinaeslami	Linux -ا-	0	2005-08-07 06:49 PM
شبکه VPN چیست؟	masood_y	مقالات عمومی شبکه -ا-	0	2005-08-02 12:11 PM
نصب نرم افزار در لینوکس	sinaeslami	Linux -ا-	0	2005-07-21 01:55 AM
درباره DNS	masood_y	مقالات عمومی شبکه -ا-	0	2005-06-01 09:08 PM