Rekisteröitymätön käyttäjä
Ero sivun ”Iptables” versioiden välillä
Siirry navigaatioon
Siirry hakuun
ei muokkausyhteenvetoa
(vähän lisää) |
Ei muokkausyhteenvetoa |
||
| Rivi 7: | Rivi 7: | ||
Vielä yksi perusasia ennen kuin lähdemme säätelemään palomuuriamme: tehtyäsi asetukset ne eivät tallennu mihinkään, vaan seuraavan uudelleenkäynnistyken jälkeen asetukset palautuvat alkuperäisiksi. Tämä voidaan estää tallentamalla asetukset komennolla <tt>/sbin/iptables-save.</tt> Tallennetut asetukset palautetaan komennolla <tt>/sbin/iptables-restore</tt>. | Vielä yksi perusasia ennen kuin lähdemme säätelemään palomuuriamme: tehtyäsi asetukset ne eivät tallennu mihinkään, vaan seuraavan uudelleenkäynnistyken jälkeen asetukset palautuvat alkuperäisiksi. Tämä voidaan estää tallentamalla asetukset komennolla <tt>/sbin/iptables-save.</tt> Tallennetut asetukset palautetaan komennolla <tt>/sbin/iptables-restore</tt>. | ||
=== Pakettien estäminen === | === Pakettien estäminen === | ||
Tietystä osoitteesta tulevia paketteja voidaan estää iptables-komennoilla joiden syntaksi on seuraavanlainen: | Tietystä osoitteesta tulevia paketteja voidaan estää iptables-komennoilla joiden syntaksi on seuraavanlainen: | ||
| Rivi 23: | Rivi 23: | ||
iptables -A INPUT -s 123.456.789.123 -p tcp –destination-port 22 -j DROP | iptables -A INPUT -s 123.456.789.123 -p tcp –destination-port 22 -j DROP | ||
Huomaa uudet valitsimet -p (protokolla) ja -destination-port (kohdeportti). Iptables ymmärtää myös portin numeron sijasta protokollien nimiä, esimerkiksi ssh (portti 22) tai http (80). | Huomaa uudet valitsimet -p (protokolla) ja -destination-port (kohdeportti). Iptables ymmärtää myös portin numeron sijasta protokollien nimiä, esimerkiksi ssh (portti 22) tai http (80). | ||
== Pikamuuri == | |||
Tässä ohjeet yksinkertaisen palomuurin pystyttämiseen, joka suojaa konetta riittävästi normaalissä käytössä: | |||
Ensin säädetään perusasetukset: kaikki sisään tuleva estetään ja ulos menevä sallitaan | |||
iptables -P INPUT DROP | |||
iptables -P FORWARD DROP | |||
iptasles -P OUTPUT ACCEPT | |||
Seuraavaksi sallitaan loopback-liikenne | |||
iptables -A INPUT -i lo -j ACCEPT | |||
Estetään liikenne private-portteihin | |||
iptables -A INPUT -p tcp --dport 0:1023 -j DROP | |||
iptables -A INPUT -p udp --dport 0:1023 -j DROP | |||
Estetään SYN-paketit ja ICMP-liikenne | |||
iptables -A INPUT -p tcp --syn -j DROP | |||
iptables -A INPUT -p icmp -j DROP | |||
Sallitaan kaikki "takaisin palaava" liikenne | |||
iptables -A INPUT -p TCP -m state --state RELATED,ESTABLISHED -j ACCEPT | |||
iptables -A INPUT -p UDP -m state --state RELATED,ESTABLISHED -j ACCEPT | |||
Lopuksi estetään loput | |||
iptables -A INPUT -j DROP | |||
== Katso myös == | == Katso myös == | ||