ഓരോ ലിനക്സ് അഡ്മിനിസ്ട്രേറ്ററും അറിഞ്ഞിരിക്കേണ്ട ഉപയോഗപ്രദമായ IPtable ഫയർവാൾ നിയമങ്ങൾ
സിസ്റ്റത്തെ ആക്രമണത്തിന് ഇരയാക്കാതെ, ഇൻകമിംഗ്, ഔട്ട്uഗോയിംഗ് കണക്ഷനുകൾക്കുള്ള സിസ്റ്റത്തിന്റെയും ഉപയോക്താക്കളുടെയും ആവശ്യകതകൾ നിറവേറ്റുന്ന തരത്തിൽ ഫയർവാൾ കോൺഫിഗർ ചെയ്യുക.
ഇവിടെയാണ് iptables
ഉപയോഗപ്രദമാകുന്നത്. ക്രമീകരിക്കാവുന്ന പട്ടിക നിയമങ്ങൾ വഴി ഇൻകമിംഗ്, ഔട്ട്ഗോയിംഗ് ട്രാഫിക് നിയന്ത്രിക്കാൻ സിസ്റ്റം അഡ്മിനിസ്ട്രേറ്റർമാരെ അനുവദിക്കുന്ന ഒരു Linux കമാൻഡ് ലൈൻ ഫയർവാൾ ആണ് Iptables.
ബിൽറ്റ്-ഇൻ അല്ലെങ്കിൽ ഉപയോക്തൃ നിർവചിച്ച നിയമങ്ങൾ അടങ്ങുന്ന ചെയിനുകളുള്ള ഒരു കൂട്ടം പട്ടികകൾ Iptables ഉപയോഗിക്കുന്നു. അവർക്ക് നന്ദി, ഒരു സിസ്റ്റം അഡ്മിനിസ്ട്രേറ്റർക്ക് തന്റെ സിസ്റ്റത്തിന്റെ നെറ്റ്uവർക്ക് ട്രാഫിക് ശരിയായി ഫിൽട്ടർ ചെയ്യാൻ കഴിയും.
ഓരോ iptables മാനുവലിൽ, നിലവിൽ 3 തരം പട്ടികകളുണ്ട്:
FILTER
– ഇതാണ് ഡിഫോൾട്ട് പട്ടിക, ഇതിൽ ബിൽറ്റ് ഇൻ ചെയിനുകൾ അടങ്ങിയിരിക്കുന്നു:- ഇൻപുട്ട് – ലോക്കൽ സോക്കറ്റുകൾക്കായി ഉദ്ദേശിച്ചിട്ടുള്ള പാക്കേജുകൾ
- ഫോർവേഡ് - സിസ്റ്റത്തിലൂടെ പാക്കറ്റുകൾ റൂട്ട് ചെയ്തു
- ഔട്ട്uപുട്ട് - പ്രാദേശികമായി സൃഷ്uടിച്ച പാക്കറ്റുകൾ
- PREROUTING - ഒരു പാക്കറ്റ് ലഭിച്ചാലുടൻ അത് മാറ്റുന്നതിന് ഉപയോഗിക്കുന്നു
- ഔട്ട്uപുട്ട് - പ്രാദേശികമായി ജനറേറ്റുചെയ്uത പാക്കറ്റുകൾ മാറ്റാൻ ഉപയോഗിക്കുന്നു
- POSTROUTING – പാക്കറ്റുകൾ പുറത്തുപോകാൻ പോകുന്നതിനാൽ അവ മാറ്റാൻ ഉപയോഗിക്കുന്നു
- PREROUTING – ഇൻകമിംഗ് കണക്ഷനുകൾ മാറ്റുന്നതിന്
- ഔട്ട്uപുട്ട് - പ്രാദേശികമായി സൃഷ്uടിച്ച പാക്കറ്റുകൾ മാറ്റുന്നതിന്
- ഇൻപുട്ട് - ഇൻകമിംഗ് പാക്കറ്റുകൾക്ക്
- പോസ്uട്രോട്ടിംഗ് - പാക്കറ്റുകൾ പുറത്തുപോകാൻ പോകുന്നതിനാൽ അവ മാറ്റുന്നതിന്
- ഫോർവേഡ് - ബോക്സിലൂടെ റൂട്ട് ചെയ്ത പാക്കറ്റുകൾക്ക്
ഈ ലേഖനത്തിൽ, നിങ്ങളുടെ Linux ബോക്സ് ഫയർവാൾ iptables വഴി നിയന്ത്രിക്കാൻ സഹായിക്കുന്ന ചില ഉപയോഗപ്രദമായ കമാൻഡുകൾ നിങ്ങൾ കാണും. ഈ ലേഖനത്തിന്റെ ഉദ്ദേശ്യത്തിനായി, ഞാൻ ലളിതമായ കമാൻഡുകൾ ഉപയോഗിച്ച് ആരംഭിച്ച് അവസാനം വരെ കൂടുതൽ സങ്കീർണ്ണമായതിലേക്ക് പോകും.
