7.2. Использование iptables
Первым этапом в использовании iptables является запуск службы iptables. Это можно сделать с помощью команды:
service iptables start |
 | Предупреждение | |
|---|---|---|
Чтобы служба iptables смогла работать, следует выключить IP6Tables, выполнив следующие команды:
|
Чтобы iptables по умолчанию запускалась при загрузке системы, вы должны изменить уровень выполнения этой службы с помощью chkconfig.
chkconfig --level 345 iptables on |
Синтаксис iptables поделён на ярусы. Основной ярус — это цепочка (chain). Параметр chain определяет состояние, в котором обрабатывается пакет. Используется это так:
iptables -A chain -j target |
Параметр -A добавляет правило в конец существующего набора правил. В параметре chain задаётся имя цепочки правил. В iptables три цепочки (или состояния, которые проходят пакеты, пересылаемые по сети): INPUT, OUTPUT и FORWARD. Эти цепочки фиксированы и удалить их нельзя. Параметр -j target указывает место в наборе правил iptables, куда должно «перепрыгнуть» данное правило. В число встроенных назначений входят ACCEPT, DROP и REJECT.
Можно также создать новые цепочки (цепочки, определяемые пользователем) с помощью параметра -N. Создание новой цепочки полезно для настройки более точных или проработанных правил.
7.2.1. Основные политики брандмауэра
Утверждение базовых политик брандмауэра создаёт основу для построения более подробных, определяемых пользователем правил. Для создания правил по умолчанию в iptables используются политики (-P). Думающие о безопасности администраторы обычно применяют политику отбрасывания всех пакетов и задают разрешающие правила только для каждого конкретного случая. Следующие правила блокируют все входящие и исходящие пакеты:
iptables -P INPUT DROP iptables -P OUTPUT DROP |
Кроме этого рекомендуется, чтобы все пересылаемые пакеты (пакеты, маршрутизируемые брандмауэром к точке назначения) также были запрещены — это защитит внутренних клиентов от нежелательного влияния Интернета. Для этого добавьте следующее правило:
iptables -P FORWARD DROP |
Определив цепочки политики, вы можете создавать новые правила для конкретной сети и требований безопасности. В следующих разделах рассматриваются некоторые правила, которые вы можете внедрить, настраивая брандмауэр iptables.
7.2.2. Сохранение и восстановление правил iptables
Правила брандмауэра существуют только пока компьютер включён, после перезагрузки правила автоматически сбрасываются и очищаются. Чтобы сохранить правила, чтобы они загрузились впоследствии, выполните команду:
/sbin/service iptables save |
Правила сохранятся в файле /etc/sysconfig/iptables и будут применяться при запуске, перезапуске службы или при перезагрузке компьютера.