Kaip peržiūrėti ir ištrinti iptables ugniasienės taisykles

Iptables yra viena iš pagrindinių Linux sistemose naudojamų ugniasienės valdymo priemonių, leidžianti filtruoti tinklo srautą pagal nustatytas taisykles. Nors daugelyje serverių konfigūracijų taisyklės sukuriamos vieną kartą ir retai keičiamos, kartais gali prireikti peržiūrėti, atnaujinti arba visiškai ištrinti tam tikras ugniasienės taisykles. Šioje pamokoje sužinosite, kaip peržiūrėti, filtruoti ir ištrinti aktyvias iptables taisykles Linux operacinėje sistemoje.

Pasiruošimas

Prieš pradedant, turėkite įsirašę iptables ugniasienę operacinėje sistemoje, ir naudokite privelegijuotą vartotoją su sudo teisėmis.

Taisyklių peržiūra pagal specifikaciją

Pirmiausia pažiūrėkime, kaip išvardinti ugniasienės taisykles. Norėdami išvardinti visas aktyvias taisykles pagal specifikaciją, naudokite komandą:

sudo iptables -S

Peržiūrėti specifinę taisyklių grandinę

Jeigu norite peržiūrėti tik specifines taisykles, kurios yra pvz., INPUT, OUTPUT, TCP, ir t. t., galite nurodyti specifinės grandies pavadinimą po -S argumento. Pavyzdžiui, INPUT:

sudo iptables -S INPUT

Peržiūrėti taisykles kaip lenteles

Taisyklių peržiūra lentelių pavidalu gali praversti kai reikia palyginti skirtingas taisykles kartu. Norint peržiūrėti visas aktyvias taisykles lentelėje, naudokite komandą su -L argumentu:

sudo iptables -L

Jeigu norite filtruoti taisykles lentelėje pagal specifines grandis (pvz., INPUT, OUTPUT, TCP, ir t. t), komandos pabaigoje, po -L argumento parašykite grandies pavadinimą:

sudo iptables -L INPUT

Pirma eilutė nurodo grandies pavadinimą (šiuo atveju - INPUT), kartu su numatyta politika (ACCEPT). Kita eilutė nurodo kiekvienos grandies taisykles.

target: kas atsitinka paketui, jei taisyklė sutampa (priimama, atmetama, nukreipiama ir t.t.)
prot: protokolas (tcp, udp, icmp, arba visi).
opt: IP parinktys (retai naudojama).
source: šaltinio IP arba tinklas.
destination: paskirties IP arba tinklas.

Paskutinis stulpelis (nepažymėta) nurodo taisyklės parinktis, pavyzdžiui, šaltinio / paskirties prievadai ir būsenos.

Paketų skaičiaus ir bendro dydžio peržiūra

Peržiūrint iptables taisykles taip pat galima matyti paketų skaičių ir bendrą paketų dydį baitais, kurie sutapo su konkrečia taisykle. Tai dažnai pravartu norint matyti bendrą vaizdą taisyklių, kurios sutampa su paketais. Norint tai peržiūrėti, naudokite -L ir -v parametrus kartu. Pavyzdžiui, norint matyti INPUT grandį, su -v parametru:

sudo iptables -L INPUT -v

Paketų skaičių ir dydžių atstatymas

Jei norite išvalyti arba atstatyti paketų ir baitų skaitiklius, naudokite -Z parametrą. Šie skaitikliai taip pat išsivalo atlikus OS perkrovimą. Šis parametras naudingas norint peržiūrėti ar serveris gauna interneto srautą pagal sutampančias taisykles.

Norint išvalyti skaitiklius visoms grandims ir taisyklėms, naudokite šią komandą su -Z parametru:

sudo iptables -Z

Norint išvalyti skaitiklius visoms taisyklėms specifinėje grandyje (pvz., INPUT), naudokite šią komandą:

sudo iptables -Z INPUT

Jeigu norite išvalyti skaitiklius specifinei taisyklei, nurodykite grandies pavadinimą ir taisyklės numerį. Pavyzdžiui, norint išvalyti skaitiklius pirmai taisyklei kuri yra INPUT grandyje:

sudo iptables -Z INPUT 1

Taisyklių trynimas pagal specifikaciją

Vienas būdų ištrinti taisykles yra pateikti jų specifikaciją su -D parametru. Pavyzdžiui, norint ištrinti taisyklę, kuri atmeta netinkamus įeinančius paketus:

sudo iptables -D INPUT -m conntrack --ctstate INVALID -j DROP

Atkreipkite dėmesį, kad -A parametras, kuris nurodo taisyklės vietą kūrimo metu - neturėtų būti naudojamas.

Taisyklių šalinimas pagal grandį ir numerį

Kitas būdas - naudoti grandinę ir eilutės numerį. Pirmiausia išvardinkite taisykles su eilutės numeriais:

sudo iptables -L --line-numbers

Tada norint ištrinti konkrečią taisyklę:

sudo iptables -D INPUT 3

Grandžių šalinimas

Iptables leidžia išvalyti (flush) grandis - tai pašalins visas taisykles toje grandinėje.

Vienos grandinės išvalymas:

sudo iptables -F INPUT

Visų grandinių išvalymas:

sudo iptables -F

Taigi, iptables ugniasienė turi daug lankstumo ir leidžia efektyviai valdyti Linux sistemų ugniasienės taisykles. Su keliomis pagrindinėmis iptables komandomis galite atlikti išsamią taisyklių bei grandžių peržiūrą, filtravimą, redagavimą bei šalinimą. Jeigu kyla klausimų ar sunkumų, kreipkitės į mūsų gyvąją pagalbą, arba rašykite el. paštu: [email protected]