Содержание

Iptables. Примеры использования

Iptables. Примеры использования

Вывод статистики

Команда:

iptables -L -n -v --line-numbers

где:

Аттрибут	Описание
-L	Вывести текущие правила
-v	Вывести более детальную информацию
-n	Вывести IP-адрес и порт в цифровом формате
--line-numbers	Отобразить номер строки с правилом

Chain INPUT (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1      197 11040 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:80
2    20008 1639K f2b-sshd   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 2200
3     385K   23M ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:10050
4      104  6192 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:2200
5    3161K  345M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
6      313 17673 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
7    14446  867K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
8     330K  149M REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1        0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT 658K packets, 45M bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain f2b-sshd (1 references)
num   pkts bytes target     prot opt in     out     source               destination         
1    20008 1639K RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0

Вывести информацию по конкретной цепочке:

iptables -L INPUT -n -v --line-numbers

Chain INPUT (policy DROP 0 packets, 0 bytes)
num   pkts bytes target     prot opt in     out     source               destination         
1      197 11040 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:80
2    20013 1639K f2b-sshd   tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 2200
3     385K   23M ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:10050
4      104  6192 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:2200
5    3162K  345M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
6      313 17673 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           
7    14449  867K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
8     330K  149M REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Stop / Start / Restart Iptables

CentOS / RHEL / Fedora Linux

Остановить:

service iptables stop

Запустить:

service iptables start

Перезапустить:

service iptables restart

Ubuntu

service ufw stop
service ufw start

Iptables command

Аттрибут	Описание
-F	Очистить все правила
-t table_name	Выбрать таблицу и очистить правила в ней
-P	Выбрать для цепочки действие по умолчанию (DROP, REJECT, или ACCEPT)

Примеры:

# Очистить все правила Ipitables
iptables -F
 
# Очистить все правила таблицы nat
iptables -t nat -F
 
# Очистить все правила таблицы mangle
iptables -t mangle -F
 
# Задать действие по умолчанию для цепочек INPUT, OUTPUT или FORWARD
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

Удаление правил Iptables

Удаление по номеру строки

Вначале необходимо вывести нумерованный список правил определенной цепочки

iptables -L INPUT -n --line-numbers

Chain INPUT (policy DROP)
num  target     prot opt source               destination         
1    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:80
2    f2b-sshd   tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 2200
3    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:10050
4    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:2200
5    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
6    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
7    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
8    REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Удалить третье правило из списка выполним:

iptables -D INPUT 3

где:

Аттрибут	Описание
-D	Удалить правило

Удаление по содержимому

Содержимое можно увидеть в выводе команды

iptables-save

*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1094249:73865842]
:f2b-sshd - [0:0]
-A INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 2200 -j f2b-sshd
-A INPUT -p tcp -m state --state NEW -m tcp --dport 10050 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 2200 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A f2b-sshd -j RETURN
COMMIT

Удалить строку:

iptables -D INPUT -p tcp -m multiport --dports 2200 -j f2b-sshd

где:

Аттрибут	Описание
-D	Удалить правило

Добавление правил в iptables

Вначале необходимо вывести нумерованный список правил определенной цепочки

iptables -L INPUT -n --line-numbers

Chain INPUT (policy DROP)
num  target     prot opt source               destination         
1    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:80
2    f2b-sshd   tcp  --  0.0.0.0/0            0.0.0.0/0            multiport dports 2200
3    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:10050
4    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:2200
5    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
6    ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
7    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
8    REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Добавить правило в начало списка:

iptables -I INPUT -p tcp -m multiport --dports 2200 -j f2b-sshd

Добавить правило в конец списка:

iptables -A INPUT -p tcp -m multiport --dports 2200 -j f2b-sshd

Добавить правило между 2 и 3 строкой:

iptables -I INPUT 3 -p tcp -m multiport --dports 2200 -j f2b-sshd

Сохраняем правила iptables.

Через iptables-save:

iptables-save > /etc/iptables.rules

Через сервис iptables:

service iptables save

Восстановление правил iptables

Из дампа, сделанного при помощи iptables-save:

iptables-restore < /etc/iptables.rules

Установка политики по умолчанию

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP