ഓരോ ലിനക്സ് അഡ്മിനിസ്ട്രേറ്ററും അറിഞ്ഞിരിക്കേണ്ട ഉപയോഗപ്രദമായ IPtable ഫയർവാൾ നിയമങ്ങൾ

സിസ്റ്റത്തെ ആക്രമണത്തിന് ഇരയാക്കാതെ, ഇൻകമിംഗ്, ഔട്ട്uഗോയിംഗ് കണക്ഷനുകൾക്കുള്ള സിസ്റ്റത്തിന്റെയും ഉപയോക്താക്കളുടെയും ആവശ്യകതകൾ നിറവേറ്റുന്ന തരത്തിൽ ഫയർവാൾ കോൺഫിഗർ ചെയ്യുക.

ഇവിടെയാണ് iptables ഉപയോഗപ്രദമാകുന്നത്. ക്രമീകരിക്കാവുന്ന പട്ടിക നിയമങ്ങൾ വഴി ഇൻകമിംഗ്, ഔട്ട്ഗോയിംഗ് ട്രാഫിക് നിയന്ത്രിക്കാൻ സിസ്റ്റം അഡ്മിനിസ്ട്രേറ്റർമാരെ അനുവദിക്കുന്ന ഒരു Linux കമാൻഡ് ലൈൻ ഫയർവാൾ ആണ് Iptables.

ബിൽറ്റ്-ഇൻ അല്ലെങ്കിൽ ഉപയോക്തൃ നിർവചിച്ച നിയമങ്ങൾ അടങ്ങുന്ന ചെയിനുകളുള്ള ഒരു കൂട്ടം പട്ടികകൾ Iptables ഉപയോഗിക്കുന്നു. അവർക്ക് നന്ദി, ഒരു സിസ്റ്റം അഡ്മിനിസ്ട്രേറ്റർക്ക് തന്റെ സിസ്റ്റത്തിന്റെ നെറ്റ്uവർക്ക് ട്രാഫിക് ശരിയായി ഫിൽട്ടർ ചെയ്യാൻ കഴിയും.

ഓരോ iptables മാനുവലിൽ, നിലവിൽ 3 തരം പട്ടികകളുണ്ട്:

    1. FILTER – ഇതാണ് ഡിഫോൾട്ട് പട്ടിക, ഇതിൽ ബിൽറ്റ് ഇൻ ചെയിനുകൾ അടങ്ങിയിരിക്കുന്നു:
      1. ഇൻപുട്ട്  – ലോക്കൽ സോക്കറ്റുകൾക്കായി ഉദ്ദേശിച്ചിട്ടുള്ള പാക്കേജുകൾ
      2. ഫോർവേഡ് - സിസ്റ്റത്തിലൂടെ പാക്കറ്റുകൾ റൂട്ട് ചെയ്തു
      3. ഔട്ട്uപുട്ട് - പ്രാദേശികമായി സൃഷ്uടിച്ച പാക്കറ്റുകൾ

      1. PREROUTING - ഒരു പാക്കറ്റ് ലഭിച്ചാലുടൻ അത് മാറ്റുന്നതിന് ഉപയോഗിക്കുന്നു
      2. ഔട്ട്uപുട്ട് - പ്രാദേശികമായി ജനറേറ്റുചെയ്uത പാക്കറ്റുകൾ മാറ്റാൻ ഉപയോഗിക്കുന്നു
      3. POSTROUTING – പാക്കറ്റുകൾ പുറത്തുപോകാൻ പോകുന്നതിനാൽ അവ മാറ്റാൻ ഉപയോഗിക്കുന്നു

      1. PREROUTING – ഇൻകമിംഗ് കണക്ഷനുകൾ മാറ്റുന്നതിന്
      2. ഔട്ട്uപുട്ട് - പ്രാദേശികമായി സൃഷ്uടിച്ച  പാക്കറ്റുകൾ മാറ്റുന്നതിന്
      3. ഇൻപുട്ട് - ഇൻകമിംഗ് പാക്കറ്റുകൾക്ക്
      4. പോസ്uട്രോട്ടിംഗ് - പാക്കറ്റുകൾ പുറത്തുപോകാൻ പോകുന്നതിനാൽ അവ മാറ്റുന്നതിന്
      5. ഫോർവേഡ് - ബോക്സിലൂടെ റൂട്ട് ചെയ്ത പാക്കറ്റുകൾക്ക്

      ഈ ലേഖനത്തിൽ, നിങ്ങളുടെ Linux ബോക്സ് ഫയർവാൾ iptables വഴി നിയന്ത്രിക്കാൻ സഹായിക്കുന്ന ചില ഉപയോഗപ്രദമായ കമാൻഡുകൾ നിങ്ങൾ കാണും. ഈ ലേഖനത്തിന്റെ ഉദ്ദേശ്യത്തിനായി, ഞാൻ ലളിതമായ കമാൻഡുകൾ ഉപയോഗിച്ച് ആരംഭിച്ച് അവസാനം വരെ കൂടുതൽ സങ്കീർണ്ണമായതിലേക്ക് പോകും.

