- Văn bản
- Lịch sử
Make your First RuleWe're going to
Make your First Rule
We're going to start to build our firewall policies. As we said above, we're going to be working with the INPUT chain since that is the funnel that incoming traffic will be sent through. We are going to start with the rule that we've talked about a bit above: the rule that explicitly accepts your current SSH connection.
The full rule we need is this:
sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
This may look incredibly complicated, but most of it will make sense when we go over the components:
-A INPUT: The -A flag appends a rule to the end of a chain. This is the portion of the command that tells iptables that we wish to add a new rule, that we want that rule added to the end of the chain, and that the chain we want to operate on is the INPUT chain.
-m conntrack: iptables has a set of core functionality, but also has a set of extensions or modules that provide extra capabilities.
In this portion of the command, we're stating that we wish to have access to the functionality provided by the conntrack module. This module gives access to commands that can be used to make decisions based on the packet's relationship to previous connections.
--ctstate: This is one of the commands made available by calling the conntrack module. This command allows us to match packets based on how they are related to packets we've seen before.
We pass it the value of ESTABLISHED to allow packets that are part of an existing connection. We pass it the value of RELATED to allow packets that are associated with an established connection. This is the portion of the rule that matches our current SSH session.
-j ACCEPT: This specifies the target of matching packets. Here, we tell iptables that packets that match the preceding criteria should be accepted and allowed through.
We put this rule at the beginning because we want to make sure the connections we are already using are matched, accepted, and pulled out of the chain before reaching any DROP rules.
We can see the changes if we list the rules:
sudo iptables -L
Output:
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Now that you know the general syntax, let's continue by adding some more cases where we want to accept the connection.
Accept Other Necessary Connections
We have told iptables to keep open any connections that are already open and to allow new connections related to those connections. However, we need to create some rules to establish when we want to accept new connections that don't meet those criteria.
We want to keep two ports open specifically. We want to keep our SSH port open (we're going to assume in this guide that this is the default 22. If you've changed this in your SSH configuration, modify your value here). We are also going to assume that this computer is running a web server on the default port 80. If this is not the case for you, you don't have to add that rule.
The two lines we're going to use to add these rules are:
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
As you can see, these are very similar to our first rule, but perhaps more simple. The new options are:
-p tcp: This option matches packets if the protocol being used is TCP. This is a connection-based protocol that will be used by most applications because it allows for reliable communication.
--dport: This option is available if the -p tcp flag is given. It gives a further requirement of matching the destination port for the matching packet. The first rule matches for TCP packets destined for port 22, while the second rule matches TCP traffic pointed towards port 80.
There is one more accept rule that we need to ensure that our server can function correctly. Often, services on the computer communicate with each other by sending network packets to each other. They do this by utilizing a pseudo network interface called the loopback device, which directs traffic back to itself rather than to other computers.
So if one service wants to communicate with another service that is listening for connections on port 4555, it can send a packet to port 4555 of the loopback device. We want this type of behavior to be allowed, because it is essential for the correct operation of many programs.
The rule we need to add is this:
sudo iptables -I INPUT 1 -i lo -j ACCEPT
This looks a bit different than our other commands. Let's go over what it is doing:
-I INPUT 1: The -I flag tells iptables to insert a rule. This is different than the -A flag which appends a rule to the end. The -I flag takes a chain and the rule position where you want to insert the new rule.
In this case, we're adding thi
We're going to start to build our firewall policies. As we said above, we're going to be working with the INPUT chain since that is the funnel that incoming traffic will be sent through. We are going to start with the rule that we've talked about a bit above: the rule that explicitly accepts your current SSH connection.
The full rule we need is this:
sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
This may look incredibly complicated, but most of it will make sense when we go over the components:
-A INPUT: The -A flag appends a rule to the end of a chain. This is the portion of the command that tells iptables that we wish to add a new rule, that we want that rule added to the end of the chain, and that the chain we want to operate on is the INPUT chain.
-m conntrack: iptables has a set of core functionality, but also has a set of extensions or modules that provide extra capabilities.
In this portion of the command, we're stating that we wish to have access to the functionality provided by the conntrack module. This module gives access to commands that can be used to make decisions based on the packet's relationship to previous connections.
