منبع اصلی نوشتار زیر در این لینک قرار دارد

مثال هایی از فایروال لینوکسی iptables

28

مارس

در مطلب های “فایروال در توزیع های لینوکسی – بخش های نخست، دوم و سوم” با ساختار iptables آشنا شدید. در این مطلب نمونه کاربرد هایی از iptable گفته خواهد شد. توجه کنید در تمامی مثال های زیر: سوییچ A- به معنی Append کردن Rule به انتهای فایل پیکربندی iptables، سوییچ s- برای مشخص کردن Source Address، سوییچ d- برای مشخص کردن Destination Address، سوییچ p- برای مشخص کردن نوع پروتکل از میان udp,tcp,icmp، سوییچ sport- برای مشخص کردن شماره پورت مبدا، سوییچ dport- برای مشخص کردن شماره پورت مقصد و J- برای تعیین نوع عمل بر روی بسته از میان ACCEPT,DROP و یا REJECT، سوییچ D- یک خط Rule خاص را پاک می کند.

  • مثال زیر تمامی کلاینت های شبکه 192.168.1.0/24 را قادر به دسترسی به پورت 53 (یعنی DNS) می کند. (بسته ها یا درخواست های آنها را قبول می کند)

iptables -A INPUT -s 192.168.1.0/24 -p udp –dport 53 -j ACCEPT

  • دو خط کد زیر بسته های icmp (دستور ping) را REJECT می کند. تفاوت REJECT و DROP اینکه اگر بسته ای REJECT شود یک پیغام به درخواست کننده (مبدا) فرستاده می شود.

iptables -A OUTPUT -p icmp -j REJECT

iptables -A INPUT -p icmp -j REJECT

  • دو خط زیر، دو خط کد بالا را پاک می کند.

iptables -D OUTPUT -p icmp -j REJECT

iptables -D INPUT -p icmp -j REJECT

  • دستور زیر درخواست یک کلاینت خاص (یک آدرس خاص) را DROP می کند.

iptables -A INPUT -s 192.168.1.200 -j DROP

  • دستور زیر درخواست های یک کلاینت خاص مبنی بر دسترسی به پورت 80 را DROP می کند.

iptables -A INPUT -s 192.168.1.200  -p tcp -dpost -j DROP

  • دستور زیر بسته های  ssh (پورت 22 و پروتکل Ttcp) را از یک مبدا (کلاینت/آدرس خاص) DROP می کند.

iptables -A INPUT -s 192.168.1.200 -p tcp –dport 22 -j DROP

  • دستور زیر Rule بالایی را پاک می کند.

iptables -D INPUT -s 192.168.1.200 -p tcp –dport 22 -j DROP

  • دستور های زیر به ترتیب LOG هایی را در فایل var/log/message/ برای دسترسی های خروجی (Outgoing Access) و دسترسی های ورودی (Incoming Access) به پورت 21 و پروتکل tcp (پروتکل ftp) از هر مبدای (نشان داده شده توسط s- 0/0) ثبت می کنند.log–prefix یعنی یک رشته خاص که در اینجا <:FTP است را به ابتدای پیام اضافه می کند.

” <:iptables -A OUTPUT -p tcp -s 0/0 –dport 21 -j LOG –log-prefix “FTP

” <:iptables -A INPUT -p tcp -s 0/0 –dport 21 -j LOG –log-prefix “FTP

  • دستور های زیر همان کار LOG بالا را برای پروتکل icmp یا دستور ping در فایل var/log/message/ ثبت می کنند.

” <:iptables -A OUTPUT -p icmp -j LOG –log-prefix “PING

” <:iptables -A INPUT -p icmp -j LOG –log-prefix “PING



برچسب ها : , , , , , ,