نکته های ظریف و کارای IPTABLES
دوستان عزیز
هدف من نوشتن متنی در تشریح این دستورات و یا چگونگی کار آنها نیست ...چون قبلا یکی از اساتید فن در[URL=http://www.netfilter.org]اینجا[/URL] به صوت کامل این دستورات را تشریح نموده است...بلکه ذکر نکات و تجربه های عملی کار با این دستورات گیرا می باشد که امیدوارم معلوماتمان را در زمینه IPTABLES با هم به اشتراک بگذاریم:
[B]نکته۱:[/B]
بعد از استفاده از دستورات iptables بدین صورت آنها را save می کنیم:
[CODE]# iptables-save
# service iptables save
[/CODE]
[] بستن PING:
[CODE] # iptables -A OUTPUT -p icmp - j REJECT
# iptables -A INPUT -p icmp - j REJECT[/CODE]
و برای حذف این دستور چنین عمل می کنیم:
[CODE]# iptables -D OUTPUT -p icmp -j REJECT
[/CODE]
[] [] فعال کردن IP Forwarding:
[CODE] # echo "1" > /proc/sys/net/ipv4/ip_forward[/CODE]
فعال کردن LOG در قوانین فایروال
برای اینکه مدیریت کامل تری به شبکه خود داشته باشیم و بتوانیم منابعی که در حال اسکن کردن سیستم ما هستند بیابیم و یا در هر حال گزارشی از عملکرد صحیح فایر وال داشته باشیم می توانیم به طرق ذیل Log فایل ها را برای موارد دلخواهمان فعال کنیم:
.[B]فعال کردن Log برای دیدن بسته های ICMP[/B]:
[CODE] # iptables -A OUTPUT -p icmp -j LOG --log-prefix "PING:> "
# iptables -A INPUT -p icmp -j LOG --log-prefix "PING:> "[/CODE]
برای دیدن این log ها به این مسیر بروید:
[CODE]/var/log/messages[/CODE]
و خط هایی را که با [CODE] PING:>[/CODE] شروع شده اند بررسی نمایید.( البته راه ساده تر آن استفاده از دستور فیلتر کننده grep و مختص کردن به log های فایروال می باشد)
[B]. فعال کردن Log برای دیدن Ftp:[/B]
[CODE] # iptables -A OUTPUT -p tcp -s 0/0 --dport 21 -j LOG --log-prefix "FTP:> "
# iptables -A INPUT -p tcp -s 0/0 --dport 21 -j LOG --log-prefix "FTP:> "[/CODE]
که در لاگ فایل ها دنبال عبارت انتخابی [CODE]FTP:>[/CODE] می گردیم.
.[B] فعال کردن Log برای یک ip خاص:[/B]
[CODE] # iptables -t nat POSTROUTING -s 192.168.0.88 -o eth1 -j LOG --log-prefix "<NAT88> "[/CODE]
که در لاگ فایل ها دنبال عبارت انتخابی [CODE]<NAT88>[/CODE] می گردیم.
redirect کردن پورت های مختلف
در این بخش redirect کردن پورت های مختلف را با هم بررسی می کنیم:
1-[B]Transparent کردنSquid[/B]
[LEFT][CODE] # iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128[/CODE][/LEFT]
2-[B]برای redirect کردن گروهی از پورتها:[/B]
[LEFT][CODE] # iptables -t nat -A PREROUTING -p tcp -d 203.145.184.246 --dport 20:23 -j DNAT --to 192.168.0.88:20-23
# iptables -A FORWARD -p tcp -d 192.168.0.88 --dport 20:23 -j ACCEPT
# iptables -t nat -A PREROUTING -p udp -d 203.145.184.246 --dport 20:23 -j DNAT --to 192.168.0.88:20-23
# iptables -A FORWARD -p udp -d 192.168.0.88 --dport 20:23 -j ACCEPT[/CODE]
[/LEFT]
3- [B]برای redirect کردن تمامی درخواست های SMTP از اینترفیسeth0 به یک کامپیوتر دیگه داخل شبکه( LAN):[/B]
[LEFT][CODE] # iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 25 -j DNAT --to 192.168.0.88:25
# iptables -A FORWARD -p tcp -d 192.168.0.88 --dport 25 -j ACCEPT
[/CODE][/LEFT]
امیدوارم که گویا و قابل درک بوده باشند... :)