7.2. Использование iptables

Первым этапом в использовании iptables является запуск службы iptables. Это можно сделать с помощью команды:

service iptables start

ПредупреждениеПредупреждение
 

Чтобы служба iptables смогла работать, следует выключить IP6Tables, выполнив следующие команды:

service ip6tables stopchkconfig ip6tables off

Чтобы iptables по умолчанию запускалась при загрузке системы, вы должны изменить уровень выполнения этой службы с помощью chkconfig.

chkconfig --level 345 iptables on

Синтаксис iptables поделён на ярусы. Основной ярус — это цепочка (chain). Параметр chain определяет состояние, в котором обрабатывается пакет. Используется это так:

iptables -A chain -j target

Параметр -A добавляет правило в конец существующего набора правил. В параметре chain задаётся имя цепочки правил. В iptables три цепочки (или состояния, которые проходят пакеты, пересылаемые по сети): INPUT, OUTPUT и FORWARD. Эти цепочки фиксированы и удалить их нельзя. Параметр -j target указывает место в наборе правил iptables, куда должно «перепрыгнуть» данное правило. В число встроенных назначений входят ACCEPT, DROP и REJECT.

Можно также создать новые цепочки (цепочки, определяемые пользователем) с помощью параметра -N. Создание новой цепочки полезно для настройки более точных или проработанных правил.

7.2.1. Основные политики брандмауэра

Утверждение базовых политик брандмауэра создаёт основу для построения более подробных, определяемых пользователем правил. Для создания правил по умолчанию в iptables используются политики (-P). Думающие о безопасности администраторы обычно применяют политику отбрасывания всех пакетов и задают разрешающие правила только для каждого конкретного случая. Следующие правила блокируют все входящие и исходящие пакеты:

iptables -P INPUT DROP
iptables -P OUTPUT DROP

Кроме этого рекомендуется, чтобы все пересылаемые пакеты (пакеты, маршрутизируемые брандмауэром к точке назначения) также были запрещены — это защитит внутренних клиентов от нежелательного влияния Интернета. Для этого добавьте следующее правило:

iptables -P FORWARD DROP 

Определив цепочки политики, вы можете создавать новые правила для конкретной сети и требований безопасности. В следующих разделах рассматриваются некоторые правила, которые вы можете внедрить, настраивая брандмауэр iptables.

7.2.2. Сохранение и восстановление правил iptables

Правила брандмауэра существуют только пока компьютер включён, после перезагрузки правила автоматически сбрасываются и очищаются. Чтобы сохранить правила, чтобы они загрузились впоследствии, выполните команду:

/sbin/service iptables save

Правила сохранятся в файле /etc/sysconfig/iptables и будут применяться при запуске, перезапуске службы или при перезагрузке компьютера.