چند سوال از iptables

[al1p0ur]

من فدورا 13 رو روی vmware ریختم . دو کارت شبکه داره که یکیش به اینترنت و دیگری به لوکال وصله .
اومدم ip_forward رو فعال کردم و با دستور زیر NAT رو راه انداختم :
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

الان لوکال هم اینترنت داره .
حالا من میخوام مثلا از 100 کلاینتی که تو لوکال دارم (فعلا محیط آزمایشیه) 60 تاشون اینترنت داشته باشن . و بقیه حتی ping هم به اینترنت نداشته باشن .

1-باید تو iptables اون 40 تا رو deny کنم ؟ یعنی برای هرکدوم یه همچین چیزی بنویسم ؟
iptables -A INPUT -s 172.16.1.2 -j DROP

2- آیا با دستور فوق دسترسی کلاینت های مورد نظر به اینترنت با تمام پروتکل ها بسته میشه ؟ (چون من هر کاری میکنم با این دستور فقط 80 بسته میشه و icmp و dns و.... باز هست !!! - البته الان 80 رو هم نمیبنده !!!)

3- حالا میخوام برای اون 60 تا مثلا 80 و 443 و 110 و 25 رو باز کنم و بقیه رو ببندم . بهترین راهش چیه ؟

4-ترتیب رول های iptables رو چه جوری میشه عوض کرد ؟ اصلا آیا ترتیبش مهمه ؟ میشه به جای نوشتن تو ترمینال ، توی یه فایل ، این دستورات رو نوشت و ویرایش کرد ؟

5- آیا بعد از هر تغییر تو iptables باید سرویسش restart شه ؟

چون سوالا همه مربوط به هم بود یه جا نوشتم . جواباش هم کوتاهه .
ممنون

---

موضوعات مشابه:

• iptables
• iptables
• iptables
• IpTables
• نکته های ظریف و کارای IPTABLES

---

[M-r-r]

1-باید تو iptables اون 40 تا رو deny کنم ؟ یعنی برای هرکدوم یه همچین چیزی بنویسم ؟
iptables -A INPUT -s 172.16.1.2 -j DROP

بصورت گروهی هم میتونید تعریف کنید. شکل کلی دستورتون درست هست :
iptables -A INPUT -s IP-ADDRESS -j DROP

2- آیا با دستور فوق دسترسی کلاینت های مورد نظر به اینترنت با تمام پروتکل ها بسته میشه ؟ (چون من هر کاری میکنم با این دستور فقط 80 بسته میشه و icmp و dns و.... باز هست !!! - البته الان 80 رو هم نمیبنده !!!)

بله، باید بسته بشه. دسترسی کلی این آدرس، به این سیستم و مسیر های اون باید بسته بشه. در غیر اینصورت، یه جای کار میلنگه؛ آیا سیستم مورد نظر، به این سیستم وابسته هست ؟

3- حالا میخوام برای اون 60 تا مثلا 80 و 443 و 110 و 25 رو باز کنم و بقیه رو ببندم . بهترین راهش چیه ؟

اول همه رو ببندید، (با روش بالا) بعد اون پورت هایی که میخواین باز باشن رو تعریف میکنید :
iptables -A INPUT -s 192.168.0.1 -p tcp --destination-port 25 -j ACCEPT
که اینجا پورت 25 رو تعریف کردیم.

4-ترتیب رول های iptables رو چه جوری میشه عوض کرد ؟ اصلا آیا ترتیبش مهمه ؟ میشه به جای نوشتن تو ترمینال ، توی یه فایل ، این دستورات رو نوشت و ویرایش کرد ؟

ترتیب 100% مهمه، هرکدوم زودتر اجرا بشه، تحت تاثیر پایین تری ها قرار میگیره. بله، میتونید اسکریپت براش در نظر بگیرید، میتونید در اتوران لینوکستون هم قرار بدینش. در اوبونتو در فایل rc.local قرار داشت. فدورا بر عهده شما.

5- آیا بعد از هر تغییر تو iptables باید سرویسش restart شه ؟

معمولا خیر، نیازی به راه اندازی مجدد نیست، اما روی فدورا6 این موضوع، فقط با ریست شدن سیستم اعمال میشد !

[al1p0ur]

ممنون محمد جان .
1- من هر کاری میکنم با دستور 1 نمیتونم اون ip رو ببندم . هیچ تنظیم خاصی هم رو iptable نکردم . فقط NAT و همون دستور DROP .
الان اون کلاینت هم اینترنت داره و ... !!!
با دستور iptables -L هم این رول رو نشون میده . سرویس رو restart کردم اما بازم نمیشه !

