অফিসিয়াল এবং প্রস্তাবিত ডকুমেন্টেশনের লিঙ্কগুলি নেটফিল্টার ওয়েব সাইটে বিদ্যমান।
এটি কোনও নতুন বিষয় নয়, সংস্থানগুলি সীমাহীন ।
বেশিরভাগ বুনিয়াদি কমান্ডগুলি মোটামুটি স্বজ্ঞাত এবং সহজেই ম্যানপেজের রেফারেন্স হতে পারে ।
নেটফিল্টার, যা কার্নেল স্তরের প্রযুক্তি যা প্যাকেট ফিল্টারিং সক্ষম করে, এটি বেশ উন্নত। অতিরিক্ত টেবিল রয়েছে যা প্যাকেটগুলি ম্যাঙ্গেল করতে পারে, প্যাকেটগুলি অনুবাদ করতে পারে এবং অন্যথায় রাউটিংকে প্রভাবিত করতে পারে। iptables
উপযোগ Netfilter সাথে ইন্টারঅ্যাক্ট করার জন্য userland টুল। আপনি যদি উন্নত কার্যকারিতা সম্পর্কে জানতে চান তবে আমি আপনাকে পূর্বোক্ত ডকুমেন্টেশনটি উল্লেখ করার পরামর্শ দিচ্ছি। মৌলিক কার্যকারিতা সম্পর্কে পরিচিতির জন্য, দয়া করে আরও পড়ুন।
সমস্ত বিদ্যমান বিধি তালিকা করতে:
iptables -L -n
-n
iptables কে সমাধান করার আইপিস থেকে বাধা দেয়, যা দ্রুত আউটপুট উত্পাদন করে।
ডিফল্ট সারণি হ'ল filter
টেবিল, যা তিনটি চেইনে বেসিক ফায়ারওয়াল বিধি প্রয়োগ করতে ব্যবহৃত হয়। তিন ডিফল্ট চেইন filter
টেবিল হয় INPUT
, OUTPUT
এবং FORWARD
।
চেইনগুলি মূলত স্ব-বর্ণনামূলক। ইনপুট চেইনটি আগত প্যাকেটগুলিকে প্রভাবিত করে, OUTPUT চেইন স্থানীয়ভাবে উত্পাদিত প্যাকেটগুলিকে প্রভাবিত করে এবং পরিশেষে সিস্টেমের মধ্য দিয়ে যে কোনও প্যাকেটগুলি প্রবেশ করে তার জন্য ফরওয়ার্ড করে।
আপনি যে লক্ষ্যগুলি নির্দিষ্ট করতে পারেন তার মধ্যে আপনি DROP
প্যাকেটগুলি করতে পারেন , যার অর্থ কেবল উপেক্ষা করুন এবং কোনও প্রতিক্রিয়া নয়। আপনি REJECT
প্যাকেটগুলি করতে পারেন , যেখানে প্রত্যাখ্যানের উত্সটিতে একটি আইএমপি প্রতিক্রিয়া প্রেরণ করা হবে। অবশেষে, আপনি ACCEPT
এগুলি করতে পারেন , যা প্যাকেটগুলিকে রাউটিং চালিয়ে যাওয়ার অনুমতি দেয়।
প্রায়শই বাহ্যিক মুখোমুখি ফায়ারওয়ালের সাথে ডিফল্ট পছন্দটি তার DROP
বিপরীতে হয় REJECT
, কারণ এটি ইন্টারনেটে আপনার নেটওয়ার্কের দৃশ্যমান পদচিহ্ন হ্রাস করে। উদাহরণস্বরূপ, একটি আইপি যা অন্যথায় নির্দিষ্ট হোস্টের পরিষেবাগুলিকে সীমাবদ্ধ করে তার সাথে কম দৃশ্যমানতা থাকবে DROP
।
দ্রষ্টব্য, -A
অর্থ শৃঙ্খলার শেষে সংযোজন। আপনি যদি শীর্ষে সন্নিবেশ করতে চান তবে আপনি এটি ব্যবহার করতে পারেন -I
। সমস্ত নিয়ম নীচে থেকে প্রক্রিয়া করা হয়। -D
মুছে ফেলার জন্য।
থেকে DROP
আগত আগত প্যাকেটে 192.168.235.235
:
iptables -A INPUT -s 192.168.235.235 -j DROP
এই DROP
আইপি থেকে আগত সমস্ত প্রোটোকলের লক্ষ্যতে এই লাফ দেয় ।
গ্রহণ করতে:
iptables -A INPUT -s 192.168.235.235 -j ACCEPT
