Tartalomjegyzék
iptables honnan-hova
- Szerző: Sallai András
- Copyright © Sallai András, 2020
- Web: https://szit.hu
Bevezetés
A csomagszűrő tűzfalak alapvető lehetősége, hogy megmondhatjuk honnan-hova engedélyezzük a csomagok áramlását, IP vagy hálózatcím alapján.
Példa hálózat
| IP cím | Interfész | Név | Leírás |
|---|---|---|---|
| 192.168.10.2 | enp0s3 | szerver | ahol állítjuk a Netfiltert |
| 192.168.20.2 | enp0s8 | szerver | ahol állítjuk a Netfiltert |
| 192.168.10.11 | enp0s3 | kliens1 | |
| 192.168.10.12 | enp0s3 | kliens2 | |
| 192.168.20.11 | enp0s3 | kliens3 | |
| 192.168.20.12 | enp0s3 | kliens4 |
Forrás
A -s kapcsolóval megadhatunk forrás IP címeket és teljes hálózatokat.
Bármilyen csomag elfogadása a kliens1-től.
iptables -A INPUT -s 192.168.10.11 -j ACCEPT
Egész hálózat beállítása:
iptables -A INPUT -s 192.168.10.0/24 -p tcp --dport 80 -j ACCEPT
Engedjük a forgalmat a 80-portra, ha azok a 192.168.10.11 címről jönnek:
iptables -A INPUT -s 192.168.10.11 -p tcp --dport 80 -j ACCEPT
Cél
Bármilyen csomag elfogadása, 192.168.20.11-re tart
iptables -A INPUT -d 192.168.20.11 -j ACCEPT
Egész hálózat beállítása:
iptables -A INPUT -d 192.168.20.0/24 -p tcp --dport 22 -j ACCEPT
Engedjük a forgalmat a 22-portra, ha azok a 192.168.20.11 címre tartanak:
iptables -A INPUT -d 192.168.20.11 -p tcp --dport 22 -j ACCEPT
Vegyes
Bármilyen csomag elfogadása, ami a 192.168.20.11-re tart
iptables -A INPUT -s 192.168.10.11 -d 192.168.20.12 -j ACCEPT
A kapcsolók sorrendje mindegy.
Feladat 01
A szerveren webszerver érhető el a 80-s és a 443-s porton. Engedélyezzük a webszerver elérését a kliens1 számára mindkét porton keresztül, a kliens 2 számára csak 443-s porton. Minden más legyen tiltva.
iptables -A INPUT -s 192.168.10.11 -p tcp --dport 80 -j ACCEPT iptables -A INPUT -s 192.168.10.11 -p tcp --dport 443 -j ACCEPT iptables -A INPUT -s 192.168.10.12 -p tcp --dport 443 -j ACCEPT