نکته های ظریف و کارای IPTABLES

**saman_nn2000** · 2005-09-11, 08:56 AM

دوستان عزیز
هدف من نوشتن متنی در تشریح این دستورات و یا چگونگی کار آنها نیست ...چون قبلا یکی از اساتید فن دراینجا به صوت کامل این دستورات را تشریح نموده است...بلکه ذکر نکات و تجربه های عملی کار با این دستورات گیرا می باشد که امیدوارم معلوماتمان را در زمینه IPTABLES با هم به اشتراک بگذاریم:
نکته۱:
بعد از استفاده از دستورات iptables بدین صورت آنها را save می کنیم:

کد:

# iptables-save 
 # service iptables save

[] بستن PING:

کد:

 # iptables -A OUTPUT -p icmp - j REJECT
# iptables -A INPUT -p icmp - j REJECT

و برای حذف این دستور چنین عمل می کنیم:

کد:

# iptables -D OUTPUT -p icmp -j REJECT

[] [] فعال کردن IP Forwarding:

کد:

 # echo "1" > /proc/sys/net/ipv4/ip_forward

موضوعات مشابه:

**saman_nn2000** · 2005-09-11, 11:55 AM

برای Drop کردن درخواست IP خاص یا پورت خاص چنین عمل می کنیم:
.بستن پورت 23برای همه ip ها:

کد:

 # iptables -t nat -A POSTROUTING -o eth1 -p tcp -m tcp --dport 23 -j DROP

..بستن پورت های 22 و 23 برای همه ip ها:

کد:

 # iptables -t nat -A POSTROUTING -o eth1 -p tcp -m tcp --dport 22:23 -j DROP

...بستن پورت 22و 23 برای یک ip خاص:

کد:

 # iptables -t nat -A POSTROUTING -s 192.168.0.88 -o eth1 -p tcp -m tcp --dport 22:23 -j DROP

....برای drop کردن تمامی Packet های یک IP خاص:

کد:

 # iptables -A INPUT -s 217.61.158.248 -j DROP

..... برای Drop کردن SSH packetهای یک Ip خاص:

کد:

 # iptables -A INPUT -s 217.61.158.248 -p tcp --dport 22 -j DROP

**saman_nn2000** · 2005-09-12, 11:33 AM

برای اینکه مدیریت کامل تری به شبکه خود داشته باشیم و بتوانیم منابعی که در حال اسکن کردن سیستم ما هستند بیابیم و یا در هر حال گزارشی از عملکرد صحیح فایر وال داشته باشیم می توانیم به طرق ذیل Log فایل ها را برای موارد دلخواهمان فعال کنیم:

.فعال کردن Log برای دیدن بسته های ICMP:

کد:

 # iptables -A OUTPUT -p icmp -j LOG --log-prefix "PING:> "
# iptables -A INPUT -p icmp -j LOG --log-prefix "PING:> "

برای دیدن این log ها به این مسیر بروید:

کد:

/var/log/messages

و خط هایی را که با

کد:

 PING:>

شروع شده اند بررسی نمایید.( البته راه ساده تر آن استفاده از دستور فیلتر کننده grep و مختص کردن به log های فایروال می باشد)
. فعال کردن Log برای دیدن Ftp:

کد:

 # iptables -A OUTPUT -p tcp -s 0/0 --dport 21 -j LOG --log-prefix "FTP:> "
# iptables -A INPUT -p tcp -s 0/0 --dport 21 -j LOG --log-prefix "FTP:> "

که در لاگ فایل ها دنبال عبارت انتخابی

کد:

FTP:>

می گردیم.

. فعال کردن Log برای یک ip خاص:

کد:

 # iptables -t  nat POSTROUTING -s 192.168.0.88 -o eth1 -j LOG --log-prefix "<NAT88> "

که در لاگ فایل ها دنبال عبارت انتخابی

کد:

<NAT88>

می گردیم.

**saman_nn2000** · 2005-09-14, 08:16 AM

در این بخش redirect کردن پورت های مختلف را با هم بررسی می کنیم:

1-Transparent کردنSquid

کد:

 # iptables -t nat -A PREROUTING -p tcp --dport 80  -j REDIRECT --to-ports 3128

2-برای redirect کردن گروهی از پورتها:

کد:

 # iptables -t nat -A PREROUTING -p tcp -d 203.145.184.246 --dport 20:23 -j DNAT --to 192.168.0.88:20-23
# iptables -A FORWARD -p tcp -d 192.168.0.88 --dport 20:23 -j ACCEPT
# iptables -t nat -A PREROUTING -p udp -d 203.145.184.246 --dport 20:23 -j DNAT --to 192.168.0.88:20-23
# iptables -A FORWARD -p udp -d 192.168.0.88 --dport 20:23 -j ACCEPT

3- برای redirect کردن تمامی درخواست های SMTP از اینترفیسeth0 به یک کامپیوتر دیگه داخل شبکه( LAN):

کد:

 # iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 25 -j DNAT --to 192.168.0.88:25
# iptables -A FORWARD -p tcp -d 192.168.0.88 --dport 25 -j ACCEPT

امیدوارم که گویا و قابل درک بوده باشند...

**sinaeslami** · 2005-09-14, 02:57 PM

سامان جان واقعا دستت درد نکنه
خیلی زحمت کشیدی و خیلی مفید و به درد بخور بود.

من هم يك مقاله راجع به IPTABLES در آدرس زير قرار دادم و اميد وارم كه مورد استفاده قرار بگيره.
http://forum.persiannetworks.com/sho...d.php?p=112470

**saman_nn2000** · 2005-09-17, 09:09 AM

ضمن تشکر از لطف دوستان عزیز و امید اینکه این مطالب مورد استفاده قرار گرفته باشه....

در این بخش با استفاده از سیاست MASQUERADE اینترنت را در شبکه به اشتراک می گزاریم:

A) با استفاده از دو کارت شبکه که یکی به اینترنت و دیگری به شبکه داخلی متصل است:

کد:

 # iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

(توضیح اینکه در اینجا eth1 اینترفیسی است که به اینترنت متصل است.)

B) با استفاده از مودم ( به صورت Dialup) و یک کارت شبکه:

کد:

 # iptables -t  nat  -A POSTROUTING -o ppp0 -j MASQUERADE

( توضیح اینکه لازم است که IP forwarding نیز فعال شده باشد مطابق روش پست اول)

**saman_nn2000** · 2005-09-18, 04:07 PM

[] برای دیدن قوانینی که اعمال کرده ایم :

کد:

 # iptables -L
# iptables -nL

[][] وبرای حذف کردن تمامی قوانین Iptables چنین عمل می کنیم:

کد:

 # iptables -F
# iptables -X
# iptables -Z

موضوع: نکته های ظریف و کارای IPTABLES

پیوند

ابزارهای موضوع

نمایش

نکته های ظریف و کارای IPTABLES

فعال کردن LOG در قوانین فایروال

redirect کردن پورت های مختلف

Shareکردن اینترنت

کلمات کلیدی در جستجوها:

دستورات iptables

iptable در لینوکس

nat iptable در لینوکس با دستور

iptable در لینوکس

دستور iptables در لینوکس

تاریخچه iptables

بستن ping iptables

دستورات iptable

iptables در لینوکس

تمام دستورات iptables

نکات مهم در iptable

نکته های ظریف

دستورات iptable در لينوكس

iptables دستورات

برچسب برای این موضوع

مجوز های ارسال و ویرایش