--ctstate: This is one of the commands made available by calling the conntrack module. This command allows us to match packets based on how they are related to packets we've seen before.
We pass it the value of ESTABLISHED to allow packets that are part of an existing connection. We pass it the value of RELATED to allow packets that are associated with an established connection. This is the portion of the rule that matches our current SSH session.
-j ACCEPT: This specifies the target of matching packets. Here, we tell iptables that packets that match the preceding criteria should be accepted and allowed through.
We put this rule at the beginning because we want to make sure the connections we are already using are matched, accepted, and pulled out of the chain before reaching any DROP rules.
We can see the changes if we list the rules:
sudo iptables -L
Output:
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Now that you know the general syntax, let's continue by adding some more cases where we want to accept the connection.
Accept Other Necessary Connections
We have told iptables to keep open any connections that are already open and to allow new connections related to those connections. However, we need to create some rules to establish when we want to accept new connections that don't meet those criteria.
We want to keep two ports open specifically. We want to keep our SSH port open (we're going to assume in this guide that this is the default 22. If you've changed this in your SSH configuration, modify your value here). We are also going to assume that this computer is running a web server on the default port 80. If this is not the case for you, you don't have to add that rule.
The two lines we're going to use to add these rules are:
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
As you can see, these are very similar to our first rule, but perhaps more simple. The new options are:
-p tcp: This option matches packets if the protocol being used is TCP. This is a connection-based protocol that will be used by most applications because it allows for reliable communication.
--dport: This option is available if the -p tcp flag is given. It gives a further requirement of matching the destination port for the matching packet. The first rule matches for TCP packets destined for port 22, while the second rule matches TCP traffic pointed towards port 80.
There is one more accept rule that we need to ensure that our server can function correctly. Often, services on the computer communicate with each other by sending network packets to each other. They do this by utilizing a pseudo network interface called the loopback device, which directs traffic back to itself rather than to other computers.
So if one service wants to communicate with another service that is listening for connections on port 4555, it can send a packet to port 4555 of the loopback device. We want this type of behavior to be allowed, because it is essential for the correct operation of many programs.
The rule we need to add is this:
sudo iptables -I INPUT 1 -i lo -j ACCEPT
This looks a bit different than our other commands. Let's go over what it is doing:
-I INPUT 1: The -I flag tells iptables to insert a rule. This is different than the -A flag which appends a rule to the end. The -I flag takes a chain and the rule position where you want to insert the new rule.
In this case, we're adding thi
0/5000