2 - برای بستن همه پورت ها یکجا چه دستوری هست ؟ اینا درسته ؟
iptables -A INPUT -s 172.16.0.0/16 -p tcp --dport 0:1023 -j DROP
iptables -A INPUT -s 172.16.0.0/16 -p icmp -j DROP

3- دستوری برای جابه جایی رول ها داریم ؟ (اگه بخواهیم بدون اسکریپت کار کنیم)

[M-r-r]

خواهش عزیز.
اگه روی این سیستم سرویس بخصوصی نداری، علی الحساب کل تنظیمات IPTABLES را پاک کن (iptables -F) و دوباره تنظیمات رو از اول وارد کن.
یه فایل مربوط به تنظیمات IPTABLES هست، حضور ذهن ندارم که اسمش چیه، کل تنظیمات در اون ذخیره میشه، میشه سطر ها رو جابجا کرد.

[al1p0ur]

اینم فایل iptables :

کد:

# Generated by iptables-save v1.4.7 on Sat Nov 27 14:44:55 2010
*nat
:PREROUTING ACCEPT [41:5581]
:POSTROUTING ACCEPT [27:1971]
:OUTPUT ACCEPT [27:1971]
-A POSTROUTING -s 172.16.0.0/16 -o eth0 -j MASQUERADE
COMMIT
# Completed on Sat Nov 27 14:44:55 2010
# Generated by iptables-save v1.4.7 on Sat Nov 27 14:44:55 2010
*filter
:INPUT ACCEPT [2:136]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -s 172.16.1.2/32 -j DROP
-A OUTPUT -s 172.16.1.2/32 -j DROP
COMMIT
# Completed on Sat Nov 27 14:44:55 2010

[M-r-r]

اونا رو که عرض کردم یه تست بگیرید، ببینین چی میشه...

[SADEGH65]

من فدورا 13 رو روی vmware ریختم . دو کارت شبکه داره که یکیش به اینترنت و دیگری به لوکال وصله .
اومدم ip_forward رو فعال کردم و با دستور زیر NAT رو راه انداختم :
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

الان لوکال هم اینترنت داره .
حالا من میخوام مثلا از 100 کلاینتی که تو لوکال دارم (فعلا محیط آزمایشیه) 60 تاشون اینترنت داشته باشن . و بقیه حتی ping هم به اینترنت نداشته باشن .

1-باید تو iptables اون 40 تا رو deny کنم ؟ یعنی برای هرکدوم یه همچین چیزی بنویسم ؟
iptables -A INPUT -s 172.16.1.2 -j DROP

2- آیا با دستور فوق دسترسی کلاینت های مورد نظر به اینترنت با تمام پروتکل ها بسته میشه ؟ (چون من هر کاری میکنم با این دستور فقط 80 بسته میشه و icmp و dns و.... باز هست !!! - البته الان 80 رو هم نمیبنده !!!)

3- حالا میخوام برای اون 60 تا مثلا 80 و 443 و 110 و 25 رو باز کنم و بقیه رو ببندم . بهترین راهش چیه ؟

4-ترتیب رول های iptables رو چه جوری میشه عوض کرد ؟ اصلا آیا ترتیبش مهمه ؟ میشه به جای نوشتن تو ترمینال ، توی یه فایل ، این دستورات رو نوشت و ویرایش کرد ؟

5- آیا بعد از هر تغییر تو iptables باید سرویسش restart شه ؟

چون سوالا همه مربوط به هم بود یه جا نوشتم . جواباش هم کوتاهه .
ممنون

بپ
ببینید رولهای فایروال در لینوکس ( منظورم صرفا iptables نیست ) در 3 رده و زنجیره ارتباطی و انتقالی دسته بندی میشوند و بهتر میدانم این 3 رده را اول آشنا بشوید تا تمامی تنظیمات و مواردی که پیش آمده خود بخود حل میشود.

عکس زیر را ببینید :


اگر مورد با nat های آن داشتید ( ممکن است مقداری عکس را نامفهوم کرده باشد.) PDF زیر را ببینید .
http://users.ecs.soton.ac.uk/ajf101/kptd.pdf

فایروال همانطوری که میبینید در 3 زنجیره متفاوت تقسیم میشود رول های فیلتر آن.
حال وقتی دارید از یک اینترفیس دیتا را به اینترفیس دیگر می دهید پس در زنجیره forward باید کار کنید و دستورات را در این زنجیره باید بنویسید.
در رولهایی که شما نوشته بودید و دیدم به صورت خلاصه شما فقز بر روی input تمرکز کرده بودید و در این صورت فقط موردی که پیش می آید آن رنج مشخص شده نمیتواند هیچ گونه ارتباط TCP/IP با این سیستم داشته باشد.

در مورد بستن کامل دسترسی ها باید رولی مانند رول پیش فرض بهضی از فایروال ها مانند ایزا به آخر موارد اضافه نمایید و تمامی ترافیک را دراپ کنید.

در مورد دستورات بله در هر فایروالی ترتیب مهم است و سیستم بر اساس ترتیب First match را بر روی پکت اعمال میکند ولی دقیقا نمیدانم به چه صورت باید ترتیب تغییر داد به جز همان فایل و بر روی ترتیب های آن.