1. Iptables ഫയർവാൾ ആരംഭിക്കുക/നിർത്തുക/പുനരാരംഭിക്കുക
ആദ്യം, വ്യത്യസ്uത ലിനക്uസ് വിതരണങ്ങളിൽ iptables സേവനം എങ്ങനെ മാനേജ് ചെയ്യണമെന്ന് നിങ്ങൾ അറിഞ്ഞിരിക്കണം. ഇത് വളരെ എളുപ്പമാണ്:
------------ On Cent/RHEL 7 and Fedora 22+ ------------ # systemctl start iptables # systemctl stop iptables # systemctl restart iptables
------------ On Cent/RHEL 6/5 and Fedora ------------ # /etc/init.d/iptables start # /etc/init.d/iptables stop # /etc/init.d/iptables restart
2. എല്ലാ IPtables ഫയർവാൾ നിയമങ്ങളും പരിശോധിക്കുക
നിങ്ങളുടെ നിലവിലുള്ള നിയമങ്ങൾ പരിശോധിക്കണമെങ്കിൽ, ഇനിപ്പറയുന്ന കമാൻഡ് ഉപയോഗിക്കുക:
# iptables -L -n -v
ഇത് ചുവടെയുള്ളതിന് സമാനമായ ഔട്ട്പുട്ട് നൽകണം:
Chain INPUT (policy ACCEPT 1129K packets, 415M bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT tcp -- lxcbr0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 0 0 ACCEPT udp -- lxcbr0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:53 0 0 ACCEPT tcp -- lxcbr0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:67 0 0 ACCEPT udp -- lxcbr0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:67
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- * lxcbr0 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all -- lxcbr0 * 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 354K packets, 185M bytes) pkts bytes target prot opt in out source destination
ഒരു നിർദ്ദിഷ്uട പട്ടികയ്uക്കായുള്ള നിയമങ്ങൾ പരിശോധിക്കാൻ നിങ്ങൾ ആഗ്രഹിക്കുന്നുവെങ്കിൽ, നിങ്ങൾക്ക് പരിശോധിക്കേണ്ട പട്ടികയ്uക്ക് ശേഷം
-t
ഓപ്ഷൻ ഉപയോഗിക്കാം. ഉദാഹരണത്തിന്,NAT
പട്ടികയിലെ നിയമങ്ങൾ പരിശോധിക്കാൻ, നിങ്ങൾക്ക് ഇവ ഉപയോഗിക്കാം:# iptables -t nat -L -v -n
3. IPtables ഫയർവാളിൽ നിർദ്ദിഷ്ട IP വിലാസം തടയുക
ഒരു IP വിലാസത്തിൽ നിന്ന് അസാധാരണമോ ദുരുപയോഗം ചെയ്യുന്നതോ ആയ പ്രവർത്തനം നിങ്ങൾ കണ്ടെത്തുകയാണെങ്കിൽ, ഇനിപ്പറയുന്ന നിയമം ഉപയോഗിച്ച് നിങ്ങൾക്ക് ആ IP വിലാസം ബ്ലോക്ക് ചെയ്യാം:
# iptables -A INPUT -s xxx.xxx.xxx.xxx -j DROP
നിങ്ങൾ യഥാർത്ഥ IP വിലാസം ഉപയോഗിച്ച്
\xxx.xxx.xxx.xxx\
മാറ്റേണ്ടയിടത്ത്. ഈ കമാൻഡ് പ്രവർത്തിപ്പിക്കുമ്പോൾ വളരെ ശ്രദ്ധാലുവായിരിക്കുക, കാരണം നിങ്ങളുടെ സ്വന്തം ഐപി വിലാസം അബദ്ധത്തിൽ തടയാൻ കഴിയും.-A