      1. Iptables ഫയർവാൾ ആരംഭിക്കുക/നിർത്തുക/പുനരാരംഭിക്കുക

      ആദ്യം, വ്യത്യസ്uത ലിനക്uസ് വിതരണങ്ങളിൽ iptables സേവനം എങ്ങനെ മാനേജ് ചെയ്യണമെന്ന് നിങ്ങൾ അറിഞ്ഞിരിക്കണം. ഇത് വളരെ എളുപ്പമാണ്:

      ------------ On Cent/RHEL 7 and Fedora 22+ ------------
# systemctl start iptables
# systemctl stop iptables
# systemctl restart iptables

      ------------ On Cent/RHEL 6/5 and Fedora ------------
# /etc/init.d/iptables start 
# /etc/init.d/iptables stop
# /etc/init.d/iptables restart

      2. എല്ലാ IPtables ഫയർവാൾ നിയമങ്ങളും പരിശോധിക്കുക

      നിങ്ങളുടെ നിലവിലുള്ള നിയമങ്ങൾ പരിശോധിക്കണമെങ്കിൽ, ഇനിപ്പറയുന്ന കമാൻഡ് ഉപയോഗിക്കുക:

      # iptables -L -n -v

      ഇത് ചുവടെയുള്ളതിന് സമാനമായ ഔട്ട്പുട്ട് നൽകണം:

      Chain INPUT (policy ACCEPT 1129K packets, 415M bytes)
 pkts bytes target prot opt in out source destination 
 0 0 ACCEPT tcp -- lxcbr0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
 0 0 ACCEPT udp -- lxcbr0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:53
 0 0 ACCEPT tcp -- lxcbr0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:67
 0 0 ACCEPT udp -- lxcbr0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:67
      Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target prot opt in out source destination 
 0 0 ACCEPT all -- * lxcbr0 0.0.0.0/0 0.0.0.0/0 
 0 0 ACCEPT all -- lxcbr0 * 0.0.0.0/0 0.0.0.0/0
      Chain OUTPUT (policy ACCEPT 354K packets, 185M bytes)
 pkts bytes target prot opt in out source destination

      ഒരു നിർദ്ദിഷ്uട പട്ടികയ്uക്കായുള്ള നിയമങ്ങൾ പരിശോധിക്കാൻ നിങ്ങൾ ആഗ്രഹിക്കുന്നുവെങ്കിൽ, നിങ്ങൾക്ക് പരിശോധിക്കേണ്ട പട്ടികയ്uക്ക് ശേഷം -t ഓപ്ഷൻ ഉപയോഗിക്കാം. ഉദാഹരണത്തിന്, NAT പട്ടികയിലെ നിയമങ്ങൾ പരിശോധിക്കാൻ, നിങ്ങൾക്ക് ഇവ ഉപയോഗിക്കാം:

      # iptables -t nat -L -v -n

      3. IPtables ഫയർവാളിൽ നിർദ്ദിഷ്ട IP വിലാസം തടയുക

      ഒരു IP വിലാസത്തിൽ നിന്ന് അസാധാരണമോ ദുരുപയോഗം ചെയ്യുന്നതോ ആയ പ്രവർത്തനം നിങ്ങൾ കണ്ടെത്തുകയാണെങ്കിൽ, ഇനിപ്പറയുന്ന നിയമം ഉപയോഗിച്ച് നിങ്ങൾക്ക് ആ IP വിലാസം ബ്ലോക്ക് ചെയ്യാം:

      # iptables -A INPUT -s xxx.xxx.xxx.xxx -j DROP

      നിങ്ങൾ യഥാർത്ഥ IP വിലാസം ഉപയോഗിച്ച് \xxx.xxx.xxx.xxx\ മാറ്റേണ്ടയിടത്ത്. ഈ കമാൻഡ് പ്രവർത്തിപ്പിക്കുമ്പോൾ വളരെ ശ്രദ്ധാലുവായിരിക്കുക, കാരണം നിങ്ങളുടെ സ്വന്തം ഐപി വിലാസം അബദ്ധത്തിൽ തടയാൻ കഴിയും. -A ഓപ്ഷൻ തിരഞ്ഞെടുത്ത ചെയിനിന്റെ അവസാനം നിയമം കൂട്ടിച്ചേർക്കുന്നു.

