Ero sivun ”Iptables” versioiden välillä

Siirry navigaatioon Siirry hakuun

Iptables (muokkaa)

Versio 7. helmikuuta 2008 kello 21.15

351 merkkiä lisätty ,  7. helmikuuta 2008
→‎Pakettien rajoittaminen
Ei muokkausyhteenvetoa
Rivi 5: Rivi 5:
Palomuuri perustuu siihen, että tietyt paketit (tieto liikkuu Internetissä paketteina) pääsevät palomuurin läpi ja tietyt estetään. Näitä esto- ja päästösääntöjä säädetään iptablesilla.
Palomuuri perustuu siihen, että tietyt paketit (tieto liikkuu Internetissä paketteina) pääsevät palomuurin läpi ja tietyt estetään. Näitä esto- ja päästösääntöjä säädetään iptablesilla.


Iptablesin kanssa paketit jaetaan kolmeen luokkaan: INPUT, OUTPUT ja FORWARD. OUTPUT-tyyppiset paketit ovat paketteja jotka lähtevät koneeltasi Internettiin - esimerkiksi ladatessasi tämän sivun lähetit wikin palvelimelle paketin, jossa pyysit tätä sivua. Kun palvelin sitten vastaa pyyntöösi lähettäen tätä sivua paketteina, ne tulevat INPUT-tyyppisinä. FORWARD-tyyppiset paketit ovat paketteja, jotka vastaanotetaan toisesta verkosta ja lähetetään toiseen (yleensä Internetistä lähiverkkoon tai päinvastoin).  
Iptablesin kanssa paketit jaetaan viiteen luokkaan: INPUT, OUTPUT, FORWARD, PREROUTING ja POSTROUTING. OUTPUT-tyyppiset paketit ovat paketteja jotka lähtevät koneeltasi Internettiin - esimerkiksi ladatessasi tämän sivun lähetit wikin palvelimelle paketin, jossa pyysit tätä sivua. Kun palvelin sitten vastaa pyyntöösi lähettäen tätä sivua paketteina, ne tulevat INPUT-tyyppisinä. FORWARD-tyyppiset paketit ovat paketteja, jotka vastaanotetaan toisesta verkosta ja lähetetään toiseen (yleensä Internetistä lähiverkkoon tai päinvastoin).  


Vielä yksi perusasia ennen kuin lähdemme säätelemään palomuuriamme: tehtyäsi asetukset ne eivät tallennu mihinkään, vaan seuraavan uudelleenkäynnistyken jälkeen asetukset palautuvat alkuperäisiksi. Tämä voidaan estää tallentamalla asetukset komennolla <tt>/sbin/iptables-save.</tt> Tallennetut asetukset palautetaan komennolla <tt>/sbin/iptables-restore</tt>.
Vielä yksi perusasia ennen kuin lähdemme säätelemään palomuuriamme: tehtyäsi asetukset ne eivät tallennu mihinkään, vaan seuraavan uudelleenkäynnistyken jälkeen asetukset palautuvat alkuperäisiksi. Tämä voidaan estää tallentamalla asetukset komennolla <tt>/sbin/iptables-save.</tt> Tallennetut asetukset palautetaan komennolla <tt>/sbin/iptables-restore</tt>.


Kannattaa myös huomioida että ipforward pitää olla kytketty päälle /etc/sysctl.conf tiedostossa (net.ipv4.ip_forward=1) jotta FORWARD ketjun ja nat taulun säännöillä olisi vaikutusta.
Kannattaa myös huomioida että ipforward pitää olla kytketty päälle /etc/sysctl.conf tiedostossa (net.ipv4.ip_forward=1) jotta FORWARD ketjun ja nat taulun säännöillä olisi vaikutusta. Tiedoston muutos tulee voimaan vasta uudelleenkäynnistyksen jälkeen, joten jos haluaa, että ipforward tulee heti päälle pitää antaa seuraava komento:
/sbin/sysctl -w net.ipv4.ip_forward=1
Lisäksi iptables pitää kytkeä päälle, jos se ei ole jo. Tämä onnistuu seuraavalla komennolla:
/sbin/chkconfig iptables on
   
   
=== Pakettien estäminen ===
=== Pakettien estäminen ===
Rivi 33: Rivi 36:
Näin, entä jos haluamme ajaa esim. http-palvelinta kuten [[Apache]]? Ei huolta, määrittelemme kohdeportiksi kaikki muut portit paitsi TCP/80, jota apache käyttää vakiona. Tämä saadaan aikaan komennolla
Näin, entä jos haluamme ajaa esim. http-palvelinta kuten [[Apache]]? Ei huolta, määrittelemme kohdeportiksi kaikki muut portit paitsi TCP/80, jota apache käyttää vakiona. Tämä saadaan aikaan komennolla
  iptables -A INPUT -i eth0 -p tcp --syn --destination-port ! 80 -j DROP
  iptables -A INPUT -i eth0 -p tcp --syn --destination-port ! 80 -j DROP


== Pikamuuri ==
== Pikamuuri ==
Rekisteröitymätön käyttäjä
Noudettu kohteesta ”https://www.linux.fi/wiki/Toiminnot:MobileDiff/19655

Navigointivalikko