ഓപ്ഷൻ തിരഞ്ഞെടുത്ത ചെയിനിന്റെ അവസാനം നിയമം കൂട്ടിച്ചേർക്കുന്നു.ആ ഐപി വിലാസത്തിൽ നിന്ന് ടിസിപി ട്രാഫിക്ക് തടയാൻ നിങ്ങൾ ആഗ്രഹിക്കുന്നുവെങ്കിൽ, നിങ്ങൾക്ക് പ്രോട്ടോക്കോൾ വ്യക്തമാക്കുന്ന
-p
ഓപ്ഷൻ ഉപയോഗിക്കാം. അങ്ങനെ, കമാൻഡ് ഇതുപോലെ കാണപ്പെടും:# iptables -A INPUT -p tcp -s xxx.xxx.xxx.xxx -j DROP
4. IPtables ഫയർവാളിൽ IP വിലാസം തടയുക
നിർദ്ദിഷ്uട IP വിലാസത്തിൽ നിന്നുള്ള അഭ്യർത്ഥനകൾ ഇനി തടയേണ്ടതില്ലെന്ന് നിങ്ങൾ തീരുമാനിച്ചിട്ടുണ്ടെങ്കിൽ, ഇനിപ്പറയുന്ന കമാൻഡ് ഉപയോഗിച്ച് നിങ്ങൾക്ക് തടയൽ നിയമം ഇല്ലാതാക്കാം:
# iptables -D INPUT -s xxx.xxx.xxx.xxx -j DROP
-D
ഓപ്ഷൻ തിരഞ്ഞെടുത്ത ചെയിനിൽ നിന്ന് ഒന്നോ അതിലധികമോ നിയമങ്ങൾ ഇല്ലാതാക്കുന്നു. ദൈർഘ്യമേറിയ ഓപ്ഷൻ ഉപയോഗിക്കാൻ നിങ്ങൾ ആഗ്രഹിക്കുന്നുവെങ്കിൽ, നിങ്ങൾക്ക്--delete
ഉപയോഗിക്കാം.5. IPtables ഫയർവാളിൽ നിർദ്ദിഷ്ട പോർട്ട് തടയുക
ചിലപ്പോൾ നിങ്ങൾ ഒരു പ്രത്യേക പോർട്ടിൽ ഇൻകമിംഗ് അല്ലെങ്കിൽ ഔട്ട്ഗോയിംഗ് കണക്ഷനുകൾ തടയാൻ ആഗ്രഹിച്ചേക്കാം. ഇതൊരു നല്ല സുരക്ഷാ നടപടിയാണ്, നിങ്ങളുടെ ഫയർവാൾ സജ്ജീകരിക്കുമ്പോൾ നിങ്ങൾ അതിനെക്കുറിച്ച് ചിന്തിക്കണം.
ഒരു നിർദ്ദിഷ്uട പോർട്ടിൽ ഔട്ട്uഗോയിംഗ് കണക്ഷനുകൾ തടയുന്നതിന്:
# iptables -A OUTPUT -p tcp --dport xxx -j DROP
ഇൻകമിംഗ് കണക്ഷനുകൾ അനുവദിക്കുന്നതിന് ഉപയോഗിക്കുക:
# iptables -A INPUT -p tcp --dport xxx -j ACCEPT
രണ്ട് ഉദാഹരണങ്ങളിലും നിങ്ങൾ അനുവദിക്കാൻ ആഗ്രഹിക്കുന്ന യഥാർത്ഥ പോർട്ട് ഉപയോഗിച്ച്
\xxx\
മാറ്റുക. TCP-ക്ക് പകരം UDP ട്രാഫിക് തടയാൻ നിങ്ങൾ ആഗ്രഹിക്കുന്നുവെങ്കിൽ, മുകളിലുള്ള iptables റൂളിൽ\udp\
ഉപയോഗിച്ച്\tcp\
മാറ്റുക.6. മൾട്ടിപോർട്ട് ഉപയോഗിച്ച് ഐപിടേബിളുകളിൽ ഒന്നിലധികം പോർട്ടുകൾ അനുവദിക്കുക
മൾട്ടിപോർട്ട് ഉപയോഗിച്ച് നിങ്ങൾക്ക് ഒരേസമയം ഒന്നിലധികം പോർട്ടുകൾ അനുവദിക്കാൻ കഴിയും, ഇൻകമിംഗ്, ഔട്ട്uഗോയിംഗ് കണക്ഷനുകൾക്കുള്ള അത്തരം നിയമം ചുവടെ നിങ്ങൾക്ക് കണ്ടെത്താനാകും:
# iptables -A INPUT -p tcp -m multiport --dports 22,80,443 -j ACCEPT # iptables -A OUTPUT -p tcp -m multiport --sports 22,80,443 -j ACCEPT
7. IPtables-ൽ പ്രത്യേക പോർട്ടിൽ പ്രത്യേക നെറ്റ്uവർക്ക് ശ്രേണി അനുവദിക്കുക
തന്നിരിക്കുന്ന നെറ്റ്uവർക്കിലേക്ക് നിർദ്ദിഷ്ട പോർട്ടിലെ ചില കണക്ഷനുകൾ പരിമിതപ്പെടുത്താൻ നിങ്ങൾ ആഗ്രഹിച്ചേക്കാം.
