[[oktatas:linux:tuzfal:netfilter:iptables|< iptables]]

====== iptables honnan-hova ======

  * **Szerző:** Sallai András
  * Copyright (c) Sallai András, 2020
  * Licenc: [[https://creativecommons.org/licenses/by-sa/4.0/|CC Attribution-Share Alike 4.0 International]]
  * Web: https://szit.hu

===== Bevezetés =====

A csomagszűrő tűzfalak alapvető lehetősége, hogy megmondhatjuk honnan-hova engedélyezzük a
csomagok áramlását, IP vagy hálózatcím alapján.


===== Példa hálózat =====


^  IP cím  ^  Interfész  ^  Név  ^  Leírás  ^
| 192.168.10.2   | enp0s3  | szerver | ahol állítjuk a Netfiltert  |
| 192.168.20.2   | enp0s8  | szerver | ahol állítjuk a Netfiltert  |
| 192.168.10.11  | enp0s3  | kliens1  | |
| 192.168.10.12  | enp0s3  | kliens2  | |
| 192.168.20.11  | enp0s3  | kliens3  | |
| 192.168.20.12  | enp0s3  | kliens4  | |

{{:oktatas:linux:tuzfal:netfilter:iptables:pelda_halozat_01.png|}}

===== Forrás =====

A -s kapcsolóval megadhatunk forrás IP címeket és teljes hálózatokat. 

Bármilyen csomag elfogadása a kliens1-től.
<code bash>
iptables -A INPUT -s 192.168.10.11 -j ACCEPT
</code>



Egész hálózat beállítása:
<code bash>
iptables -A INPUT -s 192.168.10.0/24 -p tcp --dport 80 -j ACCEPT
</code>




Engedjük a forgalmat a 80-portra, ha azok a 192.168.10.11 címről jönnek:
<code bash>
iptables -A INPUT -s 192.168.10.11 -p tcp --dport 80 -j ACCEPT
</code>



===== Cél =====

Bármilyen csomag elfogadása, 192.168.20.11-re tart
<code bash>
iptables -A INPUT -d 192.168.20.11 -j ACCEPT
</code>

Egész hálózat beállítása:
<code bash>
iptables -A INPUT -d 192.168.20.0/24 -p tcp --dport 22 -j ACCEPT
</code>

Engedjük a forgalmat a 22-portra, ha azok a 192.168.20.11 címre tartanak:
<code bash>
iptables -A INPUT -d 192.168.20.11 -p tcp --dport 22 -j ACCEPT
</code>

===== Vegyes =====


Bármilyen csomag elfogadása, ami a 192.168.20.11-re tart
<code bash>
iptables -A INPUT -s 192.168.10.11 -d 192.168.20.12 -j ACCEPT
</code>

A kapcsolók sorrendje mindegy. 



===== Feladat 01 =====

A szerveren webszerver érhető el a 80-s és a 443-s porton. 
Engedélyezzük a webszerver elérését a kliens1 számára mindkét porton keresztül,
a kliens 2 számára csak 443-s porton. Minden más legyen tiltva.

<code bash>
iptables -A INPUT -s 192.168.10.11 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 192.168.10.11 -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -s 192.168.10.12 -p tcp --dport 443 -j ACCEPT
</code>