Thực hiện quy tắc đầu tiên của bạnChúng ta sẽ bắt đầu xây dựng các chính sách của tường lửa. Như chúng ta đã nói ở trên, chúng ta sẽ được làm việc với các chuỗi đầu VÀO vì đó là các kênh đến lưu lượng truy cập sẽ được gửi thông qua. Chúng tôi sẽ bắt đầu với các quy tắc mà chúng tôi đã nói chuyện về một chút ở trên: các quy tắc rõ ràng chấp nhận các kết nối SSH hiện tại của bạn.Các quy tắc đầy đủ chúng ta cần là điều này:sudo iptables - một đầu VÀO -m conntrack--ctstate được thành LẬP, có liên QUAN -j chấp NHẬNĐiều này có thể nhìn vô cùng phức tạp, nhưng hầu hết trong số đó sẽ có ý nghĩa khi chúng tôi đi qua các thành phần:-Một đầu VÀO: lá cờ-gắn thêm một quy tắc để kết thúc một chuỗi. Đây là một phần của bộ chỉ huy nói với iptables mà chúng tôi muốn thêm một quy tắc mới, mà chúng tôi muốn rằng quy tắc thêm vào cuối của chuỗi, và chuỗi chúng tôi muốn để hoạt động trên các chuỗi đầu VÀO.-m conntrack: iptables có một bộ các chức năng cốt lõi, nhưng cũng có một bộ tiện ích mở rộng hoặc mô-đun đó cung cấp thêm khả năng.Trong phần này của lệnh, chúng tôi đang nói rằng chúng tôi muốn có quyền truy cập vào các chức năng được cung cấp bởi các mô-đun conntrack. Module này cho phép truy cập lệnh có thể được sử dụng để đưa ra quyết định dựa trên mối quan hệ của gói cho trước các kết nối.-ctstate: đây là một trong các lệnh được thực hiện có sẵn bằng cách gọi các mô-đun conntrack. Lệnh này cho phép chúng tôi để phù hợp với các gói dữ liệu dựa trên làm thế nào họ có liên quan đến gói dữ liệu, chúng tôi đã thấy trước.Chúng tôi vượt qua nó giá trị được thành LẬP để cho phép các gói tin là một phần của kết nối hiện có. Chúng tôi vượt qua nó giá trị liên QUAN để cho phép các gói dữ liệu được liên kết với một kết nối được thiết lập. Đây là một phần của quy tắc phù hợp với phiên chạy SSH hiện tại của chúng tôi.-j chấp NHẬN: điều này xác định mục tiêu phù hợp với gói tin. Ở đây, chúng tôi nói với iptables gói tin khớp với tiêu chí trước nên được chấp nhận và được cho phép thông qua.Chúng tôi đặt quy tắc này lúc đầu vì chúng tôi muốn đảm bảo rằng các kết nối mà chúng tôi đã sử dụng là phù hợp, chấp nhận, và kéo ra khỏi chuỗi trước khi tiếp cận bất kỳ quy tắc THẢ.Chúng ta có thể thấy những thay đổi nếu chúng tôi danh sách các quy tắc:sudo iptables -LĐầu ra:Chuỗi đầu VÀO (chính sách chấp NHẬN)prot mục tiêu lựa chọn nguồn điểm đến Chấp NHẬN tất cả... bất cứ nơi nào bất cứ nơi nào ctstate liên QUAN, được thành LẬPChuỗi về phía TRƯỚC (chấp NHẬN chính sách)prot mục tiêu lựa chọn nguồn điểm đến Chuỗi sản LƯỢNG (chính sách chấp NHẬN)prot mục tiêu lựa chọn nguồn điểm đếnBây giờ mà bạn biết nói chung cú pháp, hãy tiếp tục bằng cách thêm một số trường hợp khác, nơi mà chúng tôi muốn chấp nhận kết nối.Chấp nhận các kết nối cần thiếtChúng tôi đã nói với iptables để giữ cho mở bất kỳ kết nối đang mở và cho phép kết nối mới liên quan đến những kết nối. Tuy nhiên, chúng ta cần phải tạo ra một số quy tắc để thiết lập khi chúng tôi muốn chấp nhận kết nối mới đó không đáp ứng những tiêu chí.Chúng tôi muốn giữ cho hai cổng mở đặc biệt. Chúng tôi muốn giữ cho chúng tôi cổng SSH mở (chúng ta giả sử trong hướng dẫn này là điều này là mặc định 22. Nếu bạn đã thay đổi điều này trong cấu hình SSH của bạn, sửa đổi giá trị của bạn ở đây). Chúng tôi cũng sẽ thừa nhận rằng máy tính này đang chạy một máy chủ web mặc định cổng 80. Nếu điều này không phải là trường hợp của bạn, bạn không có thêm quy tắc đó.Hai dòng, chúng ta sẽ sử dụng để thêm các quy tắc này:sudo iptables - một đầu VÀO -p tcp--dport 22 -j chấp NHẬNsudo iptables - một đầu VÀO -p tcp--dport 80 -j chấp NHẬNNhư bạn có thể thấy, đây là những rất giống với nguyên tắc đầu tiên của chúng tôi, nhưng có lẽ hơn đơn giản. Các tùy chọn mới là:-p tcp: tùy chọn này phù hợp với gói dữ liệu nếu giao thức được sử dụng là TCP. Đây là một giao thức dựa trên kết nối sẽ được sử dụng bởi hầu hết các ứng dụng vì nó cho phép cho truyền thông đáng tin cậy.