192.168.100.0/24
നെറ്റ്uവർക്കിലേക്ക്22
പോർട്ടിൽ ഔട്ട്uഗോയിംഗ് കണക്ഷനുകൾ അനുവദിക്കാൻ നിങ്ങൾ ആഗ്രഹിക്കുന്നുവെന്ന് പറയാം.ഈ കമാൻഡ് ഉപയോഗിച്ച് നിങ്ങൾക്ക് ഇത് ചെയ്യാൻ കഴിയും:
# iptables -A OUTPUT -p tcp -d 192.168.100.0/24 --dport 22 -j ACCEPT
8. IPtables Firewall-ൽ Facebook തടയുക
ചില തൊഴിലുടമകൾ അവരുടെ ജീവനക്കാർക്ക് Facebook-ലേക്കുള്ള ആക്സസ് തടയാൻ ഇഷ്ടപ്പെടുന്നു. Facebook-ലേക്കുള്ള ട്രാഫിക് എങ്ങനെ തടയാം എന്നതിന്റെ ഒരു ഉദാഹരണം ചുവടെയുണ്ട്.
ശ്രദ്ധിക്കുക: നിങ്ങളൊരു സിസ്റ്റം അഡ്uമിനിസ്uട്രേറ്ററാണെങ്കിൽ ഈ നിയമങ്ങൾ ബാധകമാക്കേണ്ടതുണ്ടെങ്കിൽ, നിങ്ങളുടെ സഹപ്രവർത്തകർ നിങ്ങളോട് സംസാരിക്കുന്നത് നിർത്തിയേക്കാമെന്ന് ഓർമ്മിക്കുക :)
ആദ്യം Facebook ഉപയോഗിക്കുന്ന IP വിലാസങ്ങൾ കണ്ടെത്തുക:
# host facebook.com facebook.com has address 66.220.156.68
# whois 66.220.156.68 | grep CIDR CIDR: 66.220.144.0/20
നിങ്ങൾക്ക് ഇനിപ്പറയുന്നവ ഉപയോഗിച്ച് ആ Facebook നെറ്റ്uവർക്ക് ബ്ലോക്ക് ചെയ്യാം:
# iptables -A OUTPUT -p tcp -d 66.220.144.0/20 -j DROP
Facebook ഉപയോഗിക്കുന്ന IP വിലാസ ശ്രേണി നിങ്ങളുടെ രാജ്യത്ത് വ്യത്യാസപ്പെടാം എന്നത് ഓർക്കുക.
9. IPtables-ൽ പോർട്ട് ഫോർവേഡിംഗ് സജ്ജീകരിക്കുക
ചിലപ്പോൾ നിങ്ങൾ ഒരു സേവനത്തിന്റെ ട്രാഫിക് മറ്റൊരു പോർട്ടിലേക്ക് കൈമാറാൻ ആഗ്രഹിച്ചേക്കാം. ഇനിപ്പറയുന്ന കമാൻഡ് ഉപയോഗിച്ച് നിങ്ങൾക്ക് ഇത് നേടാനാകും:
# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 25 -j REDIRECT --to-port 2525
മുകളിലെ കമാൻഡ് നെറ്റ്uവർക്ക് ഇന്റർഫേസിലെ എല്ലാ ഇൻകമിംഗ് ട്രാഫിക്കും
25
പോർട്ട്2525
ലേക്ക് കൈമാറുന്നു. നിങ്ങൾക്ക് ആവശ്യമുള്ളവ ഉപയോഗിച്ച് പോർട്ടുകൾ മാറ്റാം.10. IPtables ഉപയോഗിച്ച് അപ്പാച്ചെ പോർട്ടിൽ നെറ്റ്uവർക്ക് ഫ്ലഡ് തടയുക
ചിലപ്പോൾ IP വിലാസങ്ങൾ നിങ്ങളുടെ വെബ്uസൈറ്റിലെ വെബ് പോർട്ടുകളിലേക്ക് വളരെയധികം കണക്ഷനുകൾ അഭ്യർത്ഥിച്ചേക്കാം. ഇത് നിരവധി പ്രശ്നങ്ങൾക്ക് കാരണമാകാം, അത്തരം പ്രശ്നങ്ങൾ തടയുന്നതിന്, നിങ്ങൾക്ക് ഇനിപ്പറയുന്ന നിയമം ഉപയോഗിക്കാം:
# iptables -A INPUT -p tcp --dport 80 -m limit --limit 100/minute --limit-burst 200 -j ACCEPT
മുകളിലെ കമാൻഡ് ഇൻകമിംഗ് കണക്ഷനുകളെ മിനിറ്റിൽ നിന്ന്
100
ആയി പരിമിതപ്പെടുത്തുകയും ഒരു പരിധി ബർസ്റ്റ്200
