نکته های ظریف و کارای IPTABLES

نکته۱:
بعد از استفاده از دستورات iptables بدین صورت آنها را save می کنیم:
کد:

# iptables-save
 # service iptables save

  بستن PING:
کد:

 # iptables -A OUTPUT -p icmp - j REJECT
# iptables -A INPUT -p icmp - j REJECT

  برای حذف این دستور چنین عمل می کنیم:
کد:

# iptables -D OUTPUT -p icmp -j REJECT

  فعال کردن IP Forwarding:
کد:

 
# echo "1" > /proc/sys/net/ipv4/ip_forward

برای Drop  کردن درخواست IP خاص یا پورت خاص چنین عمل می کنیم:

.بستن پورت 23برای همه ip ها:


کد:

 # iptables -t nat -A POSTROUTING -o eth1 -p tcp -m tcp --dport 23 -j DROP

..بستن پورت های 22 و 23 برای همه ip ها:
کد:

 # iptables -t nat -A POSTROUTING -o eth1 -p tcp -m tcp --dport 22:23 -j DROP

...بستن پورت 22و 23 برای یک ip خاص:
کد:

 # iptables -t nat -A POSTROUTING -s 192.168.0.88 -o eth1 -p tcp -m tcp --dport 22:23 -j DROP

....برای drop کردن تمامی Packet های یک IP خاص:
کد:

 # iptables -A INPUT -s 217.61.158.248 -j DROP

..... برای Drop کردن SSH packetهای یک Ip خاص:
کد:

 # iptables -A INPUT -s 217.61.158.248 -p tcp --dport 22 -j DROP

برای اینکه مدیریت کامل تری به شبکه خود داشته باشیم و بتوانیم منابعی که
در حال اسکن کردن سیستم ما هستند بیابیم و یا در هر حال گزارشی از عملکرد
صحیح فایر وال داشته باشیم می توانیم به طرق ذیل Log  فایل ها را برای  
موارد دلخواهمان فعال کنیم:



.فعال کردن Log برای دیدن  بسته های ICMP:


کد:

 # iptables -A OUTPUT -p icmp -j LOG --log-prefix "PING:> "
# iptables -A INPUT -p icmp -j LOG --log-prefix "PING:> "

برای دیدن این log ها به این مسیر بروید:
کد:

/var/log/messages

و خط هایی را که با
کد:

 PING:>

شروع شده اند بررسی نمایید.( البته راه ساده تر آن استفاده از دستور فیلتر کننده grep و مختص کردن به log های فایروال می باشد)
. فعال کردن Log برای دیدن Ftp:
کد:

 # iptables -A OUTPUT -p tcp -s 0/0 --dport 21 -j LOG --log-prefix "FTP:> "
# iptables -A INPUT -p tcp -s 0/0 --dport 21 -j LOG --log-prefix "FTP:> "

که در لاگ فایل ها دنبال عبارت انتخابی
کد:

FTP:>

می گردیم.

. فعال کردن Log برای یک ip خاص:
کد:

 # iptables -t  nat POSTROUTING -s 192.168.0.88 -o eth1 -j LOG --log-prefix "<NAT88> "

که در لاگ فایل ها دنبال عبارت انتخابی
کد:

<NAT88>

می گردیم.


در این بخش redirect کردن پورت های مختلف را با هم بررسی می کنیم:

1-Transparent کردنSquid
کد:

 # iptables -t nat -A PREROUTING -p tcp --dport 80  -j REDIRECT --to-ports 3128


2-برای redirect کردن گروهی از پورتها:
کد:

 # iptables -t nat -A PREROUTING -p tcp -d 203.145.184.246 --dport 20:23 -j DNAT --to 192.168.0.88:20-23
# iptables -A FORWARD -p tcp -d 192.168.0.88 --dport 20:23 -j ACCEPT
# iptables -t nat -A PREROUTING -p udp -d 203.145.184.246 --dport 20:23 -j DNAT --to 192.168.0.88:20-23
# iptables -A FORWARD -p udp -d 192.168.0.88 --dport 20:23 -j ACCEPT

3- برای redirect کردن تمامی درخواست های SMTP از اینترفیسeth0 به یک کامپیوتر دیگه داخل شبکه( LAN):
کد:

 # iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 25 -j DNAT --to 192.168.0.88:25
# iptables -A FORWARD -p tcp -d 192.168.0.88 --dport 25 -j ACCEPT


ضمن تشکر از لطف دوستان عزیز و امید اینکه این مطالب مورد استفاده قرار گرفته باشه....
در این بخش با استفاده از سیاست MASQUERADE اینترنت را در شبکه به اشتراک می گزاریم:

A) با استفاده از دو کارت شبکه که یکی به اینترنت و دیگری به شبکه داخلی متصل است:

کد:

 # iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

(توضیح اینکه در اینجا eth1 اینترفیسی است که به اینترنت متصل است.)


B) با استفاده از مودم ( به صورت Dialup) و یک کارت شبکه:
کد:

 # iptables -t  nat  -A POSTROUTING -o ppp0 -j MASQUERADE

( توضیح اینکه لازم است که IP forwarding نیز فعال شده باشد مطابق روش پست اول)


[] برای دیدن قوانینی که اعمال کرده ایم :
کد:

 # iptables -L
# iptables -nL

 وبرای حذف کردن تمامی قوانین Iptables چنین عمل می کنیم:
کد:

 # iptables -F
# iptables -X
# iptables -Z