Linux: Iptables примери за начинаещи сисадмини – част 4
Публикувана от admin на May 08 2012 10:27:47
Ограничаване на броя едновременни връзки към сървър

Може да използвате connlimit модула за да въведете такова ограничение. Например, за разрешаване на 3 ssh връзки за всеки клиент, въведете:

# iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 3 -j REJECT

Задаване на HTTP заявките до 20:

# iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 --connlimit-mask 24 -j DROP

Където:

1. connlimit-above 3: изпълнява се само в случай, че броя съществуващи връзки е достигнал 3
2. connlimit-mask 24: групира хостовете по дължината на префикса. За IPv4 това трябва да е стойност между 0 и 32.

Използване на iptables като гуру
Повече информация за iptables може да бъде намерена в man-страницата на командата

$ man iptables

Помощните опции може да видите с

# iptables -h

По-подробни инструкции за използване на дадена опция може да получите чрез, например:

# iptables -j DROP -h

Тестване на изградения Firewall

Проверете дали има отворени портове:

# netstat -tulpn

Проверете дали дали tcp порт 80 е отворен

# netstat -tulpn | grep :80

Ако не е, стартирайте Apache:

# service httpd start

Уверете се, че iptables позволяват достъп до порт 80

# iptables -L INPUT -v -n | grep 80

Ако не- отворете го за всички потебители

# iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
# service iptables save

Използвайте telnet командата, за да разберете дали защитната стена пропуска порт 80

telnet www.mrejata.us 80

Примерен изход:

Trying 94.190.189.68...
Connected to www.mrejata.us.
Escape character is '^]'.
^]
telnet> quit
Connection closed.


Използвайте nmap за да тествате собствения си сървър:

$ nmap -sS -p 80 www.mrejata.us

Примерен изход:

Starting Nmap 5.51 ( http://nmap.org ) at 2012-05-08 10:25 EEST
Nmap scan report for www.mrejata.us (94.190.189.68)
Host is up (0.00088s latency).
rDNS record for 94.190.189.68: ip-68-189.interbild.net
PORT STATE SERVICE
80/tcp open http

Nmap done: 1 IP address (1 host up) scanned in 0.23 seconds

Други добри инструменти за тестване са tcpdupm и ngrep

Заключение:

Тази поредица показа само някои основни правила за работа с iptables. Стъпвайки на изградените вече знания може да създадете много по-сложни такива, за да се справите с всяко поставено изискване.