ആയി സജ്ജമാക്കുകയും ചെയ്യുന്നു. നിങ്ങളുടെ സ്വന്തം നിർദ്ദിഷ്ട ആവശ്യകതകൾക്കനുസരിച്ച് നിങ്ങൾക്ക് പരിധി എഡിറ്റ് ചെയ്യാം.11. IPtables-ൽ ഇൻകമിംഗ് പിംഗ് അഭ്യർത്ഥനകൾ തടയുക
സുരക്ഷാ പ്രശ്uനങ്ങൾ കാരണം ഇൻകമിംഗ് പിംഗ് അഭ്യർത്ഥനകൾ തടയാൻ ചില സിസ്റ്റം അഡ്മിനിസ്ട്രേറ്റർമാർ ഇഷ്ടപ്പെടുന്നു. ഭീഷണി അത്ര വലുതല്ലെങ്കിലും, അത്തരം അഭ്യർത്ഥന എങ്ങനെ തടയാമെന്ന് അറിയുന്നത് നല്ലതാണ്:
# iptables -A INPUT -p icmp -i eth0 -j DROP
12. ലൂപ്പ്ബാക്ക് ആക്സസ് അനുവദിക്കുക
ലൂപ്പ്ബാക്ക് ആക്uസസ് (
127.0.0.1
-ൽ നിന്നുള്ള ആക്uസസ്സ്) പ്രധാനമാണ്, നിങ്ങൾ അത് എപ്പോഴും സജീവമായി വിടണം:# iptables -A INPUT -i lo -j ACCEPT # iptables -A OUTPUT -o lo -j ACCEPT
13. IPtables-ൽ ഡ്രോപ്പ് ചെയ്ത നെറ്റ്uവർക്ക് പാക്കറ്റുകളുടെ ഒരു ലോഗ് സൂക്ഷിക്കുക
നെറ്റ്uവർക്ക് ഇന്റർഫേസ്
eth0
-ൽ ഡ്രോപ്പ് ചെയ്ത പാക്കറ്റുകൾ ലോഗ് ചെയ്യണമെങ്കിൽ, നിങ്ങൾക്ക് ഇനിപ്പറയുന്ന കമാൻഡ് ഉപയോഗിക്കാം:# iptables -A INPUT -i eth0 -j LOG --log-prefix "IPtables dropped packets:"
നിങ്ങൾക്ക് ഇഷ്ടമുള്ള എന്തെങ്കിലും ഉപയോഗിച്ച്
\--log-prefix\
ന് ശേഷം മൂല്യം മാറ്റാവുന്നതാണ്. സന്ദേശങ്ങൾ/var/log/messages
എന്നതിൽ ലോഗിൻ ചെയ്uതിരിക്കുന്നു, നിങ്ങൾക്ക് ഇവ ഉപയോഗിച്ച് തിരയാനാകും:# grep "IPtables dropped packets:" /var/log/messages
14. IPtables-ൽ നിർദ്ദിഷ്uട MAC വിലാസത്തിലേക്കുള്ള ആക്uസസ് തടയുക
ഇനിപ്പറയുന്നവ ഉപയോഗിച്ച് നിർദ്ദിഷ്ട MAC വിലാസത്തിൽ നിന്ന് നിങ്ങളുടെ സിസ്റ്റത്തിലേക്കുള്ള ആക്സസ് നിങ്ങൾക്ക് തടയാൻ കഴിയും:
# iptables -A INPUT -m mac --mac-source 00:00:00:00:00:00 -j DROP
തീർച്ചയായും, നിങ്ങൾ തടയാൻ ആഗ്രഹിക്കുന്ന യഥാർത്ഥ MAC വിലാസം ഉപയോഗിച്ച് നിങ്ങൾ
\00:00:00:00:00:00\
മാറ്റേണ്ടതുണ്ട്.15. ഓരോ ഐപി വിലാസത്തിലും കൺകറന്റ് കണക്ഷനുകളുടെ എണ്ണം പരിമിതപ്പെടുത്തുക
തന്നിരിക്കുന്ന പോർട്ടിൽ ഒറ്റ ഐപി വിലാസത്തിൽ നിന്ന് നിരവധി കൺകറന്റ് കണക്ഷൻ സ്ഥാപിക്കാൻ നിങ്ങൾക്ക് താൽപ്പര്യമില്ലെങ്കിൽ, നിങ്ങൾക്ക് ചുവടെയുള്ള കമാൻഡ് ഉപയോഗിക്കാം:
# iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 3 -j REJECT
മുകളിലുള്ള കമാൻഡ് ഓരോ ക്ലയന്റിനും
3
