Введение. Команды iptables и ip6tables используются для настройки, поддержки и правил брандмауэра в Linux.
Вы можете определить различные таблицы.
Каждая таблица содержит ряд встроенных цепей, кроме того, может также содержать определенные пользователем цепочки.
Вы можете добавлять комментарии к iptables.
Они могут сыграть важную роль в понимании правил брандмауэра.
На этой странице показано, как добавлять комментарии к правилам iptables.
Как добавить комментарии к правилам iptables в Linux
Синтаксис выглядит следующим образом:
iptables -m comment --comment "comment here" iptables -A INPUT -i eth1 -m comment --comment "my LAN - " -j DROP
Вы можете добавлять комментарии до 256 символов в любое правило.
Рассмотрим некоторые примеры.
Где отображаются мои комментарии?
Комментарий iptables появляется, когда вы пытаетесь перечислить правила iptables, используя следующий синтаксис:
iptables -L iptables -t filter -L FORWARD iptables -t nat -L iptables -t nat -L -n -v | more iptables -t nat -L PREROUTING iptables -t nat -L PREROUTING -n -v --line-number
Добавление комментариев к правилам iptables
Давайте отбросим или заблокируем IP-адрес спамера с помощью iptables и добавим комментарий:
# iptables -A INPUT -s 202.54.1.1 -j DROP -m comment --comment "DROP spam IP address - "
Также заблокируйте порт 80 и 443 (HTTP / HTTPS) вместе с комментарием:
# iptables -A INPUT -p tcp --dport 80 -m comment --comment "block HTTPD access - " -j DROP # iptables -A INPUT -p tcp --dport 443 -m comment --comment "block HTTPDS access - " -j DROP
Подтвердите это:
# iptables -t filter -L INPUT -n
Создание комментариев в брандмауэре iptables для правил NAT
Здесь я непосредственно редактирую файл конфигурации iptables /etc/sysconfig/iptables в CentOS и добавляю правила:
*nat :PREROUTING ACCEPT [0:0] -A PREROUTING -d 192.168.2.201 -p tcp --dport 1:65535 -j DNAT --to-destination 192.168.122.229:1-65535 -m comment --comment "KVM hos to rhel7-nixcraft VM port forwarding" COMMIT
Вы должны перезагрузить брандмауэр.
Подтвердите это:
$ sudo iptables -t nat -L -n -v
Добавление комментариев в правила брандмауэра ufw
UFW является аббревиатурой для несложного брандмауэра.
Он используется для управления брандмауэром Linux и направлен на обеспечение простого в использовании интерфейса для пользователя.
Он работает на Ubuntu, Debian, Fedora, CentOS, Arch Linux и многих других дистрибутивах Linux. Чтобы добавить комментарий для правила ufw:
$ sudo ufw rule comment 'my comment here'
Откройте порт 53 и напишите комментарий о правиле:
$ sudo ufw allow 53 comment 'open tcp and udp port 53 for dns'
Другой пример:
$ sudo ufw allow proto tcp from any to any port 80,443 comment 'Open web app ports'
Как добавить комментарии к существующему правилу iptables
Вам нужно использовать синтаксис replace:
# iptables -R chain rulenum rule-specification
Перечислим существующее правило со следующей командой iptables:
# iptables -t filter -L INPUT -n --line-number
Пример вывода:
Chain INPUT (policy ACCEPT) num target prot opt source destination 1 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 /* generated for LXD network lxdbr0 */ 2 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 /* generated for LXD network lxdbr0 */ 3 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:67 /* generated for LXD network lxdbr0 */ 4 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 5 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 6 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:67 7 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:67 8 DROP all -- 202.54.1.1 0.0.0.0/0 /* DROP spam IP address */ 9 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 /* block HTTPD access */ 10 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 /* block HTTPDS access */ 11 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25
Последнее правило (# 11) сообщает DROP-трафику на порт 25.
Чтобы добавить комментарий к этому правилу, запустите:
# iptables -R INPUT 11 -p tcp --dport 25 -j DROP -m comment --comment "Block port 25" # iptables -t filter -L INPUT -n --line-number
Пример вывода:
Chain INPUT (policy ACCEPT) num target prot opt source destination 1 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 /* generated for LXD network lxdbr0 */ 2 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 /* generated for LXD network lxdbr0 */ 3 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:67 /* generated for LXD network lxdbr0 */ 4 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 5 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 6 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:67 7 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:67 8 DROP all -- 202.54.1.1 0.0.0.0/0 /* DROP spam IP address */ 9 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 /* block HTTPD access */ 10 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 /* block HTTPDS access */ 11 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 /* Block port 25 */
Вывод
Вы только что добавили комментарии к правилам iptables.
Полезный материал. Комментирование очень важный элемент. Особенно если приходится править код написанный другим человеком.
Спасибо за комментарий! Все верно!