আপনার স্থানীয় সার্ভার বা নেটওয়ার্ক থেকে এই আইপিতে অ্যাক্সেস রোধ করতে:
iptables -A OUTPUT -d 192.168.235.235 -j DROP
আপনি -p
প্রোটোকল, -s
প্যাকেটের উত্স, প্যাকেটের -d
গন্তব্য, গন্তব্য পোর্ট --dport
, উত্স বন্দর --sport
এবং অন্যান্য অনেক পতাকা উল্লেখ করতে পারেন যা প্যাকেটগুলি বিধি দ্বারা কীভাবে আচরণ করা হবে তা প্রভাবিত করবে।
যদি আপনার ডিফল্ট INPUT
নীতি হয় DROP
এবং আপনি 192.168.123.0/24
সাবনেটের প্রত্যেককে আপনার সার্ভারে এসএসএইচ অ্যাক্সেস করার অনুমতি দিতে চেয়েছিলেন , তবে এখানে একটি উদাহরণ রয়েছে:
iptables -A INPUT -s 192.168.123.0/24 -p tcp --dport 22 -j ACCEPT
এটা ঠিক, আপনি সিআইডিআর স্বরলিপিটিও ব্যবহার করতে পারেন !
সাধারণভাবে বলতে গেলে, DROP
সমস্ত চেইনের জন্য সেরা ডিফল্ট নীতি । প্রতিটি চেইনের একটি ডিফল্ট নীতি থাকে যা -P
পতাকা দ্বারা নির্দিষ্ট করা হয় । এমনকি যদি আপনার নীতিটি ডিফল্টতে সেট করা থাকে DROP
, তবুও এটি একটি চেইনে চূড়ান্ত প্রবেশের DROP
পাশাপাশি থাকার পরামর্শ দেওয়া হয় ।
উদাহরণস্বরূপ, DROP
ইনপুট, ফরওয়ার্ড এবং আউটপুট চেইনের জন্য নীতিটি পরিবর্তন করতে :
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
সতর্কতা অবলম্বন করুন , আপনি যদি প্রথমে এসএসএইচ অ্যাক্সেসের অনুমতি না দিয়ে কোনও রিমোট সিস্টেমে INPUT এর জন্য ডিআরপি-র ডিফল্ট নীতি নির্দিষ্ট করে থাকেন তবে আপনি সিস্টেমে অ্যাক্সেস থেকে নিজেকে রোধ করতে পারবেন। যদি কোনও রিমোট সিস্টেমে থাকে তবে আপনি ব্যর্থতা হিসাবে প্রতি 5 মিনিটে সমস্ত নিয়ম ফ্লাশ করতে একটি অস্থায়ী ক্রন্টবকে নির্দিষ্ট করতে পারেন।
সমস্ত নিয়ম মুছতে এবং সমস্ত ট্র্যাফিকের অনুমতি দিতে:
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -X
iptables -F
নোট, -X
সমস্ত তৈরি চেইন অপসারণ। -F
সমস্ত নিয়ম flushes।
নিয়মগুলি সংরক্ষণ এবং পুনরুদ্ধার করার জন্য দেশীয় সরঞ্জাম রয়েছে। বিশেষত, iptables-save
এবং iptables-restore
। বেশিরভাগ আধুনিক লিনাক্স ডিস্ট্রিবিউশন আছে save
এবং restore
একটি iptables- র মধ্যে ফাংশন সিস্টেমের সাথে প্রদান করা ফাইল init।
অন্যান্য ফায়ারওয়াল সেরা অনুশীলন রয়েছে, যেমন ত্রুটিযুক্ত প্যাকেটগুলি ফেলে দেওয়া এবং অন্য ধরণের অযাচিত ট্র্যাফিক। শোরেওয়ালের মতো ফ্রন্ট এন্ড ইউটিলিটি ব্যবহার করার এটি একটি সুবিধা , কারণ এটি ডিফল্টরূপে এই পলিসির অনেকগুলি প্রয়োগ করে। তবুও, আমি আপনার পদ্ধতির সাথে একমত এবং সরাসরি আমার নিজের নিয়ম বজায় রাখতে পছন্দ করি এবং এই একই সেরা অনুশীলনগুলি কোনও শেষ প্রান্ত ছাড়াই বাস্তবায়িত হতে পারে।