      ആ ഐപി വിലാസത്തിൽ നിന്ന് ടിസിപി ട്രാഫിക്ക് തടയാൻ നിങ്ങൾ ആഗ്രഹിക്കുന്നുവെങ്കിൽ, നിങ്ങൾക്ക് പ്രോട്ടോക്കോൾ വ്യക്തമാക്കുന്ന -p ഓപ്ഷൻ ഉപയോഗിക്കാം. അങ്ങനെ, കമാൻഡ് ഇതുപോലെ കാണപ്പെടും:

      # iptables -A INPUT -p tcp -s xxx.xxx.xxx.xxx -j DROP

      4. IPtables ഫയർവാളിൽ IP വിലാസം തടയുക

      നിർദ്ദിഷ്uട IP വിലാസത്തിൽ നിന്നുള്ള അഭ്യർത്ഥനകൾ ഇനി തടയേണ്ടതില്ലെന്ന് നിങ്ങൾ തീരുമാനിച്ചിട്ടുണ്ടെങ്കിൽ, ഇനിപ്പറയുന്ന കമാൻഡ് ഉപയോഗിച്ച് നിങ്ങൾക്ക് തടയൽ നിയമം ഇല്ലാതാക്കാം:

      # iptables -D INPUT -s xxx.xxx.xxx.xxx -j DROP

      -D ഓപ്ഷൻ തിരഞ്ഞെടുത്ത ചെയിനിൽ നിന്ന് ഒന്നോ അതിലധികമോ നിയമങ്ങൾ ഇല്ലാതാക്കുന്നു. ദൈർഘ്യമേറിയ ഓപ്ഷൻ ഉപയോഗിക്കാൻ നിങ്ങൾ ആഗ്രഹിക്കുന്നുവെങ്കിൽ, നിങ്ങൾക്ക് --delete ഉപയോഗിക്കാം.

      5. IPtables ഫയർവാളിൽ നിർദ്ദിഷ്ട പോർട്ട് തടയുക

      ചിലപ്പോൾ നിങ്ങൾ ഒരു പ്രത്യേക പോർട്ടിൽ ഇൻകമിംഗ് അല്ലെങ്കിൽ ഔട്ട്ഗോയിംഗ് കണക്ഷനുകൾ തടയാൻ ആഗ്രഹിച്ചേക്കാം. ഇതൊരു നല്ല സുരക്ഷാ നടപടിയാണ്, നിങ്ങളുടെ ഫയർവാൾ സജ്ജീകരിക്കുമ്പോൾ നിങ്ങൾ അതിനെക്കുറിച്ച് ചിന്തിക്കണം.

      ഒരു നിർദ്ദിഷ്uട പോർട്ടിൽ ഔട്ട്uഗോയിംഗ് കണക്ഷനുകൾ തടയുന്നതിന്:

      # iptables -A OUTPUT -p tcp --dport xxx -j DROP

      ഇൻകമിംഗ് കണക്ഷനുകൾ അനുവദിക്കുന്നതിന് ഉപയോഗിക്കുക:

      # iptables -A INPUT -p tcp --dport xxx -j ACCEPT

      രണ്ട് ഉദാഹരണങ്ങളിലും നിങ്ങൾ അനുവദിക്കാൻ ആഗ്രഹിക്കുന്ന യഥാർത്ഥ പോർട്ട് ഉപയോഗിച്ച് \xxx\ മാറ്റുക. TCP-ക്ക് പകരം UDP ട്രാഫിക് തടയാൻ നിങ്ങൾ ആഗ്രഹിക്കുന്നുവെങ്കിൽ, മുകളിലുള്ള iptables റൂളിൽ \udp\ ഉപയോഗിച്ച് \tcp\ മാറ്റുക.

      6. മൾട്ടിപോർട്ട് ഉപയോഗിച്ച് ഐപിടേബിളുകളിൽ ഒന്നിലധികം പോർട്ടുകൾ അനുവദിക്കുക

      മൾട്ടിപോർട്ട് ഉപയോഗിച്ച് നിങ്ങൾക്ക് ഒരേസമയം ഒന്നിലധികം പോർട്ടുകൾ അനുവദിക്കാൻ കഴിയും, ഇൻകമിംഗ്, ഔട്ട്uഗോയിംഗ് കണക്ഷനുകൾക്കുള്ള അത്തരം നിയമം ചുവടെ നിങ്ങൾക്ക് കണ്ടെത്താനാകും:

      # iptables -A INPUT  -p tcp -m multiport --dports 22,80,443 -j ACCEPT
# iptables -A OUTPUT -p tcp -m multiport --sports 22,80,443 -j ACCEPT

      7. IPtables-ൽ പ്രത്യേക പോർട്ടിൽ പ്രത്യേക നെറ്റ്uവർക്ക് ശ്രേണി അനുവദിക്കുക

      തന്നിരിക്കുന്ന നെറ്റ്uവർക്കിലേക്ക് നിർദ്ദിഷ്ട പോർട്ടിലെ ചില കണക്ഷനുകൾ പരിമിതപ്പെടുത്താൻ നിങ്ങൾ ആഗ്രഹിച്ചേക്കാം. 192.168.100.0/24 നെറ്റ്uവർക്കിലേക്ക് 22 പോർട്ടിൽ ഔട്ട്uഗോയിംഗ് കണക്ഷനുകൾ അനുവദിക്കാൻ നിങ്ങൾ ആഗ്രഹിക്കുന്നുവെന്ന് പറയാം.

