نکات و دستورات iptables

در این مقاله به معرفی يكي از ابزارهاي قدرتمند تصفيه كننده بسته ها به نام IPtables مي پردازيم. IPtables به عنوان نسل چهارم پياده سازي شده از ابزارهاي تصفيه كننده سيستم عامل لينوكس معرفي مي شود.نکاتی که در این مقاله آورده شده بر اساس تجربیات شخصی جمع آوری شده به همین سبب بیشتر از مطالب تئوریک کتابها میتواند مفید فایده واقع شود ضمن آنکه میتوان از آن به عنوان یک هندبوک ساده استفاده کرد.


نکته۱:

بعد از استفاده از دستورات iptables بدین صورت آنها را save می کنیم:

 

# iptables-save

 # service iptables save

بستن PING:

 

 # iptables -A OUTPUT -p icmp – j REJECT

# iptables -A INPUT -p icmp – j REJECT

و برای حذف این دستور چنین عمل می کنیم:

# iptables -D OUTPUT -p icmp -j REJECT

فعال کردن IP Forwarding:

 # echo “1” > /proc/sys/net/ipv4/ip_forward

برای Drop کردن درخواست IP خاص یا پورت خاص چنین عمل می کنیم:

.بستن پورت 23برای همه ip ها:

 # iptables -t nat -A POSTROUTING -o eth1 -p tcp -m tcp –dport 23 -j DROP

..بستن پورت های 22 و 23 برای همه ip ها:

 # iptables -t nat -A POSTROUTING -o eth1 -p tcp -m tcp –dport 22:23 -j DROP

…بستن پورت 22و 23 برای یک ip خاص:

 # iptables -t nat -A POSTROUTING -s 192.168.0.88 -o eth1 -p tcp -m tcp –dport 22:23 -j DROP

….برای drop کردن تمامی Packet های یک IP خاص:

 # iptables -A INPUT -s 217.61.158.248 -j DROP

….. برای Drop کردن SSH packetهای یک Ip خاص:

 # iptables -A INPUT -s 217.61.158.248 -p tcp –dport 22 -j DROP

فعال کردن LOG در قوانین فایروال

برای اینکه مدیریت کامل تری به شبکه خود داشته باشیم و بتوانیم منابعی که در حال اسکن کردن سیستم ما هستند بیابیم و یا در هر حال گزارشی از عملکرد صحیح فایر وال داشته باشیم می توانیم به طرق ذیل Log فایل ها را برای موارد دلخواهمان فعال کنیم:

.فعال کردن Log برای دیدن بسته های ICMP:

  # iptables -A OUTPUT -p icmp -j LOG –log-prefix “PING:> “

# iptables -A INPUT -p icmp -j LOG –log-prefix “PING:> “

برای دیدن این log ها به این مسیر بروید:

/var/log/messages

و خط هایی را که با

 PING:>

شروع شده اند بررسی نمایید.( البته راه ساده تر آن استفاده از دستور فیلتر کننده grep و مختص کردن به log های فایروال می باشد)

. فعال کردن Log برای دیدن Ftp:

 # iptables -A OUTPUT -p tcp -s 0/0 –dport 21 -j LOG –log-prefix “FTP:> “

# iptables -A INPUT -p tcp -s 0/0 –dport 21 -j LOG –log-prefix “FTP:> “

که در لاگ فایل ها دنبال عبارت انتخابی

FTP:>

می گردیم.

. فعال کردن Log برای یک ip خاص:

 # iptables -t  nat POSTROUTING -s 192.168.0.88 -o eth1 -j LOG –log-prefix ” “

که در لاگ فایل ها دنبال عبارت انتخابی

می گردیم.

redirect کردن پورت های مختلف

در این بخش redirect کردن پورت های مختلف را با هم بررسی می کنیم:

1-Transparent کردنSquid

 # iptables -t nat -A PREROUTING -p tcp –dport 80  -j REDIRECT –to-ports 3128

2-برای redirect کردن گروهی از پورتها:

 # iptables -t nat -A PREROUTING -p tcp -d 203.145.184.246 –dport 20:23 -j DNAT –to 192.168.0.88:20-23

# iptables -A FORWARD -p tcp -d 192.168.0.88 –dport 20:23 -j ACCEPT

# iptables -t nat -A PREROUTING -p udp -d 203.145.184.246 –dport 20:23 -j DNAT –to 192.168.0.88:20-23

# iptables -A FORWARD -p udp -d 192.168.0.88 –dport 20:23 -j ACCEPT

3- برای redirect کردن تمامی درخواست های SMTP از اینترفیسeth0 به یک کامپیوتر دیگه داخل شبکه( LAN):

 # iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 25 -j DNAT –to 192.168.0.88:25

# iptables -A FORWARD -p tcp -d 192.168.0.88 –dport 25 -j ACCEPT

 

Share کردن اینترنت

در این بخش با استفاده از سیاست MASQUERADE اینترنت را در شبکه به اشتراک می گزاریم:

A) با استفاده از دو کارت شبکه که یکی به اینترنت و دیگری به شبکه داخلی متصل است:

 # iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

(توضیح اینکه در اینجا eth1 اینترفیسی است که به اینترنت متصل است.)

B) با استفاده از مودم ( به صورت Dialup) و یک کارت شبکه:

 # iptables -t  nat  -A POSTROUTING -o ppp0 -j MASQUERADE

( توضیح اینکه لازم است که IP forwarding نیز فعال شده باشد

برای دیدن قوانینی که اعمال کرده ایم :

 # iptables -L

# iptables -nL

وبرای حذف کردن تمامی قوانین Iptables چنین عمل می کنیم:شذث

 # iptables -F

# iptables -X

# iptables -Z

About mahyar

OrcID: 0000-0001-8875-3362 PhD Candidate (National Academy of Sciences of Ukraine - Institute for Telecommunications and Global Information) MCP - MCSA - MCSE - MCTS MCITP: Enterprise AdministratorCCNA, CCNP (R&S , Security)ISO/IEC 27001 Lead Auditor

Check Also

آموزش ایجاد Self Signed Certificate و ساخت فایل نصب !

در این آموزش در مورد نحوه تهیه یک گواهینامه دیجیتال خود نشان (self-signed) و نحوه …

Leave a Reply

Your email address will not be published. Required fields are marked *