കണക്ഷനുകൾ അനുവദിക്കുന്നില്ല. തീർച്ചയായും, വ്യത്യസ്ത സേവനങ്ങളുമായി പൊരുത്തപ്പെടുന്നതിന് നിങ്ങൾക്ക് പോർട്ട് നമ്പർ മാറ്റാനാകും. കൂടാതെ നിങ്ങളുടെ ആവശ്യവുമായി പൊരുത്തപ്പെടുന്നതിന്--connlimit-above
മാറ്റണം.16. IPtables റൂളിനുള്ളിൽ തിരയുക
നിങ്ങളുടെ iptables നിയമങ്ങൾ നിർവചിച്ചുകഴിഞ്ഞാൽ, നിങ്ങൾക്ക് കാലാകാലങ്ങളിൽ തിരയേണ്ടി വരും, അവയിൽ മാറ്റം വരുത്തേണ്ടി വന്നേക്കാം. നിങ്ങളുടെ നിയമങ്ങൾക്കുള്ളിൽ തിരയാനുള്ള ഒരു എളുപ്പ മാർഗം ഉപയോഗിക്കുക എന്നതാണ്:
# iptables -L $table -v -n | grep $string
മുകളിലുള്ള ഉദാഹരണത്തിൽ, നിങ്ങൾ തിരയാൻ ആഗ്രഹിക്കുന്ന യഥാർത്ഥ പട്ടികയ്uക്കൊപ്പം
$table
മാറ്റേണ്ടതുണ്ട്, കൂടാതെ നിങ്ങൾ തിരയുന്ന യഥാർത്ഥ സ്uട്രിംഗിനൊപ്പം$string
മാറ്റേണ്ടതുണ്ട്.ഒരു ഉദാഹരണം ഇതാ:
# iptables -L INPUT -v -n | grep 192.168.0.100
17. പുതിയ IPTables ചെയിൻ നിർവചിക്കുക
iptables ഉപയോഗിച്ച്, നിങ്ങൾക്ക് നിങ്ങളുടെ സ്വന്തം ചെയിൻ നിർവചിക്കാനും അതിൽ ഇഷ്ടാനുസൃത നിയമങ്ങൾ സംഭരിക്കാനും കഴിയും. ഒരു ശൃംഖല നിർവ്വചിക്കാൻ, ഉപയോഗിക്കുക:
# iptables -N custom-filter
നിങ്ങളുടെ പുതിയ ഫിൽട്ടർ ഉണ്ടോ എന്ന് ഇപ്പോൾ നിങ്ങൾക്ക് പരിശോധിക്കാം:
# iptables -L
Chain INPUT (policy ACCEPT) target prot opt source destination
Chain FORWARD (policy ACCEPT) target prot opt source destination
Chain OUTPUT (policy ACCEPT) target prot opt source destination
Chain custom-filter (0 references) target prot opt source destination
18. ഫ്ലഷ് IPtables ഫയർവാൾ ചെയിനുകൾ അല്ലെങ്കിൽ നിയമങ്ങൾ
നിങ്ങളുടെ ഫയർവാൾ ശൃംഖലകൾ ഫ്ലഷ് ചെയ്യണമെങ്കിൽ, നിങ്ങൾക്ക് ഇവ ഉപയോഗിക്കാം:
# iptables -F
ഇനിപ്പറയുന്നവ ഉപയോഗിച്ച് നിങ്ങൾക്ക് നിർദ്ദിഷ്ട ടേബിളിൽ നിന്ന് ചെയിനുകൾ ഫ്ലഷ് ചെയ്യാൻ കഴിയും:
# iptables -t nat -F
നിങ്ങൾ ഫ്ലഷ് ചെയ്യാൻ ആഗ്രഹിക്കുന്ന യഥാർത്ഥ പട്ടിക ഉപയോഗിച്ച് നിങ്ങൾക്ക്
\nat\
മാറ്റാം.19. ഒരു ഫയലിലേക്ക് IPtables നിയമങ്ങൾ സംരക്ഷിക്കുക
നിങ്ങളുടെ ഫയർവാൾ നിയമങ്ങൾ സംരക്ഷിക്കണമെങ്കിൽ, നിങ്ങൾക്ക്
iptables-save
കമാൻഡ് ഉപയോഗിക്കാം. ഒരു ഫയലിൽ നിങ്ങളുടെ നിയമങ്ങൾ സംരക്ഷിക്കാനും സംഭരിക്കാനും നിങ്ങൾക്ക് ഇനിപ്പറയുന്നവ ഉപയോഗിക്കാം:# iptables-save > ~/iptables.rules
ഫയൽ എവിടെ സംഭരിക്കും, അതിന് എങ്ങനെ പേര് നൽകണം എന്നത് നിങ്ങളുടേതാണ്.
