Как удалить правило iptables

Я пытаюсь удалить IP-адрес, указанный в IP-таблице сервера.

Основные концепции firewalld, зоны и правила

Перед тем как приступить к установке и настройке firewalld, мы познакомимся с понятием зон, которые используются для определения уровня доверия к различным соединениям. Для различных зон firewalld можно применить различные правила фильтрации, указывать активные опции брандмауэра в виде предварительно определенных служб, протоколов и портов, перенаправления портов и rich-rules.

Firewalld фильтрует входящий трафик по зонам в зависимости от примененных к зоне правил. Если IP-адрес отправителя запроса соответствует правилам какой-либо зоны, то пакет будет отправляться через эту зону. Если же адрес не соответствует ни одной из настроенных на сервере зоне, пакет будет обрабатываться зоной используемой по умолчанию. При установке firewalld зона по умолчанию называется public.

В firewalld есть зоны, где уже предварительно настроены разрешения для различных служб. Можно использовать эти настройки или создавать собственные зоны. Список зон по-умолчанию, которые создаются при установке firewalld (хранятся в каталоге /usr/lib/firewalld/zones/):

drop минимальный уровень доверия. Все входящие соединения блокируются без ответа, допускаются только исходящие соединения;
block зона схожа с предыдущей, но при отклонении входящих запросов отправляется сообщение icmp-host-prohibited для Ipv4 или icmp6-adm-prohibited для Ipv6;
public представляет общественные, недоверенные сети. Можно разрешать избранные входящие соединения в индивидуальном порядке;
external внешние сети при использовании брандмауэра в качестве шлюза. Она настроена для маскирования NAT, поэтому ваша внутренняя сеть остается частной, но доступной;
internal антоним зоны external. Хост обладают достаточным уровнем доверия, доступен ряд дополнительных служб;
dmz используется для компьютеров, расположенных в DMZ (изолированные компьютеры без доступа к остальной сети). Разрешены только определенные входящие соединения;
work зона для рабочих машин (большинство компьютеров в сети доверенные);
home зона домашней сети. Можно доверять большинству ПК, но поддерживаются только определенные входящие соединения;
trusted доверять всем машинам в сети. Наиболее открытая из всех доступных опций, требует сознательного использования.

В firewalld используется два набора правил — постоянные и временные. Временные правила работают до перезагрузки сервера. По умолчанию при добавлении правил в firewalld, правила считаются временными (runtime). Чтобы добавить правило на постоянной основе нужно использовать флаг — permanent. Такие правила будут применяться после перезагрузки сервера.

Принцип работы брандмауэра

Когда пакет приходит на наш брандмауэр, то он сперва попадает на сетевую карту, перехватывается соответствующим драйвером и далее передается в ядро. Далее пакет проходит ряд таблиц, а затем передается либо локальному приложению, либо переправляется на другую машину.

Читайте также:  Android для юниксоида. Используем смартфон в связке с Linux

Порядок следования пакета приведен в таблице ниже:

Шаг Таблица Цепочка Примечание
1 Кабель (т.е. Интернет)
2 Сетевой интерфейс (например, eth0)
3 mangle PREROUTING Обычно эта цепочка используется для внесения изменений в заголовок пакета, например для изменения битов TOS и пр.
4 nat PREROUTING Эта цепочка используется для трансляции сетевых адресов (Destination Network Address Translation). Source Network Address Translation выполняется позднее, в другой цепочке. Любого рода фильтрация в этой цепочке может производиться только в исключительных случаях
5 Принятие решения о дальнейшей маршрутизации, т.е. в этой точке решается куда пойдет пакет — локальному приложению или на другой узел сети.
6 mangle FORWARD Далее пакет попадает в цепочку FORWARD таблицы mangle, которая должна использоваться только в исключительных случаях, когда необходимо внести некоторые изменения в заголовок пакета между двумя точками принятия решения о маршрутизации.
7 Filter FORWARD В цепочку FORWARD попадают только те пакеты, которые идут на другой хост Вся фильтрация транзитного трафика должна выполняться здесь. Не забывайте, что через эту цепочку проходит трафик в обоих направлениях. Обязательно учитывайте это обстоятельство при написании правил фильтрации.
8 mangle POSTROUTING Эта цепочка предназначена для внесения изменений в заголовок пакета уже после того как принято последнее решение о маршрутизации.
9 nat POSTROUTING Эта цепочка предназначена в первую очередь для Source Network Address Translation. Не используйте ее для фильтрации без особой на то необходимости. Здесь же выполняется и маскарадинг (Masquerading).
10 Выходной сетевой интерфейс (например, eth1)
11 Кабель (пусть будет LAN)

Как Вы можете видеть, пакет проходит несколько этапов, прежде чем будет передан далее. На каждом из этапов пакет может быть остановлен, будь то цепочка iptables или что-либо еще, но нас главным образом интересует iptables.

