Iptables-persistent: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Rnurmla (talk | contribs)
Rnurmla (talk | contribs)
Line 6: Line 6:
==Legend==
==Legend==


On vaja üles seada tulemüür kohtvõrgu kaitseks. Oleme otsustanud seda teha kasutades Linuxi iptables'it. Oleme kirja pannud posu reegleid kuid peale masina rebooti selgub, et reeglid on kadunud. Kuidas teha reeglid püsivaks?
On vaja üles seada tulemüür kohtvõrgu kaitseks. Oleme otsustanud seda teha kasutades Linuxi iptables'it. Linuxi distrubutsiooniks on välja valitud Ubuntu 10Oleme kirja pannud posu reegleid kuid peale masina rebooti selgub, et reeglid on kadunud. Kuidas teha reeglid püsivaks?


==Lahendus==
==Lahendus==

Revision as of 15:29, 6 May 2011

Autor

Ragnar Nurmla AK41 06.05.2011

Legend

On vaja üles seada tulemüür kohtvõrgu kaitseks. Oleme otsustanud seda teha kasutades Linuxi iptables'it. Linuxi distrubutsiooniks on välja valitud Ubuntu 10Oleme kirja pannud posu reegleid kuid peale masina rebooti selgub, et reeglid on kadunud. Kuidas teha reeglid püsivaks?

Lahendus

Üks lahendus kuidas iptables'i reeglid püsivaks teha on kasutada paketti iptables-persistent. Iptables-persistent on Debianis kasutusel alates versioonist 6.0 koondnimega "Squeeze" ning samuti olemas ka Ubuntus. Iptables-persistent rakendub alglaadimise varajases faasis, enne võrku, mis ongi meie jaoks oluline.

Installeerimine

Paigaldamiseks uuendame pakettide nimekirja:

sudo apt-get update

Ning seejäerel installeerime:

sudo apt-get install iptables-persistent

Tulemus

Selle tulemusel tekib /etc kausta uus kaust iptables mille sees on fail rules:

rax@pingviinike:~$ ls -l /etc/iptables/
total 4
-rw-r--r-- 1 root root 1483 2011-04-15 12:57 rules
rax@pingviinike:~$

Rakendamine

Paketi rakendamiseks kasutamegi seda rules faili mis asub /etc/iptables kaustas. Suuname iptables-save käsu väljundi faili rules:

sudo iptables-save > /etc/iptables/rules

Vaatame faili sisu:

rax@pingviinike:~$ cat /etc/iptables/rules
# Generated by iptables-save v1.4.4 on Fri Apr 15 12:57:40 2011
*mangle
:PREROUTING ACCEPT [2268:208560]
:INPUT ACCEPT [2228:199760]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [1455:196838]
:POSTROUTING ACCEPT [1459:197890]
COMMIT
# Completed on Fri Apr 15 12:57:40 2011
# Generated by iptables-save v1.4.4 on Fri Apr 15 12:57:40 2011
*nat
:PREROUTING ACCEPT [172:31462]
:OUTPUT ACCEPT [8:950]
:POSTROUTING ACCEPT [8:950]
COMMIT
# Completed on Fri Apr 15 12:57:40 2011
# Generated by iptables-save v1.4.4 on Fri Apr 15 12:57:40 2011
*filter
:INPUT ACCEPT [17:3416]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [63:7528]
-A INPUT -p tcp -m tcp --dport 22 -m comment --comment "Lubame SSH" -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -m comment --comment "Lubame DNSi" -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -m comment --comment "Lubame WEBi" -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -m comment --comment "WEB SSL" -j ACCEPT
-A INPUT -p tcp -m tcp --dport 135 -m comment --comment "SAMBA, smbd" -j ACCEPT
-A INPUT -p udp -m udp --dport 137 -m comment --comment "SAMBA, nmbd" -j ACCEPT
-A INPUT -p udp -m udp --dport 138 -m comment --comment "SAMBA, nmbd" -j ACCEPT
-A INPUT -p tcp -m tcp --dport 139 -m comment --comment "SAMBA, smbd" -j ACCEPT
-A INPUT -p tcp -m tcp --dport 445 -m comment --comment "SAMBA, smbd" -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -m comment --comment "Lubame juba loodud yhendused" -j ACCEPT
COMMIT
# Completed on Fri Apr 15 12:57:40 2011
rax@pingviinike:~$

Näeme, et failis on posu reegleid ja kõik need reeglid rakenduvad nüüd ka alglaadimisel.

Kokkuvõte

Nende toimingute tulemusel oleme saanud endale tulemüüri, kasutades iptablesit ning reeglit laetakse ka peale alglaadimist.

Lingid

Startup scripti modimine