20. ഒരു ഫയലിൽ നിന്ന് IPtables നിയമങ്ങൾ പുനഃസ്ഥാപിക്കുക
നിങ്ങൾക്ക് iptables നിയമങ്ങളുടെ ഒരു ലിസ്റ്റ് പുനഃസ്ഥാപിക്കണമെങ്കിൽ, നിങ്ങൾക്ക്
iptables-restore
ഉപയോഗിക്കാം. കമാൻഡ് ഇതുപോലെ കാണപ്പെടുന്നു:# iptables-restore < ~/iptables.rules
തീർച്ചയായും നിങ്ങളുടെ റൂൾസ് ഫയലിലേക്കുള്ള പാത വ്യത്യസ്തമായിരിക്കാം.
21. പിസിഐ പാലിക്കുന്നതിനുള്ള IPtables നിയമങ്ങൾ സജ്ജമാക്കുക
ചില സിസ്റ്റം അഡ്മിനിസ്ട്രേറ്റർമാർ അവരുടെ സെർവറുകൾ പിസിഐ കംപൈലന്റ് ആയി ക്രമീകരിക്കാൻ ആവശ്യമായി വന്നേക്കാം. വ്യത്യസ്uത പിസിഐ കംപ്ലയിൻസ് വെണ്ടർമാർക്ക് നിരവധി ആവശ്യകതകൾ ഉണ്ട്, എന്നാൽ പൊതുവായവ വളരെ കുറവാണ്.
പല കേസുകളിലും, നിങ്ങൾക്ക് ഒന്നിലധികം ഐപി വിലാസങ്ങൾ ഉണ്ടായിരിക്കണം. സൈറ്റിന്റെ IP വിലാസത്തിനായി നിങ്ങൾ ചുവടെയുള്ള നിയമങ്ങൾ പ്രയോഗിക്കേണ്ടതുണ്ട്. ചുവടെയുള്ള നിയമങ്ങൾ ഉപയോഗിക്കുമ്പോൾ കൂടുതൽ ശ്രദ്ധാലുവായിരിക്കുക, നിങ്ങൾ എന്താണ് ചെയ്യുന്നതെന്ന് നിങ്ങൾക്ക് ഉറപ്പുണ്ടെങ്കിൽ മാത്രം അവ ഉപയോഗിക്കുക:
# iptables -I INPUT -d SITE -p tcp -m multiport --dports 21,25,110,143,465,587,993,995 -j DROP
നിങ്ങൾ cPanel അല്ലെങ്കിൽ സമാനമായ കൺട്രോൾ പാനലാണ് ഉപയോഗിക്കുന്നതെങ്കിൽ, നിങ്ങൾ അതിന്റെ പോർട്ടുകളും ബ്ലോക്ക് ചെയ്യേണ്ടി വന്നേക്കാം. ഒരു ഉദാഹരണം ഇതാ:
# iptables -I in_sg -d DEDI_IP -p tcp -m multiport --dports 2082,2083,2095,2096,2525,2086,2087 -j DROP
ശ്രദ്ധിക്കുക: നിങ്ങളുടെ പിസിഐ വെണ്ടറുടെ ആവശ്യകതകൾ നിങ്ങൾ പാലിക്കുന്നുണ്ടെന്ന് ഉറപ്പാക്കാൻ, അവരുടെ റിപ്പോർട്ട് ശ്രദ്ധാപൂർവ്വം പരിശോധിച്ച് ആവശ്യമായ നിയമങ്ങൾ പ്രയോഗിക്കുക. ചില സന്ദർഭങ്ങളിൽ ചില തുറമുഖങ്ങളിലും നിങ്ങൾക്ക് UDP ട്രാഫിക് തടയേണ്ടി വന്നേക്കാം.