-dport: tùy chọn này có sẵn nếu -p tcp cờ được đưa ra. Nó cho một yêu cầu nữa kết hợp cảng đích cho gói phù hợp. Nguyên tắc đầu tiên phù hợp cho các gói TCP mệnh cho cổng 22, trong khi thứ hai quy tắc phù hợp với giao thông TCP chỉ hướng tới cổng 80.Đó là một trong nhiều hơn nữa chấp nhận quy luật mà chúng ta cần phải đảm bảo rằng máy chủ của chúng tôi có thể hoạt động một cách chính xác. Thông thường, các dịch vụ trên máy tính giao tiếp với nhau bằng cách gửi gói tin mạng với nhau. Họ làm điều này bằng cách sử dụng một giao diện mạng giả được gọi là thiết bị loopback, hướng lưu lượng truy cập quay lại bản thân chứ không phải để các máy tính khác.Vì vậy nếu một dịch vụ muốn giao tiếp với các dịch vụ khác đang lắng nghe cho các kết nối trên cổng 4555, nó có thể gửi một gói tin port 4555 loopback thiết bị. Chúng tôi muốn loại hành vi được phép, bởi vì nó là điều cần thiết cho hoạt động chính xác của nhiều chương trình.Các quy tắc chúng ta cần phải thêm là điều này:sudo iptables-đầu VÀO 1 -i lo -j chấp NHẬNĐiều này có vẻ một chút khác nhau hơn so với các lệnh khác của chúng tôi. Hãy đi qua nó gì:-NHẬP 1:-tôi cờ cho iptables để chèn một quy tắc. Điều này là khác nhau hơn - một lá cờ có gắn thêm một quy tắc để kết thúc. -Tôi cờ diễn một chuỗi và vị trí quy định nơi bạn muốn để chèn các quy tắc mới.Trong trường hợp này, chúng tôi đang thêm thi
đang được dịch, vui lòng đợi..
Hãy Quy tắc đầu tiên của bạn
Chúng ta sẽ bắt đầu xây dựng các chính sách tường lửa của chúng tôi. Như chúng tôi đã nói ở trên, chúng ta sẽ được làm việc với các chuỗi INPUT vì đó là kênh đã lưu lượng gửi đến sẽ được gửi qua. Chúng ta sẽ bắt đầu với những quy tắc mà chúng tôi đã nói chuyện về một chút ở trên:. Các quy tắc mà chấp nhận một cách rõ ràng kết nối SSH hiện tại của bạn
Các quy tắc đầy đủ, chúng ta cần là:
sudo iptables -A VÀO -m conntrack --ctstate ESTABLISHED, RELATED -j ACCEPT
này có thể trông vô cùng phức tạp, nhưng hầu hết nó sẽ có ý nghĩa khi chúng tôi đi qua các thành phần:
Input -A: cờ -A gắn thêm một quy tắc để kết thúc một chuỗi. Đây là một phần của lệnh mà nói với iptables mà chúng tôi muốn thêm một quy tắc mới, mà chúng tôi muốn rằng quy định thêm vào phần cuối của chuỗi, và chuỗi chúng ta muốn hoạt động trên là chuỗi INPUT.
-m Conntrack: iptables có một tập hợp các chức năng cốt lõi, nhưng cũng có một bộ mở rộng hoặc mô-đun cung cấp khả năng thêm.
trong phần này của lệnh, chúng ta nói rằng chúng ta muốn có quyền truy cập vào các chức năng được cung cấp bởi các module conntrack. Module này cho phép truy cập vào các lệnh có thể được sử dụng để đưa ra quyết định dựa trên mối quan hệ của gói tin để kết nối trước đó.
--ctstate: Đây là một trong các lệnh được thực hiện bằng cách gọi các module conntrack. Lệnh này cho phép chúng tôi kết hợp các gói tin dựa trên cách họ có liên quan đến các gói tin chúng tôi đã thấy trước đây.
Chúng tôi vượt qua nó giá trị thành lập để cho phép gói tin là một phần của kết nối hiện tại. Chúng tôi vượt qua nó giá trị của LIÊN QUAN để cho phép các gói tin có liên quan đến một kết nối được thiết lập. Đây là một phần của quy tắc phù hợp với phiên SSH hiện tại của chúng tôi.
-j ACCEPT: Chỉ định mục tiêu của gói tin phù hợp. Ở đây, chúng tôi nói với iptables rằng các gói tin phù hợp với các tiêu chuẩn trước nên được chấp nhận và cho phép thông qua.
