Найти в Дзене
evlchrrrx (linux guides)
12 подписчиков

Расширенная настройка IPTABLES

9
1 мин
Привет, друзья!
Сегодня поговорим о важной теме для всех, кто работает с серверами или просто хочет лучше понимать, как устроена сетевая безопасность в Linux. Речь пойдёт о iptables — мощном инструменте для настройки брандмауэра и фильтрации сетевого трафика. На первый взгляд iptables может показаться сложным и запутанным, но на деле всё гораздо понятнее, если подойти к делу по шагам. В этой статье я разберу основы работы iptables, покажу примеры настройки и объясню, как применять его в реальных задачах. Поехали! 1. Конфигурация статической трансляцию портов на роутерах. Пробросим порт 80 в порт 8080 и порт 2024 в порт 2024 на GR-SRV на маршрутизаторе GR-RTR, для обеспечения работы сервиса mediawiki и ssh, правила прописываем через консоль: iptables -t nat -A PREROUTING -p tcp -d 192.168.4.1 --dport 80 -j DNAT --to-destination 192.168.4.2:8080
iptables -t nat -A PREROUTING -p tcp -d 192.168.4.1 --dport 2024 -j DNAT --to-destination 192.168.4.2:2024 Сохраняем правила, проверьте, чтобы

Привет, друзья!
Сегодня поговорим о важной теме для всех, кто работает с серверами или просто хочет лучше понимать, как устроена сетевая безопасность в Linux. Речь пойдёт о iptables — мощном инструменте для настройки брандмауэра и фильтрации сетевого трафика. На первый взгляд iptables может показаться сложным и запутанным, но на деле всё гораздо понятнее, если подойти к делу по шагам. В этой статье я разберу основы работы iptables, покажу примеры настройки и объясню, как применять его в реальных задачах. Поехали!

1. Конфигурация статической трансляцию портов на роутерах.

Пробросим порт 80 в порт 8080 и порт 2024 в порт 2024 на GR-SRV на маршрутизаторе GR-RTR, для обеспечения работы сервиса mediawiki и ssh, правила прописываем через консоль:

iptables -t nat -A PREROUTING -p tcp -d 192.168.4.1 --dport 80 -j DNAT --to-destination 192.168.4.2:8080
iptables -t nat -A PREROUTING -p tcp -d 192.168.4.1 --dport 2024 -j DNAT --to-destination 192.168.4.2:2024

Сохраняем правила, проверьте, чтобы в этом файле сохранялись и прошлые, и новые настройки.

iptables-save > /root/rules

Пробросим порт 2024 в порт 2024 на MQ-SRV на маршрутизаторе MQ-RTR, для обеспечения работы сервиса ssh, правило прописываем через консоль:

iptables -t nat -A PREROUTING -p tcp -d 192.168.1.1 --dport 2024 -j DNAT --to-destination 192.168.1.2:2024

Теперь перезагружаем ОБА роутера и проверим правила путём подключения с клиента MQ-CLI по ssh к серверу GR-SRV через IP-адрес роутера GR-RTR:

ssh -p 2024 sshuser@192.168.4.1

2. Настройка межсетевого экрана на маршрутизаторах MQ-RTR и GR-RTR

на сеть в сторону ISP.

Для выполнения этого задания нам нужно обеспечить работу только нужных протоколов, а именно: HTTP, HTTPS, DNS, NTP, ICMP. А также запретить остальные подключения из сети Интернет во внутреннюю сеть.

MQ-RTR и GR-RTR

Добавляем правила к уже существующим, которые были настроены в предыдущих модулях:

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -i eth0 -p tcp -m multiport --dports 22,53,80,443,2024 -j ACCEPT

iptables -A INPUT -i eth0 -p udp -m multiport --dports 53,123,500,4500 -j ACCEPT

iptables -A INPUT -i eth0 -p icmp -j ACCEPT

iptables -A INPUT -p esp -j ACCEPT

iptables -A FORWARD -p esp -j ACCEPT

iptables -A INPUT -i eth0 -m state --state NEW -j DROP

iptables -A OUTPUT -j ACCEPT

iptables-save > /root/rules

Задание выполнено! Мы настроили firewall!

1
Гаджеты и электроника
5,73 млн интересуются