Заметьте, что нет каких-либо цепочек, специфичных для отдельных интерфейсов или чего-либо подобного. Цепочку FORWARD проходят ВСЕ пакеты, которые движутся через наш брандмауэр-роутер. Не используйте цепочку INPUT для фильтрации транзитных пакетов, они туда просто не попадают. Через эту цепочку движутся только данные, предназначенные этому же хосту.

Вывод и удаление правил IPTables

IPTables – это фаервол (или брандмауэр), играющий очень важную роль в сетевой безопасности большинства дистрибутивов Linux. Данное руководство сфокусировано на различных аспектах управления фаерволом: выводе списка правил, удалении правил и т.п.

Это руководство охватывает следующие вопросы:

  • Вывод списка правил
  • Очистка счетчиков пакетов и байтов
  • Удаление правил
  • Сброс цепочек (удаление всех правил цепи)
  • Сброс всех цепочек и таблиц, удаление всех цепочек правил, разрешение всего трафика.
  • Читайте также:  Как спрятать файлы и папки в Windows и macOS

    Требования

    Для начала нужно настроить сервер и создать не-root пользователя с расширенными правами. Подробнее об этом можно прочитать в руководствах:

    Параметры управления IPFire

    Чтобы получить доступ к операционной системе IPFire через Интернет, мы должны ввести следующий URL-адрес в адресной строке браузера: :444, если мы выбрали другой IP-адрес, мы можем ввести до тех пор, пока поскольку мы используем HTTPS и порт 444, который поставляется предварительно настроенным. Конечно, веб-браузеры обнаружат, что цифровой сертификат не распознан, мы нажимаем на сайт и добавляем исключение.

    Параметры управления IPFire
    Параметры управления IPFire
    Параметры управления IPFire

    Как только мы введем пароль доступа IPFire, мы получим доступ к главному меню операционной системы. В главном меню мы видим интерфейс СЕТИ Интернет, а также ЛВС (ЗЕЛЕНЫЙ) и ее конфигурацию. В верхней панели у нас будут различные меню и конфигурации, которые мы можем сделать.

    Параметры управления IPFire
    Параметры управления IPFire
    Параметры управления IPFire

    В разделе «Система» мы можем получить доступ к электронной почте, SSH-доступу, резервному копированию конфигурации, конфигурациям графического интерфейса пользователя, системной информации, если у нас есть уязвимости в оборудовании, а также выключить операционную систему.

    Параметры управления IPFire
    Параметры управления IPFire
    Параметры управления IPFire

    В разделе «Статус» мы можем видеть состояние системы, памяти, служб, физических носителей, которые у нас есть, параметры внешней и внутренней сети, параметры сети (другие), состояние OpenVPN, графику оборудования, энтропию, подключения, Интернет. трафик и mdstat. То есть отсюда мы можем видеть глобальный статус операционной системы. Например, в разделе «Сетевой трафик» мы можем увидеть график с интернет-трафиком в реальном времени, а в разделе «Подключения» — все установленные подключения с множеством доступных вариантов отображения.

    Параметры управления IPFire
    Параметры управления IPFire
    Параметры управления IPFire

    В разделе «Сеть» мы можем настроить различные сетевые зоны, настроить DNS, веб-прокси, фильтрация содержимого, DHCP-сервер, портал захвата, редактирование хостов, переадресация DNS, настройка статических маршрутов, WoL и другие параметры конфигурации.

    Параметры управления IPFire
    Параметры управления IPFire
    Параметры управления IPFire

    Эта ориентированная на брандмауэр операционная система имеет два типа VPN: IPsec с различными расширенными настройками, а также OpenVPN. Конечно, у нас есть возможность настроить NTP так, чтобы все компьютеры запрашивали время указанного межсетевого экрана.