      ഈ കമാൻഡ് ഉപയോഗിച്ച് നിങ്ങൾക്ക് ഇത് ചെയ്യാൻ കഴിയും:

      # iptables -A OUTPUT -p tcp -d 192.168.100.0/24 --dport 22 -j ACCEPT

      8. IPtables Firewall-ൽ Facebook തടയുക

      ചില തൊഴിലുടമകൾ അവരുടെ ജീവനക്കാർക്ക് Facebook-ലേക്കുള്ള ആക്സസ് തടയാൻ ഇഷ്ടപ്പെടുന്നു. Facebook-ലേക്കുള്ള ട്രാഫിക് എങ്ങനെ തടയാം എന്നതിന്റെ ഒരു ഉദാഹരണം ചുവടെയുണ്ട്.

      ശ്രദ്ധിക്കുക: നിങ്ങളൊരു സിസ്റ്റം അഡ്uമിനിസ്uട്രേറ്ററാണെങ്കിൽ ഈ നിയമങ്ങൾ ബാധകമാക്കേണ്ടതുണ്ടെങ്കിൽ, നിങ്ങളുടെ സഹപ്രവർത്തകർ നിങ്ങളോട് സംസാരിക്കുന്നത് നിർത്തിയേക്കാമെന്ന് ഓർമ്മിക്കുക :)

      ആദ്യം Facebook ഉപയോഗിക്കുന്ന IP വിലാസങ്ങൾ കണ്ടെത്തുക:

      # host facebook.com 
facebook.com has address 66.220.156.68

      # whois 66.220.156.68 | grep CIDR
CIDR: 66.220.144.0/20

      നിങ്ങൾക്ക് ഇനിപ്പറയുന്നവ ഉപയോഗിച്ച് ആ Facebook നെറ്റ്uവർക്ക് ബ്ലോക്ക് ചെയ്യാം:

      # iptables -A OUTPUT -p tcp -d 66.220.144.0/20 -j DROP

      Facebook ഉപയോഗിക്കുന്ന IP വിലാസ ശ്രേണി നിങ്ങളുടെ രാജ്യത്ത് വ്യത്യാസപ്പെടാം എന്നത് ഓർക്കുക.

      9. IPtables-ൽ പോർട്ട് ഫോർവേഡിംഗ് സജ്ജീകരിക്കുക

      ചിലപ്പോൾ നിങ്ങൾ ഒരു സേവനത്തിന്റെ ട്രാഫിക് മറ്റൊരു പോർട്ടിലേക്ക് കൈമാറാൻ ആഗ്രഹിച്ചേക്കാം. ഇനിപ്പറയുന്ന കമാൻഡ് ഉപയോഗിച്ച് നിങ്ങൾക്ക് ഇത് നേടാനാകും:

      # iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 25 -j REDIRECT --to-port 2525

      മുകളിലെ കമാൻഡ് നെറ്റ്uവർക്ക് ഇന്റർഫേസിലെ എല്ലാ ഇൻകമിംഗ് ട്രാഫിക്കും 25 പോർട്ട് 2525 ലേക്ക് കൈമാറുന്നു. നിങ്ങൾക്ക് ആവശ്യമുള്ളവ ഉപയോഗിച്ച് പോർട്ടുകൾ മാറ്റാം.

      10. IPtables ഉപയോഗിച്ച് അപ്പാച്ചെ പോർട്ടിൽ നെറ്റ്uവർക്ക് ഫ്ലഡ് തടയുക

      ചിലപ്പോൾ IP വിലാസങ്ങൾ നിങ്ങളുടെ വെബ്uസൈറ്റിലെ വെബ് പോർട്ടുകളിലേക്ക് വളരെയധികം കണക്ഷനുകൾ അഭ്യർത്ഥിച്ചേക്കാം. ഇത് നിരവധി പ്രശ്നങ്ങൾക്ക് കാരണമാകാം, അത്തരം പ്രശ്നങ്ങൾ തടയുന്നതിന്, നിങ്ങൾക്ക് ഇനിപ്പറയുന്ന നിയമം ഉപയോഗിക്കാം:

      # iptables -A INPUT -p tcp --dport 80 -m limit --limit 100/minute --limit-burst 200 -j ACCEPT

      മുകളിലെ കമാൻഡ് ഇൻകമിംഗ് കണക്ഷനുകളെ മിനിറ്റിൽ നിന്ന് 100 ആയി പരിമിതപ്പെടുത്തുകയും ഒരു പരിധി ബർസ്റ്റ് 200 ആയി സജ്ജമാക്കുകയും ചെയ്യുന്നു. നിങ്ങളുടെ സ്വന്തം നിർദ്ദിഷ്ട ആവശ്യകതകൾക്കനുസരിച്ച് നിങ്ങൾക്ക് പരിധി എഡിറ്റ് ചെയ്യാം.

      11. IPtables-ൽ ഇൻകമിംഗ് പിംഗ് അഭ്യർത്ഥനകൾ തടയുക

      സുരക്ഷാ പ്രശ്uനങ്ങൾ കാരണം ഇൻകമിംഗ് പിംഗ് അഭ്യർത്ഥനകൾ തടയാൻ ചില സിസ്റ്റം അഡ്മിനിസ്ട്രേറ്റർമാർ ഇഷ്ടപ്പെടുന്നു. ഭീഷണി അത്ര വലുതല്ലെങ്കിലും, അത്തരം അഭ്യർത്ഥന എങ്ങനെ തടയാമെന്ന് അറിയുന്നത് നല്ലതാണ്:

      # iptables -A INPUT -p icmp -i eth0 -j DROP

      12. ലൂപ്പ്ബാക്ക് ആക്സസ് അനുവദിക്കുക

      ലൂപ്പ്ബാക്ക് ആക്uസസ് (127.0.0.1-ൽ നിന്നുള്ള ആക്uസസ്സ്) പ്രധാനമാണ്, നിങ്ങൾ അത് എപ്പോഴും സജീവമായി വിടണം:

      # iptables -A INPUT -i lo -j ACCEPT
# iptables -A OUTPUT -o lo -j ACCEPT

      13. IPtables-ൽ ഡ്രോപ്പ് ചെയ്ത നെറ്റ്uവർക്ക് പാക്കറ്റുകളുടെ ഒരു ലോഗ് സൂക്ഷിക്കുക

      നെറ്റ്uവർക്ക് ഇന്റർഫേസ് eth0-ൽ ഡ്രോപ്പ് ചെയ്ത പാക്കറ്റുകൾ ലോഗ് ചെയ്യണമെങ്കിൽ, നിങ്ങൾക്ക് ഇനിപ്പറയുന്ന കമാൻഡ് ഉപയോഗിക്കാം:

      # iptables -A INPUT -i eth0 -j LOG --log-prefix "IPtables dropped packets:"

      നിങ്ങൾക്ക് ഇഷ്ടമുള്ള എന്തെങ്കിലും ഉപയോഗിച്ച് \--log-prefix\ ന് ശേഷം മൂല്യം മാറ്റാവുന്നതാണ്. സന്ദേശങ്ങൾ /var/log/messages എന്നതിൽ ലോഗിൻ ചെയ്uതിരിക്കുന്നു, നിങ്ങൾക്ക് ഇവ ഉപയോഗിച്ച് തിരയാനാകും:

      # grep "IPtables dropped packets:" /var/log/messages

      14. IPtables-ൽ നിർദ്ദിഷ്uട MAC വിലാസത്തിലേക്കുള്ള ആക്uസസ് തടയുക

      ഇനിപ്പറയുന്നവ ഉപയോഗിച്ച് നിർദ്ദിഷ്ട MAC വിലാസത്തിൽ നിന്ന് നിങ്ങളുടെ സിസ്റ്റത്തിലേക്കുള്ള ആക്സസ് നിങ്ങൾക്ക് തടയാൻ കഴിയും:

      # iptables -A INPUT -m mac --mac-source 00:00:00:00:00:00 -j DROP

      തീർച്ചയായും, നിങ്ങൾ തടയാൻ ആഗ്രഹിക്കുന്ന യഥാർത്ഥ MAC വിലാസം ഉപയോഗിച്ച് നിങ്ങൾ \00:00:00:00:00:00\ മാറ്റേണ്ടതുണ്ട്.

