Iptables

Iš Žinynas.
10:54, 23 liepos 2023 versija, sukurta \dev\null (Aptarimas | indėlis)
(skirt) ← Ankstesnė versija | Dabartinė versija (skirt) | Vėlesnė versija → (skirt)
Jump to navigation Jump to search

Network Address Translation (NAT)

NAT - daugiau žinomas kaip interneto dalinimas vidinio tinklo kompiuteriams kurie stovi už linux serverio/firewallo

  • eth0 - Išorinis interfeisas
  • eth1 - Vidinis interfeisas kuriam norite duoti internetą
iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE
iptables --append FORWARD --in-interface eth1 -j ACCEPT

Port Forward

  • XX.XX.XX.XX - Išorinis IP
  • YY.YY.YY.YY - Vidinis IP
  • eth0 - Išorinis interfeisas
  • PORT - Portas
  • tcp - Protokolas, norint galima jį pakeisti į udp

Vieno porto

iptables -t nat -A PREROUTING -p tcp -i eth0 -d XX.XX.XX.XX --dport PORT -j DNAT --to YY.YY.YY.YY:PORT
iptables -A FORWARD -p tcp -i eth0 -d YY.YY.YY.YY --dport PORTAS -j ACCEPT

Keletos portu

iptables -A FORWARD -d YY.YY.YY.YY -i eth0 -p tcp -m tcp --dport 4400:5000 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i eth0 -d YY.YY.YY.YY --dport 4400:5000 -j DNAT --to-destination XX.XX.XX.XX
iptables -A FORWARD -d YY.YY.YY.YY -i eth0 -p udp -m udp --dport 4400:5000 -j ACCEPT
iptables -t nat -A PREROUTING -p udp -i eth0 -d YY.YY.YY.YY --dport 4400:5000 -j DNAT --to-destination XX.XX.XX.XX


Porto redirectinimas į kitą

Lokalioj mašinoj arba visokiuose vnetuose* 

iptables -t nat -A PREROUTING -p tcp --dport 2525 -j REDIRECT --to-ports 25

Įeinančio IP blokavimas

  • -s - Source IP
  • XX.XX.XX.XX - Blokuojamas IP

iptables -A INPUT -s XX.XX.XX.XX -j DROP

Tam tikrų įeinančių IP įleidimas pagal portą

iptables -I INPUT -p tcp -d $server_ip --dport $port -j DROP
iptables -I INPUT -s $client -d $server_ip -p tcp --dport $port -j ACCEPT
iptables -I INPUT -s $client2 -d $server_ip -p tcp --dport $port -j ACCEPT

Loginimas

Naudojam /var/log/iptables.log kaip loga ir rsyslog kaip syslog'a

Kuriam failą /etc/rsyslog.d/iptables.conf Į jį rašom: 

:msg,contains,"[netfilter] " /var/log/iptables.log

Tada nustatom kurį iptables chain'ą loginsim pvz FORWARD arba INPUT ir t.t tada nustatom taisyklę 

# iptables -A <chainas> -m limit --limit 1/sec --limit-burst 2 -j LOG --log-prefix='[netfilter] ' --log-level 6 --log-tcp-options

Perkraunam rsyslog...

Porto nukreipimas i kita hosta

85 porta nukreipiam i 80 192.168.1.51 hosto. 

echo 1 >| /proc/sys/net/ipv4/ip_forward
iptables -t nat $exp PREROUTING -p tcp -i br0 --dport 85 -j DNAT --to-destination 192.168.1.51:80
iptables -t nat $exp POSTROUTING -d 192.168.1.51 -p tcp --dport 80 -j SNAT --to-source 192.168.1.101

ISP Limitų apėjimas

Veikia su 4G LTE. 

iptables -t mangle -I POSTROUTING -o $(get_wanface) -j TTL --ttl-set 65 
iptables -t mangle -I PREROUTING -i $(get_wanface) -j TTL --ttl-set 65

Kiti įrankiai:



Gauta iš „https://wiki.eofnet.lt/w//index.php?title=Iptables&oldid=9567