Как добавить комментарии к правилам iptables в Linux

Введение. Команды iptables и ip6tables используются для настройки, поддержки и правил брандмауэра в Linux.

Вы можете определить различные таблицы.

Каждая таблица содержит ряд встроенных цепей, кроме того, может также содержать определенные пользователем цепочки.

Вы можете добавлять комментарии к iptables.

Они могут сыграть важную роль в понимании правил брандмауэра.

На этой странице показано, как добавлять комментарии к правилам iptables.

Как добавить комментарии к правилам iptables в Linux

Синтаксис выглядит следующим образом:

 iptables -m comment --comment "comment here"
iptables -A INPUT -i eth1 -m comment --comment "my LAN - " -j DROP 

Вы можете добавлять комментарии до 256 символов в любое правило.

Рассмотрим некоторые примеры.

Где отображаются мои комментарии?

Комментарий iptables появляется, когда вы пытаетесь перечислить правила iptables, используя следующий синтаксис:

iptables -L
iptables -t filter -L FORWARD
iptables -t nat -L
iptables -t nat -L -n -v | more
iptables -t nat -L PREROUTING
iptables -t nat -L PREROUTING -n -v --line-number 

Добавление комментариев к правилам iptables

Давайте отбросим или заблокируем IP-адрес спамера с помощью iptables и добавим комментарий:

 # iptables -A INPUT -s 202.54.1.1 -j DROP -m comment --comment "DROP spam IP address - " 

Также заблокируйте порт 80 и 443 (HTTP / HTTPS) вместе с комментарием:

# iptables -A INPUT -p tcp --dport 80 -m comment --comment "block HTTPD access - " -j DROP
# iptables -A INPUT -p tcp --dport 443 -m comment --comment "block HTTPDS access - " -j DROP 

Подтвердите это:

 # iptables -t filter -L INPUT -n 

Создание комментариев в брандмауэре iptables для правил NAT

Здесь я непосредственно редактирую файл конфигурации iptables /etc/sysconfig/iptables в CentOS и добавляю правила:

*nat
:PREROUTING ACCEPT [0:0]
-A PREROUTING -d 192.168.2.201 -p tcp --dport 1:65535 -j DNAT --to-destination 192.168.122.229:1-65535 -m comment --comment "KVM hos to rhel7-nixcraft VM port forwarding"
COMMIT

Вы должны перезагрузить брандмауэр.

Подтвердите это:

 $ sudo iptables -t nat -L -n -v

Добавление комментариев в правила брандмауэра ufw

UFW является аббревиатурой для несложного брандмауэра.

Он используется для управления брандмауэром Linux и направлен на обеспечение простого в использовании интерфейса для пользователя.

Он работает на Ubuntu, Debian, Fedora, CentOS, Arch Linux и многих других дистрибутивах Linux. Чтобы добавить комментарий для правила ufw:

$ sudo ufw rule comment 'my comment here' 

Откройте порт 53 и напишите комментарий о правиле:

 $ sudo ufw allow 53 comment 'open tcp and udp port 53 for dns' 

Другой пример:

 $ sudo ufw allow proto tcp from any to any port 80,443 comment 'Open web app ports'

Как добавить комментарии к существующему правилу iptables

Вам нужно использовать синтаксис replace:

 # iptables -R chain rulenum rule-specification 

Перечислим существующее правило со следующей командой iptables:

 # iptables -t filter -L INPUT -n --line-number 

Пример вывода:

 Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 /* generated for LXD network lxdbr0 */
2 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 /* generated for LXD network lxdbr0 */
3 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:67 /* generated for LXD network lxdbr0 */
4 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
5 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
6 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:67
7 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:67
8 DROP all -- 202.54.1.1 0.0.0.0/0 /* DROP spam IP address */
9 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 /* block HTTPD access */
10 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 /* block HTTPDS access */
11 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25

Последнее правило (# 11) сообщает DROP-трафику на порт 25.

Чтобы добавить комментарий к этому правилу, запустите:

# iptables -R INPUT 11 -p tcp --dport 25 -j DROP -m comment --comment "Block port 25"
# iptables -t filter -L INPUT -n --line-number

Пример вывода:

Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 /* generated for LXD network lxdbr0 */
2 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 /* generated for LXD network lxdbr0 */
3 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:67 /* generated for LXD network lxdbr0 */
4 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
5 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
6 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:67
7 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:67
8 DROP all -- 202.54.1.1 0.0.0.0/0 /* DROP spam IP address */
9 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 /* block HTTPD access */
10 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 /* block HTTPDS access */
11 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 /* Block port 25 */

Вывод

Вы только что добавили комментарии к правилам iptables.

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40