22. സ്ഥാപിതവും അനുബന്ധവുമായ കണക്ഷനുകൾ അനുവദിക്കുക
ഇൻകമിംഗിലും ഔട്ട്uഗോയിംഗിലും നെറ്റ്uവർക്ക് ട്രാഫിക്ക് വെവ്വേറെയായതിനാൽ, സ്ഥാപിതവും അനുബന്ധവുമായ ഇൻകമിംഗ് ട്രാഫിക് അനുവദിക്കാൻ നിങ്ങൾ ആഗ്രഹിക്കും. ഇൻകമിംഗ് കണക്ഷനുകൾക്കായി ഇത് ചെയ്യുക:
# iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
ഔട്ട്ഗോയിംഗ് ഉപയോഗത്തിന്:
# iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
23. IPtables-ൽ അസാധുവായ പാക്കറ്റുകൾ ഇടുക
ചില നെറ്റ്uവർക്ക് പാക്കറ്റുകൾ അസാധുവാണെന്ന് അടയാളപ്പെടുത്താൻ സാധ്യതയുണ്ട്. ചില ആളുകൾ ആ പാക്കേജുകൾ ലോഗ് ചെയ്യാൻ താൽപ്പര്യപ്പെട്ടേക്കാം, എന്നാൽ മറ്റുള്ളവർ അവ ഉപേക്ഷിക്കാൻ ഇഷ്ടപ്പെടുന്നു. അസാധുവായ പാക്കറ്റുകൾ ഡ്രോപ്പ് ചെയ്യുന്നതിന്, നിങ്ങൾക്ക് ഇവ ഉപയോഗിക്കാം:
# iptables -A INPUT -m conntrack --ctstate INVALID -j DROP
24. നെറ്റ്uവർക്ക് ഇന്റർഫേസിൽ കണക്ഷൻ തടയുക
ചില സിസ്റ്റങ്ങൾക്ക് ഒന്നിലധികം നെറ്റ്uവർക്ക് ഇന്റർഫേസ് ഉണ്ടായിരിക്കാം. നിങ്ങൾക്ക് ആ നെറ്റ്uവർക്ക് ഇന്റർഫേസിലേക്കുള്ള ആക്uസസ് പരിമിതപ്പെടുത്താം അല്ലെങ്കിൽ ചില IP വിലാസത്തിൽ നിന്നുള്ള കണക്ഷനുകൾ ബ്ലോക്ക് ചെയ്യാം.
ഉദാഹരണത്തിന്:
# iptables -A INPUT -i eth0 -s xxx.xxx.xxx.xxx -j DROP
നിങ്ങൾ തടയാൻ ആഗ്രഹിക്കുന്ന യഥാർത്ഥ IP വിലാസം (അല്ലെങ്കിൽ നെറ്റ്uവർക്ക്) ഉപയോഗിച്ച് \xxx.xxx.xxx.xxx മാറ്റുക.
25. IPTables വഴി ഔട്ട്uഗോയിംഗ് മെയിലുകൾ പ്രവർത്തനരഹിതമാക്കുക
നിങ്ങളുടെ സിസ്റ്റം ഇമെയിലുകളൊന്നും അയയ്ക്കാൻ പാടില്ലെങ്കിൽ, നിങ്ങൾക്ക് SMTP പോർട്ടുകളിൽ ഔട്ട്uഗോയിംഗ് പോർട്ടുകൾ ബ്ലോക്ക് ചെയ്യാം. ഉദാഹരണത്തിന്, നിങ്ങൾക്ക് ഇത് ഉപയോഗിക്കാം:
# iptables -A OUTPUT -p tcp --dports 25,465,587 -j REJECT
ഉപസംഹാരം
Iptables നിങ്ങൾക്ക് എളുപ്പത്തിൽ പ്രയോജനപ്പെടുത്താൻ കഴിയുന്ന ഒരു ശക്തമായ ഫയർവാളാണ്. ഓരോ സിസ്റ്റം അഡ്മിനിസ്ട്രേറ്ററും iptables-ന്റെ അടിസ്ഥാനകാര്യങ്ങളെങ്കിലും പഠിക്കേണ്ടത് അത്യാവശ്യമാണ്. iptables-നെ കുറിച്ചും അതിന്റെ ഓപ്ഷനുകളെ കുറിച്ചും കൂടുതൽ വിശദമായ വിവരങ്ങൾ കണ്ടെത്താൻ നിങ്ങൾ ആഗ്രഹിക്കുന്നുവെങ്കിൽ, അതിന്റെ മാനുവൽ വായിക്കാൻ അത് വളരെ ശുപാർശ ചെയ്യുന്നു:
# man iptables
ഈ ലിസ്റ്റിലേക്ക് ഞങ്ങൾ കൂടുതൽ കമാൻഡുകൾ ചേർക്കണമെന്ന് നിങ്ങൾ കരുതുന്നുവെങ്കിൽ, ചുവടെയുള്ള അഭിപ്രായ വിഭാഗത്തിൽ അവ സമർപ്പിച്ചുകൊണ്ട് അവ ഞങ്ങളുമായി പങ്കിടുക.