Iptables és dinamikus szabályok (keep state), a beállítások elvégzésére és karbantartása szerverek
Olyan dolog, mint a dinamikus szabályok iptables nem létezik. Megfelelően nevezik - keep state követési állapot.
Az iptables létezik ilyen típusú állapot (álló, ha a modul „állam” betöltve keresztül „-m state”):
ÚJ - Minden csomagokat, egy új kapcsolatot (például kapcsolat létrehozása kérés)
LÉTRE - Minden tartozó csomagok meglévő kapcsolat (vagyis GET válasz web -server)
KAPCSOLÓDÓ - csomagot, amely nem tartozik egyetlen létező kapcsolat (vagyis azokat a csomagokat, amelyek részét képezik az új vegyületek, amelyek kezdeményezte a már létrejött kapcsolat hozható létre), de társul hozzá. (Példa - FTP aktív üzemmódban használja a különböző adatkapcsolatok vannak csatlakoztatva Ezek a vegyületek.).
ÉRVÉNYTELEN - csomagokat, nem lehet az egyik vagy másik ok azonosítására. Mint például ICMP hibák nem tartoznak a meglévő kapcsolatok
Most viszont, hogy a szabályok megalkotását. Az első lépés az, hogy változtassa meg az alapértelmezett politika:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
És végül - a jogot arra, hogy figyelemmel kíséri a feltétel:
iptables -A INPUT -m state --state LÉTRE, KAPCSOLÓDÓ -j ACCEPT
iptables -A OUTPUT -m state --state LÉTRE, KAPCSOLÓDÓ -j ACCEPT
Ily módon hoztunk létre egy teljesen zárt tűzfalat. Most kell hozzá teszi szabályokat. Íme néhány példa:
- hogy csak a kimenő pingek
iptables -A INPUT -p icmp --icmp típusú echo-reply -j ACCEPT
iptables -A OUTPUT -p icmp --icmp típusú echo-request -j ACCEPT
- lehetővé teszi a hozzáférést a szerverhez keresztül ssh:
iptables -A INPUT -p tcp -m state --state ÚJ --dport 22 -j ACCEPT
De a teljes lista a tűzfalon:
iptables -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state LÉTRE, KAPCSOLÓDÓ -j ACCEPT
iptables -A INPUT -p icmp --icmp típusú echo-reply -j ACCEPT
iptables -A INPUT -p tcp -m state --state ÚJ --dport 22 -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -m state --state LÉTRE, KAPCSOLÓDÓ -j ACCEPT
iptables -A OUTPUT -p icmp --icmp típusú echo-request -j ACCEPT
Az a tény, hogy amikor ezek a szabályok nem tűzfal válik felépített kapcsolatot. Ha azt szeretnénk, hogy erőt, hogy ezt - a legjobb megoldás:
iptables -I INPUT 1 -s 10.10.10.10 -m state --state LÉTRE kapcsolódó -j DROP
Ha ön használ egy lánc előre. akkor szükség lesz a következő szabályok vonatkoznak:
iptables -P FORWARD DROP
iptables -A FORWARD -i $ INET_IFACE -m state --state LÉTRE, KAPCSOLÓDÓ -j ACCEPT
iptables -A FORWARD -i $ LAN_IFACE -m state --state ÚJ, meggyökeresedett KAPCSOLATOS -j ACCEPT