Chúng tôi đặt quy tắc này ngay từ đầu vì chúng tôi muốn chắc chắn các kết nối, chúng tôi đã sử dụng được kết hợp, chấp nhận, và kéo ra khỏi chuỗi trước . đạt được bất kỳ quy tắc thả
chúng ta có thể thấy những thay đổi nếu chúng tôi danh sách các quy tắc:
sudo iptables -L
Output:
Chain INPUT (chính sách ACCEPT)
Prot mục tiêu chọn điểm đến nguồn
ACCEPT tất cả - bất cứ nơi nào bất cứ nơi nào ctstate LIÊN QUAN, thành lập
chuỗi Forward (chính sách ACCEPT)
mục tiêu Prot lựa chọn điểm đến nguồn
chuỗi OUTPUT (chính sách ACCEPT)
Prot mục tiêu chọn điểm đến nguồn
Bây giờ bạn biết cú pháp chung, chúng ta hãy tiếp tục bằng cách thêm một số trường hợp nhiều hơn, nơi chúng tôi muốn chấp nhận các kết nối.
chấp nhận kết nối cần thiết khác
chúng tôi đã nói với iptables để giữ mở bất kỳ kết nối đã được mở và cho phép kết nối mới liên quan đến những kết nối. Tuy nhiên, chúng ta cần phải tạo ra một số quy tắc để thiết lập khi chúng tôi muốn chấp nhận các kết nối mới mà không đáp ứng được những tiêu chí.
Chúng tôi muốn giữ hai cổng mở cụ thể. Chúng tôi muốn giữ cổng SSH của chúng tôi mở (chúng ta sẽ giả định trong hướng dẫn này rằng đây là mặc định 22. Nếu bạn đã thay đổi này trong cấu hình SSH của bạn, thay đổi giá trị của bạn ở đây). Chúng tôi cũng sẽ cho rằng máy tính này đang chạy một máy chủ web trên cổng mặc định 80. Nếu điều này không phải là trường hợp của bạn, bạn không cần phải thêm quy tắc đó.
Hai dòng chúng ta sẽ sử dụng để thêm những quy định là:
sudo iptables -A vÀO -p tcp --dport 22 -j ACCEPT
sudo iptables -A vÀO -p tcp --dport 80 -j ACCEPT
Như bạn có thể thấy, đây là những rất giống với nguyên tắc đầu tiên của chúng tôi, nhưng có lẽ đơn giản hơn. Những tùy chọn mới là:
-p tcp: Tùy chọn này phù hợp với các gói tin nếu giao thức được sử dụng là TCP. Đây là một giao thức kết nối dựa trên sẽ được sử dụng bởi hầu hết các ứng dụng bởi vì nó cho phép truyền thông tin cậy.
--dport: Tùy chọn này có sẵn nếu cờ -p tcp được đưa ra. Nó đưa ra một yêu cầu tiếp tục phù hợp với các cổng đích cho các gói tin phù hợp. Nguyên tắc đầu tiên phù hợp cho các gói tin TCP định cho cổng 22, trong khi quy tắc thứ hai phù hợp với lưu lượng TCP chỉ về phía cổng 80.
Có thêm một chấp nhận quy tắc mà chúng ta cần phải đảm bảo rằng máy chủ của chúng tôi có thể hoạt động một cách chính xác. Thông thường, các dịch vụ trên máy tính giao tiếp với nhau bằng cách gửi các gói dữ liệu mạng với nhau. Họ làm điều này bằng cách sử dụng một giao diện mạng giả gọi là thiết bị loopback, trong đó chỉ đạo giao lại cho chính nó chứ không phải là các máy tính khác.
Vì vậy, nếu một trong những dịch vụ muốn giao tiếp với một dịch vụ mà là lắng nghe cho các kết nối trên cổng 4555, nó có thể gửi một gói tin đến cổng 4555 của thiết bị loopback. . Chúng tôi muốn loại hành vi được cho phép, bởi vì nó là điều cần thiết cho các hoạt động chính xác của nhiều chương trình
Các quy tắc chúng ta cần thêm là:
sudo iptables -I INPUT 1 -i lo -j ACCEPT
này trông hơi khác so với chúng tôi các lệnh khác. Hãy đi qua những gì nó đang làm:
-I INPUT 1: Lá cờ -Tôi nói với iptables để chèn một quy tắc. Điều này khác hơn -A flag đó gắn thêm một quy tắc đến cùng. Lá cờ -Tôi có một chuỗi và vị trí quy tắc mà bạn muốn chèn các quy tắc mới.