      15. ഓരോ ഐപി വിലാസത്തിലും കൺകറന്റ് കണക്ഷനുകളുടെ എണ്ണം പരിമിതപ്പെടുത്തുക

      തന്നിരിക്കുന്ന പോർട്ടിൽ ഒറ്റ ഐപി വിലാസത്തിൽ നിന്ന് നിരവധി കൺകറന്റ് കണക്ഷൻ സ്ഥാപിക്കാൻ നിങ്ങൾക്ക് താൽപ്പര്യമില്ലെങ്കിൽ, നിങ്ങൾക്ക് ചുവടെയുള്ള കമാൻഡ് ഉപയോഗിക്കാം:

      # iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 3 -j REJECT

      മുകളിലുള്ള കമാൻഡ് ഓരോ ക്ലയന്റിനും 3 കണക്ഷനുകൾ അനുവദിക്കുന്നില്ല. തീർച്ചയായും, വ്യത്യസ്ത സേവനങ്ങളുമായി പൊരുത്തപ്പെടുന്നതിന് നിങ്ങൾക്ക് പോർട്ട് നമ്പർ മാറ്റാനാകും. കൂടാതെ നിങ്ങളുടെ ആവശ്യവുമായി പൊരുത്തപ്പെടുന്നതിന് --connlimit-above മാറ്റണം.

      16. IPtables റൂളിനുള്ളിൽ തിരയുക

      നിങ്ങളുടെ iptables നിയമങ്ങൾ നിർവചിച്ചുകഴിഞ്ഞാൽ, നിങ്ങൾക്ക് കാലാകാലങ്ങളിൽ തിരയേണ്ടി വരും, അവയിൽ മാറ്റം വരുത്തേണ്ടി വന്നേക്കാം. നിങ്ങളുടെ നിയമങ്ങൾക്കുള്ളിൽ തിരയാനുള്ള ഒരു എളുപ്പ മാർഗം ഉപയോഗിക്കുക എന്നതാണ്:

      # iptables -L $table -v -n | grep $string

      മുകളിലുള്ള ഉദാഹരണത്തിൽ, നിങ്ങൾ തിരയാൻ ആഗ്രഹിക്കുന്ന യഥാർത്ഥ പട്ടികയ്uക്കൊപ്പം $table മാറ്റേണ്ടതുണ്ട്, കൂടാതെ നിങ്ങൾ തിരയുന്ന യഥാർത്ഥ സ്uട്രിംഗിനൊപ്പം $string മാറ്റേണ്ടതുണ്ട്.

      ഒരു ഉദാഹരണം ഇതാ:

      # iptables -L INPUT -v -n | grep 192.168.0.100

      17. പുതിയ IPTables ചെയിൻ നിർവചിക്കുക

      iptables ഉപയോഗിച്ച്, നിങ്ങൾക്ക് നിങ്ങളുടെ സ്വന്തം ചെയിൻ നിർവചിക്കാനും അതിൽ ഇഷ്ടാനുസൃത നിയമങ്ങൾ സംഭരിക്കാനും കഴിയും. ഒരു ശൃംഖല നിർവ്വചിക്കാൻ, ഉപയോഗിക്കുക:

      # iptables -N custom-filter

      നിങ്ങളുടെ പുതിയ ഫിൽട്ടർ ഉണ്ടോ എന്ന് ഇപ്പോൾ നിങ്ങൾക്ക് പരിശോധിക്കാം:

      # iptables -L

      Chain INPUT (policy ACCEPT)
target prot opt source destination

      Chain FORWARD (policy ACCEPT)
target prot opt source destination
      Chain OUTPUT (policy ACCEPT)
target prot opt source destination
      Chain custom-filter (0 references)
target prot opt source destination

      18. ഫ്ലഷ് IPtables ഫയർവാൾ ചെയിനുകൾ അല്ലെങ്കിൽ നിയമങ്ങൾ

      നിങ്ങളുടെ ഫയർവാൾ ശൃംഖലകൾ ഫ്ലഷ് ചെയ്യണമെങ്കിൽ, നിങ്ങൾക്ക് ഇവ ഉപയോഗിക്കാം:

      # iptables -F

      ഇനിപ്പറയുന്നവ ഉപയോഗിച്ച് നിങ്ങൾക്ക് നിർദ്ദിഷ്ട ടേബിളിൽ നിന്ന് ചെയിനുകൾ ഫ്ലഷ് ചെയ്യാൻ കഴിയും:

      # iptables -t nat -F

      നിങ്ങൾ ഫ്ലഷ് ചെയ്യാൻ ആഗ്രഹിക്കുന്ന യഥാർത്ഥ പട്ടിക ഉപയോഗിച്ച് നിങ്ങൾക്ക് \nat\ മാറ്റാം.

