Iptables
Содержание |
документация
http://www.jollycom.ca/iptables-tutorial/images/tables_traverse.jpg
http://www.netfilter.org/documentation/HOWTO/packet-filtering-HOWTO.html
http://www.netfilter.org/documentation/HOWTO/NAT-HOWTO.html
http://www.netfilter.org/documentation/index.html#documentation-howto
http://www.yolinux.com/TUTORIALS/LinuxTutorialIptablesNetworkGateway.html
забанить по IP
/etc/sysconfig/iptables
-A RH-Firewall-1-INPUT -s SPAMMER-IP -j DROP -A RH-Firewall-1-INPUT -s SPAMMER-SUBNET-BLOCK -j DROP
/etc/init.d/iptables restart
сделать NAT
/etc/sysctl.conf:
net.ipv4.ip_forward = 1
/etc/rc.local:
/sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
прокинуть порт
# Change destination addresses of web traffic to 5.6.7.8, port 8080. iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j DNAT --to 5.6.7.8:8080 # Allow traffic from outside to 5.6.7.8:8080 if you have restrictive firewall ruleset iptables -A FORWARD -p tcp -i eth0 -d 5.6.7.8 --dport 8080 -j ACCEPT
local port forwarding
# accept server processing incoming mail on port 2525 equal to port 25 # (for reason: 25 out blocked in many providers) iptables -t nat -A PREROUTING -j REDIRECT -p tcp --dport 2525 --to-ports 25
пример конфигурации для RedHat и Centos
В RedHat и Centos есть два основных метода управления файрволом iptables:
Утилита управления уровнем безопасности (system-config-securitylevel) — графический интерфейс для создания, активации, и сохранения основных правил брендмауэра.
/sbin/service iptables <option> — Комманда, с помощью которой root может включать, выключать, и настраивать дополнительные функции iptables через скрипты запуска. Замените <option> сдледующими коммандами:
start — если брендмауэр сконфигурирован (файл /etc/sysconfig/iptables существует), все запущенные iptables полностью останавливаются и затем стартуют снова используя комманду /sbin/iptables-restore.
stop — если брендмауэр запущен, все правила деактивируются (flushed), и модуль iptables выгружается.
Если директива IPTABLES_SAVE_ON_STOP в файле /etc/sysconfig/iptables-config изменяется со значения по умолчанию на yes, текущие правила брендмауэра сохраняются в /etc/sysconfig/iptables, старые правила сохраняются в /etc/sysconfig/iptables.save.
restart — если брендмауэр запущен, правила удаляются из памяти (flushed), и брендмауэр стартует снова, если сконфигурирован /etc/sysconfig/iptables.
Если директива IPTABLES_SAVE_ON_RESTART в файле /etc/sysconfig/iptables-config изменяется со значения по умолчанию на yes, текущие правила брендмауэра сохраняются в /etc/sysconfig/iptables, старые правила сохраняются в /etc/sysconfig/iptables.save.
status — показывает статус брендмауэра и список активных правил. Если брендмауэр не запущен, либо правила отсутствуют — показывает это.
Список активных правил будет показывать IP-адреса, пока IPTABLES_STATUS_NUMERIC в файле /etc/sysconfig/iptables-config не будет изменено. Тогда будут отображаться доменные имена (FQDN).
panic — Эта опция заставит удалить все правила и запретить все пакеты (DROP). Полезно, если вы понимаете, что сервер активно взламывают и желаете это остановить.
save — сохраняет активные правила в /etc/sysconfig/iptables используя iptables-save.