Trong trường hợp này, chúng tôi đang thêm thi
Chúng ta sẽ bắt đầu xây dựng các chính sách tường lửa của chúng tôi. Như chúng tôi đã nói ở trên, chúng ta sẽ được làm việc với các chuỗi INPUT vì đó là kênh đã lưu lượng gửi đến sẽ được gửi qua. Chúng ta sẽ bắt đầu với những quy tắc mà chúng tôi đã nói chuyện về một chút ở trên:. Các quy tắc mà chấp nhận một cách rõ ràng kết nối SSH hiện tại của bạn
Các quy tắc đầy đủ, chúng ta cần là:
sudo iptables -A VÀO -m conntrack --ctstate ESTABLISHED, RELATED -j ACCEPT
này có thể trông vô cùng phức tạp, nhưng hầu hết nó sẽ có ý nghĩa khi chúng tôi đi qua các thành phần:
Input -A: cờ -A gắn thêm một quy tắc để kết thúc một chuỗi. Đây là một phần của lệnh mà nói với iptables mà chúng tôi muốn thêm một quy tắc mới, mà chúng tôi muốn rằng quy định thêm vào phần cuối của chuỗi, và chuỗi chúng ta muốn hoạt động trên là chuỗi INPUT.
-m Conntrack: iptables có một tập hợp các chức năng cốt lõi, nhưng cũng có một bộ mở rộng hoặc mô-đun cung cấp khả năng thêm.
trong phần này của lệnh, chúng ta nói rằng chúng ta muốn có quyền truy cập vào các chức năng được cung cấp bởi các module conntrack. Module này cho phép truy cập vào các lệnh có thể được sử dụng để đưa ra quyết định dựa trên mối quan hệ của gói tin để kết nối trước đó.
--ctstate: Đây là một trong các lệnh được thực hiện bằng cách gọi các module conntrack. Lệnh này cho phép chúng tôi kết hợp các gói tin dựa trên cách họ có liên quan đến các gói tin chúng tôi đã thấy trước đây.
Chúng tôi vượt qua nó giá trị thành lập để cho phép gói tin là một phần của kết nối hiện tại. Chúng tôi vượt qua nó giá trị của LIÊN QUAN để cho phép các gói tin có liên quan đến một kết nối được thiết lập. Đây là một phần của quy tắc phù hợp với phiên SSH hiện tại của chúng tôi.
-j ACCEPT: Chỉ định mục tiêu của gói tin phù hợp. Ở đây, chúng tôi nói với iptables rằng các gói tin phù hợp với các tiêu chuẩn trước nên được chấp nhận và cho phép thông qua.
Chúng tôi đặt quy tắc này ngay từ đầu vì chúng tôi muốn chắc chắn các kết nối, chúng tôi đã sử dụng được kết hợp, chấp nhận, và kéo ra khỏi chuỗi trước . đạt được bất kỳ quy tắc thả
chúng ta có thể thấy những thay đổi nếu chúng tôi danh sách các quy tắc:
sudo iptables -L
Output:
Chain INPUT (chính sách ACCEPT)
Prot mục tiêu chọn điểm đến nguồn
ACCEPT tất cả - bất cứ nơi nào bất cứ nơi nào ctstate LIÊN QUAN, thành lập
chuỗi Forward (chính sách ACCEPT)
mục tiêu Prot lựa chọn điểm đến nguồn
chuỗi OUTPUT (chính sách ACCEPT)
Prot mục tiêu chọn điểm đến nguồn
Bây giờ bạn biết cú pháp chung, chúng ta hãy tiếp tục bằng cách thêm một số trường hợp nhiều hơn, nơi chúng tôi muốn chấp nhận các kết nối.
chấp nhận kết nối cần thiết khác
chúng tôi đã nói với iptables để giữ mở bất kỳ kết nối đã được mở và cho phép kết nối mới liên quan đến những kết nối. Tuy nhiên, chúng ta cần phải tạo ra một số quy tắc để thiết lập khi chúng tôi muốn chấp nhận các kết nối mới mà không đáp ứng được những tiêu chí.
