Ero sivun ”Iptables” versioiden välillä
Siirry navigaatioon
Siirry hakuun
ongelmatilanteista
p (pientä kehitystä) |
Pb (keskustelu | muokkaukset) (ongelmatilanteista) |
||
| Rivi 26: | Rivi 26: | ||
Huomaa, että pakettilähteen (-s) tilalla käytetään nyt pakettien kohdetta -d (engl. <i>destination</i>). Lisäksi pakettien tyyppi -A on nyt <tt>OUTPUT</tt>. | Huomaa, että pakettilähteen (-s) tilalla käytetään nyt pakettien kohdetta -d (engl. <i>destination</i>). Lisäksi pakettien tyyppi -A on nyt <tt>OUTPUT</tt>. | ||
=== Tarkempaa | === Tarkempaa rajoittamista === | ||
Edellä estimme kaikki mahdolliset paketit tiettyyn osoitteeseen. Iptables tarjoaa kuitenkin mahdollisuuden käyttää tarkempia rajoituksia. Esimerkiksi seuraavassa estäisimme kaiken saapuvan [[SSH]]-liikenteen osoitteesta 123.456.789.123 (porttiin 22 kohdistuvan [[TCP]]-protokollaa käyttävän liikenteen). | Edellä estimme kaikki mahdolliset paketit tiettyyn osoitteeseen. Iptables tarjoaa kuitenkin mahdollisuuden käyttää tarkempia rajoituksia. Esimerkiksi seuraavassa estäisimme kaiken saapuvan [[SSH]]-liikenteen osoitteesta 123.456.789.123 (porttiin 22 kohdistuvan [[TCP]]-protokollaa käyttävän liikenteen). | ||
iptables -A INPUT -s 123.456.789.123 -p tcp --dport 22 -j DROP | iptables -A INPUT -s 123.456.789.123 -p tcp --dport 22 -j DROP | ||
| Rivi 157: | Rivi 155: | ||
== Ongelmatilanteita == | == Ongelmatilanteita == | ||
Joissain jakeluissa käytössä olevat verkkoyhteyden hallintatyökalut saattavat aiheuttaa ongelmia, jos iptablesia käytetään käsin. Esimerkiksi [[Ubuntu]]n käyttämä [[NetworkManager]] on tällainen. Lisätietoja löytyy [https://help.ubuntu.com/community/IptablesHowTo Ubuntun ohjeista]. | Joissain jakeluissa käytössä olevat verkkoyhteyden hallintatyökalut saattavat aiheuttaa ongelmia, jos iptablesia käytetään käsin. Esimerkiksi [[Ubuntu]]n käyttämä [[NetworkManager]] on tällainen. Lisätietoja löytyy [https://help.ubuntu.com/community/IptablesHowTo Ubuntun ohjeista]. | ||
Kannattaa myös huolehtia, ettei jakelusi oma palomuuriasetusohjelma (esimerkiksi [[YaST]] [[openSUSE]]ssa tai [[system-config-securitylevel]] [[Fedora]]ssa) aiheuta ristiriitaa oman iptables-skriptisi kanssa. Käytännössä kannattaa joko poistaa palomuuriasetusohjelma kokonaan käytöstä tai ainakin huolehtia siitä, että sen tuottama iptables-skripti ajetaan [[GNU/Linuxin käynnistysprosessi|käynnistyksen]] yhteydessä ([[init]]) ennen omaa skriptiäsi. Sama pätee luonnollisesti myös [[Firestarter]]in ja [[Shorewall]]in kaltaisiin ulkoisiin palomuuriasetustyökaluihin. | |||
== Aiheesta muualla == | == Aiheesta muualla == | ||