IP Tables - Konfiguracja

pytanie zadane 6 września 2022 w Systemy operacyjne, programy przez kubekszklany Gaduła (3,100 p.)

Witam. Potrzebuję skonfigurować firewall w linux'ie, konkretnie chodzi o iptables. Czy byłby mi ktoś w stanie napisać poniższe reguły? Takie przykładowe, z resztą mam nadzieję sobie poradzę:
A) OUTGOING:
1. Zezwalaj na wszystkie połączenia.
B) INCOMING:
1. Zablokuj wszystkie połączenia.
2. Odblokuj wszystkie porty w sieci LAN.
3. Odblokuj porty 80 i 443 w sieci WAN.

PS. Da się to jakoś wpisać do pliku konfiguracyjnego, czy muszę umieścić to w skrypcie i uruchamiać ten skrypt przy starcie systemu?

3 odpowiedzi

odpowiedź 6 września 2022 przez manjaro Nałogowiec (36,830 p.)

Zainstaluj sobie gufw i wszystko sobie ustawisz graficznie. Prosto i łatwo.

komentarz 6 września 2022 przez kubekszklany Gaduła (3,100 p.)

Raczej potrzebuję wersję bez interfejsu graficznego.

komentarz 9 września 2022 przez ananyaa Nowicjusz (100 p.)

I am also using the gufw firewall,

odpowiedź 6 września 2022 przez val_dee Nowicjusz (160 p.)

może spróbuj z UFW na przykłądzie artykułu https://www.digitalocean.com/community/tutorials/how-to-set-up-a-firewall-with-ufw-on-ubuntu-18-04

komentarz 6 września 2022 przez kubekszklany Gaduła (3,100 p.)

Próbowałem, większość komend kończy się komunikatem:
[Errno 2] ip6tables v1.8.7 (nf_tables): Could not fetch rule set generation id: Invalid argument.
Dlatego chciałem wersję do iptables, bo inne programy i tak używają w gruncie rzeczy iptables. Podejrzewam że w tej nowszej wersji jest inna składnia poleceń w iptables, dlatego ufw nie działa.

odpowiedź 7 września 2022 przez overcq Pasjonat (19,610 p.)

Jeśli używasz tablicy “filter” (domyślnej) w ‟iptables”, to tam masz trzy ‘chains’: “INPUT”, “FORWARD”, “OUTPUT”.

filter:
This is the default table (if no -t option is passed). It contains the built-in chains INPUT (for packets destined to local sockets), FORWARD (for packets being routed through the box), and OUTPUT (for locally-generated packets).

Najpierw potrzebujesz ustawić domyślne ‘policy’ (opcja ”-P”):

dla “INPUT” – “DROP”
dla “OUTPUT” – “ACCEPT”
dla “FORWARD” – takie, jak potrzebujesz dla pakietów przechodzących przez komputer do innej sieci, zakładam, że “ACCEPT”

Następnie zanim zadziała to domyślne ‘policy’ potrzebne są reguły w ‘chain’ “INPUT”, które zezwolą na połączenia przychodzące z interfejsu WAN na porty 80 i 443 oraz połączenia przychodzące z sieci LAN.

Zakładam, że masz ustawione NAT w tabeli “nat”, więc nie potrzeba dodatkowo zabezpieczać przed połączeniami przychodzącymi z WAN do sieci LAN.

Resztę doczytaj w ‘manualu’ ‟iptables”.

U mnie jest program “iptables-save” oraz “iptables-restore”, które wystarczy uruchomić z odpowiednimi opcjami w skrypcie przy uruchamianiu, zamykaniu systemu.