      19. ഒരു ഫയലിലേക്ക് IPtables നിയമങ്ങൾ സംരക്ഷിക്കുക

      നിങ്ങളുടെ ഫയർവാൾ നിയമങ്ങൾ സംരക്ഷിക്കണമെങ്കിൽ, നിങ്ങൾക്ക് iptables-save കമാൻഡ് ഉപയോഗിക്കാം. ഒരു ഫയലിൽ നിങ്ങളുടെ നിയമങ്ങൾ സംരക്ഷിക്കാനും സംഭരിക്കാനും നിങ്ങൾക്ക് ഇനിപ്പറയുന്നവ ഉപയോഗിക്കാം:

      # iptables-save > ~/iptables.rules

      ഫയൽ എവിടെ സംഭരിക്കും, അതിന് എങ്ങനെ പേര് നൽകണം എന്നത് നിങ്ങളുടേതാണ്.

      20. ഒരു ഫയലിൽ നിന്ന് IPtables നിയമങ്ങൾ പുനഃസ്ഥാപിക്കുക

      നിങ്ങൾക്ക് iptables നിയമങ്ങളുടെ ഒരു ലിസ്റ്റ് പുനഃസ്ഥാപിക്കണമെങ്കിൽ, നിങ്ങൾക്ക് iptables-restore ഉപയോഗിക്കാം. കമാൻഡ് ഇതുപോലെ കാണപ്പെടുന്നു:

      # iptables-restore < ~/iptables.rules

      തീർച്ചയായും നിങ്ങളുടെ റൂൾസ് ഫയലിലേക്കുള്ള പാത വ്യത്യസ്തമായിരിക്കാം.

      21. പിസിഐ പാലിക്കുന്നതിനുള്ള IPtables നിയമങ്ങൾ സജ്ജമാക്കുക

      ചില സിസ്റ്റം അഡ്മിനിസ്ട്രേറ്റർമാർ അവരുടെ സെർവറുകൾ പിസിഐ കംപൈലന്റ് ആയി ക്രമീകരിക്കാൻ ആവശ്യമായി വന്നേക്കാം. വ്യത്യസ്uത പിസിഐ കംപ്ലയിൻസ് വെണ്ടർമാർക്ക് നിരവധി ആവശ്യകതകൾ ഉണ്ട്, എന്നാൽ പൊതുവായവ വളരെ കുറവാണ്.

      പല കേസുകളിലും, നിങ്ങൾക്ക് ഒന്നിലധികം ഐപി വിലാസങ്ങൾ ഉണ്ടായിരിക്കണം. സൈറ്റിന്റെ IP വിലാസത്തിനായി നിങ്ങൾ ചുവടെയുള്ള നിയമങ്ങൾ പ്രയോഗിക്കേണ്ടതുണ്ട്. ചുവടെയുള്ള നിയമങ്ങൾ ഉപയോഗിക്കുമ്പോൾ കൂടുതൽ ശ്രദ്ധാലുവായിരിക്കുക, നിങ്ങൾ എന്താണ് ചെയ്യുന്നതെന്ന് നിങ്ങൾക്ക് ഉറപ്പുണ്ടെങ്കിൽ മാത്രം അവ ഉപയോഗിക്കുക:

      # iptables -I INPUT -d SITE -p tcp -m multiport --dports 21,25,110,143,465,587,993,995 -j DROP

      നിങ്ങൾ cPanel അല്ലെങ്കിൽ സമാനമായ കൺട്രോൾ പാനലാണ് ഉപയോഗിക്കുന്നതെങ്കിൽ, നിങ്ങൾ അതിന്റെ പോർട്ടുകളും ബ്ലോക്ക് ചെയ്യേണ്ടി വന്നേക്കാം. ഒരു ഉദാഹരണം ഇതാ:

      # iptables -I in_sg -d DEDI_IP -p tcp -m multiport --dports  2082,2083,2095,2096,2525,2086,2087 -j DROP

      ശ്രദ്ധിക്കുക: നിങ്ങളുടെ പിസിഐ വെണ്ടറുടെ ആവശ്യകതകൾ നിങ്ങൾ പാലിക്കുന്നുണ്ടെന്ന് ഉറപ്പാക്കാൻ, അവരുടെ റിപ്പോർട്ട് ശ്രദ്ധാപൂർവ്വം പരിശോധിച്ച് ആവശ്യമായ നിയമങ്ങൾ പ്രയോഗിക്കുക. ചില സന്ദർഭങ്ങളിൽ ചില തുറമുഖങ്ങളിലും നിങ്ങൾക്ക് UDP ട്രാഫിക് തടയേണ്ടി വന്നേക്കാം.