    Параметры управления IPFire
    Параметры управления IPFire
    Параметры управления IPFire

    Другие доступные параметры — это настройка QoS, а также возможность добавления внешних дисков через USB или напрямую через SATA3 внутри сервера.

    Параметры управления IPFire
    Параметры управления IPFire
    Параметры управления IPFire

    В разделе «Брандмауэр» у нас будет возможность настроить все правила. IPFire основан на iptables, поэтому в разделе «ниже» используется популярный брандмауэр операционных систем Linux. Мы можем настроить новые правила, цепочки и даже можем группировать разные хосты или сети для применения определенной конфигурации. На уровне конфигурации брандмауэра этот IPFire является таким же полным, как и iptables, однако, если у нас нет конфигурации через Интернет, мы всегда сможем получить доступ через SSH для выполнения более сложных настроек.

    Параметры управления IPFire
    Параметры управления IPFire
    Параметры управления IPFire

    Эта операционная система также имеет расширенные IDS и IPS, чтобы обнаруживать и предотвращать вторжения, она использует популярный SNORT, поэтому у нас будет большое количество дополнительных параметров конфигурации, особенно если мы войдем через SSH, поскольку меню веб-конфигурации не имеет многих функций. У нас также будет возможность разрешить или заблокировать доступ к различным P2P сетям, таким как BitTorrent, Ares или EdonKey среди других. Конечно, мы можем легко и быстро заблокировать целые страны, а также установить карту Wi-Fi и создать точку доступа Wi-Fi для обеспечения беспроводной связи.

    Параметры управления IPFire
    Параметры управления IPFire
    Параметры управления IPFire

    В разделе «IPtables» мы можем увидеть все правила всех цепочек и таблиц на низком уровне, таким образом, мы всегда можем знать, что происходит. У нас также будет возможность установить дополнительное программное обеспечение на IPFire, чтобы расширить возможности этого мощного межсетевого экрана. Наконец, важны журналы в брандмауэре, эта операционная система позволит нам просматривать и отправлять журналы на сервер системного журнала для дальнейшего изучения.

    Параметры управления IPFire
    Параметры управления IPFire
    Параметры управления IPFire

    Как вы уже видели, IPFire — это очень полная операционная система, ориентированная на межсетевой экран, которая позволит нам защитить все внутренние коммуникации, а также коммуникации малых и средних компаний. Мы должны помнить, что этот IPFire основан на Linux и использует IPtables, поскольку другие подобные операционные системы основаны на FreeBSD.

    Параметры управления IPFire
    Параметры управления IPFire
    Параметры управления IPFire

    Мы надеемся, что с помощью этого полного руководства по IPFire вы сможете лучше защитить свою сеть и детально настроить ее безопасность.

    Параметры управления IPFire
    Параметры управления IPFire
    Параметры управления IPFire

    Ключи утилиты iptables

    Ключ Пример Пояснения
    -v, -verbose -list, -append, -insert, -delete, -replace

    Данный ключ используется для повышения информативности вывода и, как правило, используется совместно с командой -list. В случае использования с командой -list, в вывод этой команды включаются также имя интерфейса, счетчики пакетов и байт для каждого правила. Формат вывода счетчиков предполагает вывод кроме цифр числа еще и символьные множители K (x1000), M (x1,000,000) и G (x1,000,000,000). Для того чтобы заставить команду -list выводить полное число (без употребления множителей), требуется применять ключ -x, который описан ниже. Если ключ -v, -verbose используется с командами -append, -insert, -delete или -replace, то на вывод будет выдан подробный отчет о произведенной операции.

    -x, -exact

    -list

    Для всех чисел в выходных данных выводятся их точные значения без округления и без применения множителей K, M, G.
    -n, -numeric

    -list

    Iptables выводит IP-адреса и номера портов в числовом виде, предотвращая попытки преобразовать их в символические имена.
    -line-numbers -list Ключ -line-numbers включает режим вывода номеров строк при отображении списка правил.
    -c, -set-counters -insert, -append, -replace Этот ключ используется при создании нового правила для установки счетчиков пакетов и байт в заданное значение. Например, ключ -set-counters 20 4000 установит счетчик пакетов = 20, а счетчик байт = 4000.

    -modprobe

    Любая команда

    Ключ -modprobe определяет команду загрузки модуля ядра
    Читайте также:  WordPress установка на хостинг простыми словами