در مورد ری استارت هم بله
در مورد مطالعه هم موضوع زیر را شدیدا پیشنهاد میکنم.
Quick HOWTO : Ch14 : Linux Firewalls Using iptables - Linux Home Networking

[al1p0ur]

ممنون صادق جان . بسیار عالی بود .
برداشت من از input تو iptables اشتباه بود . (مبتدی هستم دیگه)
حتما اون لینک رو مطالعه میکنم .

[mgholami]

دیر رسیدم یعنی
بله دقیقا input chain و out put chain هم تا جایی که من یادمه برای پکتهایی هست که مقصدشون به یا از فایرواله
برای کلاینتها شما بایید از chain forward استفاده کنید
دقت کردید من تازگی چقدر از این 2 تا کلمه استفاده میکنم : به - از

[al1p0ur]

و اما سوالات بعدی :

1- تو iptables میشه time تعریف کرد که مثلا فلان Ip از ساعت فلان تا فلان accept باشه ؟

2- میشه هنگام تعریف کردن رنج مجاز برای accept (مثلا دسترسی 40 نفر به پورت 80 ) به جای نوشتن تک تک ip ها ، از یک فایل استفاده کرد و ip های مورد نظر رو توی اون نوشت که مجبور نباشیم هر بار iptables رو edit کنیم ؟ یا مثلا همین کارو برای پورت های مجاز بکنیم ؟

با تشکر

[mgholami]

و اما سوالات بعدی :

1- تو iptables میشه time تعریف کرد که مثلا فلان Ip از ساعت فلان تا فلان accept باشه ؟

2- میشه هنگام تعریف کردن رنج مجاز برای accept (مثلا دسترسی 40 نفر به پورت 80 ) به جای نوشتن تک تک ip ها ، از یک فایل استفاده کرد و ip های مورد نظر رو توی اون نوشت که مجبور نباشیم هر بار iptables رو edit کنیم ؟ یا مثلا همین کارو برای پورت های مجاز بکنیم ؟

با تشکر

به صورت پیش فرض نمیشه ولی یه سری پچ هستند که با اونا یه کارایی میکنن مثلا iptables قابلیت string matching support رو نداره ولی این رو نگاه کنید
IPTables Linux firewall with packet string-matching support | Symantec Connect

[al1p0ur]

من وقتی از طریق terminal رول های iptables رو ثبت میکنم دستورات زیر رو برای save میزنم و اطلاعات در فایل iptables ذخیره میشه :

کد:

iptables-save
service iptables save
service iptables restart

اینجور تغییر دادن خب کمی مشکله ، مخصوصا برای تغییر اولویت رول ها . وقتی برای اعمال تغییرات خود فایل iptables رو باز میکنم (اینجور راحتتره) و تغییر میدم و دستورات بالا رو میزنم ، تغییرات ذخیره نمیشه !
میخواستم بدونم مشکل از چیه و اصلا روال کار برای اعمال تغییرات در iptables چیه ؟

سوال دیگه :
وقتی دستور iptables-save > myfilename رو میزنم فایل مورد نظر ساخته میشه ولی داخل آن خالیه !
چون طبق این لینک یکی از راههای ویرایش iptables ریختن تنظیمات در یک فایل و restore کردن اون بعد از تغییرات هست که متاسفانه فایلی که ساخته میشه خالیست .

ممنون

[darklove]

بهتر نیست برای IPtables یک سرویس درست کنی یا داخل rc.local قرار بدی ؟

[al1p0ur]

بهتر نیست برای IPtables یک سرویس درست کنی یا داخل rc.local قرار بدی ؟

میشه بیشتر توضیح بدید ؟
متوجه نمیشم !
خودش که یه سرویسه و موقع startup هم اتو ران میشه .

جوابم رو پیدا کردم
میگم شاید به درد بقیه هم خورد :
دستور iptables-save فایل تنظیمات جاری در حال اجرا هست رو نشون میده (یه چیزی تو مایه های runnig-config در cisco )
در فایل iptables تنظیمات اصلی و ماندنی وجود داره (یه چیزی تو مایه های startup-config در cisco )

وقتی از طریق ترمینال رول اضافه میشه این رول در فایل iptables ذخیره نمیشه بلکه در فایل کانفیگ جاری ثبت میشه و با دستور service iptables save این دستورات در فایل iptables ذخیره و ماندنی میشود.

اما وقتی که خود فایل iptables رو تغییر میدیم فایل کانفیگ جاری تغییر نمیکنه . بعد که دستور service iptables save رو میزنی فایل کانفیگ جاری روی فایل iptables رونویسی میشه و تغییرات از بین میره .
وقتی در فایل Iptables تغییرات ایجاد میشه قبل از save کردن ، باید این سرویس رو restart کرد تا فایل iptables در فایل کانفیگ جاری ثبت بشه و تغییرات اعمال بشه .