      22. സ്ഥാപിതവും അനുബന്ധവുമായ കണക്ഷനുകൾ അനുവദിക്കുക

      ഇൻകമിംഗിലും ഔട്ട്uഗോയിംഗിലും നെറ്റ്uവർക്ക് ട്രാഫിക്ക് വെവ്വേറെയായതിനാൽ, സ്ഥാപിതവും അനുബന്ധവുമായ ഇൻകമിംഗ് ട്രാഫിക് അനുവദിക്കാൻ നിങ്ങൾ ആഗ്രഹിക്കും. ഇൻകമിംഗ് കണക്ഷനുകൾക്കായി ഇത് ചെയ്യുക:

      # iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

      ഔട്ട്ഗോയിംഗ് ഉപയോഗത്തിന്:

      # iptables -A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT

      23. IPtables-ൽ അസാധുവായ പാക്കറ്റുകൾ ഇടുക

      ചില നെറ്റ്uവർക്ക് പാക്കറ്റുകൾ അസാധുവാണെന്ന് അടയാളപ്പെടുത്താൻ സാധ്യതയുണ്ട്. ചില ആളുകൾ ആ പാക്കേജുകൾ ലോഗ് ചെയ്യാൻ താൽപ്പര്യപ്പെട്ടേക്കാം, എന്നാൽ മറ്റുള്ളവർ അവ ഉപേക്ഷിക്കാൻ ഇഷ്ടപ്പെടുന്നു. അസാധുവായ പാക്കറ്റുകൾ ഡ്രോപ്പ് ചെയ്യുന്നതിന്, നിങ്ങൾക്ക് ഇവ ഉപയോഗിക്കാം:

      # iptables -A INPUT -m conntrack --ctstate INVALID -j DROP

      24. നെറ്റ്uവർക്ക് ഇന്റർഫേസിൽ കണക്ഷൻ തടയുക

      ചില സിസ്റ്റങ്ങൾക്ക് ഒന്നിലധികം നെറ്റ്uവർക്ക് ഇന്റർഫേസ് ഉണ്ടായിരിക്കാം. നിങ്ങൾക്ക് ആ നെറ്റ്uവർക്ക് ഇന്റർഫേസിലേക്കുള്ള ആക്uസസ് പരിമിതപ്പെടുത്താം അല്ലെങ്കിൽ ചില IP വിലാസത്തിൽ നിന്നുള്ള കണക്ഷനുകൾ ബ്ലോക്ക് ചെയ്യാം.

      ഉദാഹരണത്തിന്:

      # iptables -A INPUT -i eth0 -s xxx.xxx.xxx.xxx -j DROP

      നിങ്ങൾ തടയാൻ ആഗ്രഹിക്കുന്ന യഥാർത്ഥ IP വിലാസം (അല്ലെങ്കിൽ നെറ്റ്uവർക്ക്) ഉപയോഗിച്ച് \xxx.xxx.xxx.xxx മാറ്റുക.

      25. IPTables വഴി ഔട്ട്uഗോയിംഗ് മെയിലുകൾ പ്രവർത്തനരഹിതമാക്കുക

      നിങ്ങളുടെ സിസ്റ്റം ഇമെയിലുകളൊന്നും അയയ്ക്കാൻ പാടില്ലെങ്കിൽ, നിങ്ങൾക്ക് SMTP പോർട്ടുകളിൽ ഔട്ട്uഗോയിംഗ് പോർട്ടുകൾ ബ്ലോക്ക് ചെയ്യാം. ഉദാഹരണത്തിന്, നിങ്ങൾക്ക് ഇത് ഉപയോഗിക്കാം:

      # iptables -A OUTPUT -p tcp --dports 25,465,587 -j REJECT

      ഉപസംഹാരം

      Iptables നിങ്ങൾക്ക് എളുപ്പത്തിൽ പ്രയോജനപ്പെടുത്താൻ കഴിയുന്ന ഒരു ശക്തമായ ഫയർവാളാണ്. ഓരോ സിസ്റ്റം അഡ്മിനിസ്ട്രേറ്ററും iptables-ന്റെ അടിസ്ഥാനകാര്യങ്ങളെങ്കിലും പഠിക്കേണ്ടത് അത്യാവശ്യമാണ്. iptables-നെ കുറിച്ചും അതിന്റെ ഓപ്ഷനുകളെ കുറിച്ചും കൂടുതൽ വിശദമായ വിവരങ്ങൾ കണ്ടെത്താൻ നിങ്ങൾ ആഗ്രഹിക്കുന്നുവെങ്കിൽ, അതിന്റെ മാനുവൽ വായിക്കാൻ അത് വളരെ ശുപാർശ ചെയ്യുന്നു:

      # man iptables

      ഈ ലിസ്റ്റിലേക്ക് ഞങ്ങൾ കൂടുതൽ കമാൻഡുകൾ ചേർക്കണമെന്ന് നിങ്ങൾ കരുതുന്നുവെങ്കിൽ, ചുവടെയുള്ള അഭിപ്രായ വിഭാഗത്തിൽ അവ സമർപ്പിച്ചുകൊണ്ട് അവ ഞങ്ങളുമായി പങ്കിടുക.