01/07/2016

Debian – IP Tables

iptables -L to list
iptables -F to flush

iptables-save
iptables-save > /etc/iptables/rules.v4
iptables-restore < /etc/iptables/rules.v4

iptables-persistent
Seit Ubuntu 10.04 LTS (Lucid) und Debian 6.0 (Squeeze) gibt es ein Paket namens „iptables-persistent“ welches das automatische Laden der gespeicherten iptables Rules uebernimmt. Dafuer muesssen die Rules in der Datei /etc/iptables/rules.v4 fuer IPv4 und in /etc/iptables/rules.v6 fuer IPv6 gespeichert werden.

apt-get install iptables-persistent

 

Ein Beispiel:

iptables -I INPUT 1 -p tcp –dport 22 -j ACCEPT
iptables -I INPUT 2 -p tcp -s home.uebi.net –dport 8000 -j ACCEPT
iptables -I INPUT 3 -p tcp -s home.uebi.net –dport 4000:4500 -j ACCEPT
iptables -I INPUT 4 -p tcp -s home.uebi.net –dport 5000:5500 -j ACCEPT
iptables -A INPUT -p tcp –dport 8000 -j DROP
iptables -A INPUT -p tcp -s 0.0.0.0/0 –dport 4000:4500 -j DROP
iptables -A INPUT -p tcp -s 0.0.0.0/0 –dport 5000:5500 -j DROP

iptables -I INPUT 1 heisst wir fuegen an Position 1 die Regel ACCEPT TCP Port 22 ein. Position 2-4 ist somit auch selbsterklaerend, dient nur als Syntaxbeispiel. iptables -A INPUT steht fuer append und fuegt es einfach hinten dran.

 

Ein Beispiel um die Config zu aktualisieren:

iptables -D INPUT 2
iptables -D INPUT 2
iptables -D INPUT 2
iptables -I INPUT 2 -p tcp -s home.uebi.net –dport 8000 -j ACCEPT
iptables -I INPUT 3 -p tcp -s home.uebi.net –dport 4000:4500 -j ACCEPT
iptables -I INPUT 4 -p tcp -s home.uebi.net –dport 5000:5500 -j ACCEPT

Soll auch nur als Syntaxbeispiel dienen. Mit iptables -D INPUT 2 loeschen wir Regel Nummer 2. Danach rueckt Regel Nummer 3 auf Position 2. Mit einem erneuten iptables -D INPUT 2 loeschen wir somit die urspruengliche Regel Nummer 3. Selbes gilt fuer Nummer 4… Mit iptables -I INPUT 2/3/4 fuegen wir dann an den jeweiligen Positionen wieder die neuen Regeln ein.

BTW: Wenn man bei der Source (-s) einen Domainnamen eingibt, dann loest iptables diesen in dem Moment der Konfiguration auf! Das heisst wenn home.uebi.net eine dynamische IP haette, dann wuerde es bei der Config die jeweils momentan gueltige IP verwenden! Kann evtl hilfreich sein um nicht immer die aktuelle IP vorher aufloesen zu muessen, gleichzeitig evtl aber auch ein Nachteil, denn wenn sich die IP von home.uebi.net aendert zieht die Regel somit nicht mehr…

 

 

Kommentar verfassen