نکته های ظریف و کارای IPTABLES

Printable View

2005-09-11, 08:56 AM
saman_nn2000

نکته های ظریف و کارای IPTABLES

دوستان عزیز
هدف من نوشتن متنی در تشریح این دستورات و یا چگونگی کار آنها نیست ...چون قبلا یکی از اساتید فن در[URL=http://www.netfilter.org]اینجا[/URL] به صوت کامل این دستورات را تشریح نموده است...بلکه ذکر نکات و تجربه های عملی کار با این دستورات گیرا می باشد که امیدوارم معلوماتمان را در زمینه IPTABLES با هم به اشتراک بگذاریم:
[B]نکته۱:[/B]
بعد از استفاده از دستورات iptables بدین صورت آنها را save می کنیم:
[CODE]# iptables-save
# service iptables save
[/CODE]
[] بستن PING:
[CODE] # iptables -A OUTPUT -p icmp - j REJECT
# iptables -A INPUT -p icmp - j REJECT[/CODE]
و برای حذف این دستور چنین عمل می کنیم:
[CODE]# iptables -D OUTPUT -p icmp -j REJECT
[/CODE]
[] [] فعال کردن IP Forwarding:
[CODE] # echo "1" > /proc/sys/net/ipv4/ip_forward[/CODE]
2005-09-11, 11:55 AM
saman_nn2000

[B]برای Drop کردن درخواست IP خاص یا پورت خاص[/B] چنین عمل می کنیم:
.بستن پورت 23برای همه ip ها:
[CODE] # iptables -t nat -A POSTROUTING -o eth1 -p tcp -m tcp --dport 23 -j DROP[/CODE]

..بستن پورت های 22 و 23 برای همه ip ها:
[CODE] # iptables -t nat -A POSTROUTING -o eth1 -p tcp -m tcp --dport 22:23 -j DROP[/CODE]

...بستن پورت 22و 23 برای یک ip خاص:
[CODE] # iptables -t nat -A POSTROUTING -s 192.168.0.88 -o eth1 -p tcp -m tcp --dport 22:23 -j DROP[/CODE]

....برای drop کردن تمامی Packet های یک IP خاص:
[CODE] # iptables -A INPUT -s 217.61.158.248 -j DROP[/CODE]

..... برای Drop کردن SSH packetهای یک Ip خاص:
[CODE] # iptables -A INPUT -s 217.61.158.248 -p tcp --dport 22 -j DROP[/CODE]
2005-09-12, 11:33 AM
saman_nn2000

فعال کردن LOG در قوانین فایروال

برای اینکه مدیریت کامل تری به شبکه خود داشته باشیم و بتوانیم منابعی که در حال اسکن کردن سیستم ما هستند بیابیم و یا در هر حال گزارشی از عملکرد صحیح فایر وال داشته باشیم می توانیم به طرق ذیل Log فایل ها را برای موارد دلخواهمان فعال کنیم:

.[B]فعال کردن Log برای دیدن بسته های ICMP[/B]:
[CODE] # iptables -A OUTPUT -p icmp -j LOG --log-prefix "PING:> "
# iptables -A INPUT -p icmp -j LOG --log-prefix "PING:> "[/CODE]
برای دیدن این log ها به این مسیر بروید:
[CODE]/var/log/messages[/CODE]
و خط هایی را که با [CODE] PING:>[/CODE] شروع شده اند بررسی نمایید.( البته راه ساده تر آن استفاده از دستور فیلتر کننده grep و مختص کردن به log های فایروال می باشد)
[B]. فعال کردن Log برای دیدن Ftp:[/B]
[CODE] # iptables -A OUTPUT -p tcp -s 0/0 --dport 21 -j LOG --log-prefix "FTP:> "
# iptables -A INPUT -p tcp -s 0/0 --dport 21 -j LOG --log-prefix "FTP:> "[/CODE]
که در لاگ فایل ها دنبال عبارت انتخابی [CODE]FTP:>[/CODE] می گردیم.

.[B] فعال کردن Log برای یک ip خاص:[/B]
[CODE] # iptables -t nat POSTROUTING -s 192.168.0.88 -o eth1 -j LOG --log-prefix "<NAT88> "[/CODE]
که در لاگ فایل ها دنبال عبارت انتخابی [CODE]<NAT88>[/CODE] می گردیم.
2005-09-14, 08:16 AM
saman_nn2000

redirect کردن پورت های مختلف

در این بخش redirect کردن پورت های مختلف را با هم بررسی می کنیم:

1-[B]Transparent کردنSquid[/B]
[LEFT][CODE] # iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128[/CODE][/LEFT]

2-[B]برای redirect کردن گروهی از پورتها:[/B]
[LEFT][CODE] # iptables -t nat -A PREROUTING -p tcp -d 203.145.184.246 --dport 20:23 -j DNAT --to 192.168.0.88:20-23
# iptables -A FORWARD -p tcp -d 192.168.0.88 --dport 20:23 -j ACCEPT
# iptables -t nat -A PREROUTING -p udp -d 203.145.184.246 --dport 20:23 -j DNAT --to 192.168.0.88:20-23
# iptables -A FORWARD -p udp -d 192.168.0.88 --dport 20:23 -j ACCEPT[/CODE]
[/LEFT]
3- [B]برای redirect کردن تمامی درخواست های SMTP از اینترفیسeth0 به یک کامپیوتر دیگه داخل شبکه( LAN):[/B]
[LEFT][CODE] # iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 25 -j DNAT --to 192.168.0.88:25
# iptables -A FORWARD -p tcp -d 192.168.0.88 --dport 25 -j ACCEPT
[/CODE][/LEFT]
امیدوارم که گویا و قابل درک بوده باشند... :)
2005-09-14, 02:57 PM
sinaeslami

سامان جان واقعا دستت درد نکنه
خیلی زحمت کشیدی و خیلی مفید و به درد بخور بود. :)

من هم يك مقاله راجع به IPTABLES در آدرس زير قرار دادم و اميد وارم كه مورد استفاده قرار بگيره.
[URL="http://forum.persiannetworks.com/showthread.php?p=112470"]http://forum.persiannetworks.com/showthread.php?p=112470[/URL]
2005-09-17, 09:09 AM
saman_nn2000

Shareکردن اینترنت

ضمن تشکر از لطف دوستان عزیز و امید اینکه این مطالب مورد استفاده قرار گرفته باشه.... :)
در این بخش با استفاده از سیاست MASQUERADE اینترنت را در شبکه به اشتراک می گزاریم:

[B]A) با استفاده از دو کارت شبکه که یکی به اینترنت و دیگری به شبکه داخلی متصل است:
[/B]
[CODE] # iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE[/CODE]
(توضیح اینکه در اینجا eth1 اینترفیسی است که به اینترنت متصل است.)

[B]
B) با استفاده از مودم ( به صورت Dialup) و یک کارت شبکه:[/B]
[CODE] # iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE[/CODE]
( توضیح اینکه لازم است که IP forwarding نیز فعال شده باشد مطابق روش پست اول)
2005-09-18, 04:07 PM
saman_nn2000

[] برای دیدن قوانینی که اعمال کرده ایم :
[CODE] # iptables -L
# iptables -nL[/CODE]

[][] وبرای حذف کردن تمامی قوانین Iptables چنین عمل می کنیم:
[CODE] # iptables -F
# iptables -X
# iptables -Z

[/CODE]