Chúng tôi muốn giữ hai cổng mở cụ thể. Chúng tôi muốn giữ cổng SSH của chúng tôi mở (chúng ta sẽ giả định trong hướng dẫn này rằng đây là mặc định 22. Nếu bạn đã thay đổi này trong cấu hình SSH của bạn, thay đổi giá trị của bạn ở đây). Chúng tôi cũng sẽ cho rằng máy tính này đang chạy một máy chủ web trên cổng mặc định 80. Nếu điều này không phải là trường hợp của bạn, bạn không cần phải thêm quy tắc đó.
Hai dòng chúng ta sẽ sử dụng để thêm những quy định là:
sudo iptables -A vÀO -p tcp --dport 22 -j ACCEPT
sudo iptables -A vÀO -p tcp --dport 80 -j ACCEPT
Như bạn có thể thấy, đây là những rất giống với nguyên tắc đầu tiên của chúng tôi, nhưng có lẽ đơn giản hơn. Những tùy chọn mới là:
-p tcp: Tùy chọn này phù hợp với các gói tin nếu giao thức được sử dụng là TCP. Đây là một giao thức kết nối dựa trên sẽ được sử dụng bởi hầu hết các ứng dụng bởi vì nó cho phép truyền thông tin cậy.
--dport: Tùy chọn này có sẵn nếu cờ -p tcp được đưa ra. Nó đưa ra một yêu cầu tiếp tục phù hợp với các cổng đích cho các gói tin phù hợp. Nguyên tắc đầu tiên phù hợp cho các gói tin TCP định cho cổng 22, trong khi quy tắc thứ hai phù hợp với lưu lượng TCP chỉ về phía cổng 80.
Có thêm một chấp nhận quy tắc mà chúng ta cần phải đảm bảo rằng máy chủ của chúng tôi có thể hoạt động một cách chính xác. Thông thường, các dịch vụ trên máy tính giao tiếp với nhau bằng cách gửi các gói dữ liệu mạng với nhau. Họ làm điều này bằng cách sử dụng một giao diện mạng giả gọi là thiết bị loopback, trong đó chỉ đạo giao lại cho chính nó chứ không phải là các máy tính khác.
Vì vậy, nếu một trong những dịch vụ muốn giao tiếp với một dịch vụ mà là lắng nghe cho các kết nối trên cổng 4555, nó có thể gửi một gói tin đến cổng 4555 của thiết bị loopback. . Chúng tôi muốn loại hành vi được cho phép, bởi vì nó là điều cần thiết cho các hoạt động chính xác của nhiều chương trình
Các quy tắc chúng ta cần thêm là:
sudo iptables -I INPUT 1 -i lo -j ACCEPT
này trông hơi khác so với chúng tôi các lệnh khác. Hãy đi qua những gì nó đang làm:
-I INPUT 1: Lá cờ -Tôi nói với iptables để chèn một quy tắc. Điều này khác hơn -A flag đó gắn thêm một quy tắc đến cùng. Lá cờ -Tôi có một chuỗi và vị trí quy tắc mà bạn muốn chèn các quy tắc mới.
Trong trường hợp này, chúng tôi đang thêm thi
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- If can I still hope you come back to me
- 9. The trainer made a public for the tea
- stemThis female give live birth to femal
- Rome was not built in a day". Learning E
- tôi không đồng ý với quan điêm này
- Tiền đặt cọc : Trong vòng 05 (năm) ngày
- In industrial applications,ionizing radi
- họ tên đầy đủ là Nguyễn Thanh Tùng
- In industrial applications,ionizing radi
- tôi không đồng ý với quan điêm này
- ~7- to be the subset of 7- consisting of
- cát
- Illuminated when the net weight is more
- If can I still hope you come back to me
- Occasions
- Ở siêu thị có rất nhiều tiện nghi
- Covalently-Bonded Unit Count
- Bạn có biết sự kiện 1975 tại việt nam
- inhabited by
- Hiện còn hơn 120 triệu thanh thiếu niên
- thu hoạch
- Ngày nay, quảng cáo đang dần trở lên phổ
- In vitro estrogenic/anti-estrogenic effe
- female
