Как добавить комментарии к правилам iptables в Linux |

Как добавить комментарии к правилам iptables в Linux

Мануал

Введение. Команды iptables и ip6tables используются для настройки, поддержки и правил брандмауэра в Linux.

Вы можете определить различные таблицы.

Каждая таблица содержит ряд встроенных цепей, кроме того, может также содержать определенные пользователем цепочки.

Вы можете добавлять комментарии к iptables.

Они могут сыграть важную роль в понимании правил брандмауэра.

На этой странице показано, как добавлять комментарии к правилам iptables.

Как добавить комментарии к правилам iptables в Linux

Синтаксис выглядит следующим образом:

 iptables -m comment --comment "comment here"
iptables -A INPUT -i eth1 -m comment --comment "my LAN - " -j DROP 

Вы можете добавлять комментарии до 256 символов в любое правило.

Рассмотрим некоторые примеры.

Где отображаются мои комментарии?

Комментарий iptables появляется, когда вы пытаетесь перечислить правила iptables, используя следующий синтаксис:

iptables -L
iptables -t filter -L FORWARD
iptables -t nat -L
iptables -t nat -L -n -v | more
iptables -t nat -L PREROUTING
iptables -t nat -L PREROUTING -n -v --line-number 

Добавление комментариев к правилам iptables

Давайте отбросим или заблокируем IP-адрес спамера с помощью iptables и добавим комментарий:

 # iptables -A INPUT -s 202.54.1.1 -j DROP -m comment --comment "DROP spam IP address - " 

Также заблокируйте порт 80 и 443 (HTTP / HTTPS) вместе с комментарием:

# iptables -A INPUT -p tcp --dport 80 -m comment --comment "block HTTPD access - " -j DROP
# iptables -A INPUT -p tcp --dport 443 -m comment --comment "block HTTPDS access - " -j DROP 

Подтвердите это:

 # iptables -t filter -L INPUT -n 

Создание комментариев в брандмауэре iptables для правил NAT

Здесь я непосредственно редактирую файл конфигурации iptables /etc/sysconfig/iptables в CentOS и добавляю правила:

*nat
:PREROUTING ACCEPT [0:0]
-A PREROUTING -d 192.168.2.201 -p tcp --dport 1:65535 -j DNAT --to-destination 192.168.122.229:1-65535 -m comment --comment "KVM hos to rhel7-nixcraft VM port forwarding"
COMMIT

Вы должны перезагрузить брандмауэр.

Подтвердите это:

 $ sudo iptables -t nat -L -n -v

Добавление комментариев в правила брандмауэра ufw

UFW является аббревиатурой для несложного брандмауэра.

Он используется для управления брандмауэром Linux и направлен на обеспечение простого в использовании интерфейса для пользователя.

Он работает на Ubuntu, Debian, Fedora, CentOS, Arch Linux и многих других дистрибутивах Linux. Чтобы добавить комментарий для правила ufw:

$ sudo ufw rule comment 'my comment here' 

Откройте порт 53 и напишите комментарий о правиле:

 $ sudo ufw allow 53 comment 'open tcp and udp port 53 for dns' 

Другой пример:

 $ sudo ufw allow proto tcp from any to any port 80,443 comment 'Open web app ports'

Как добавить комментарии к существующему правилу iptables

Вам нужно использовать синтаксис replace:

 # iptables -R chain rulenum rule-specification 

Перечислим существующее правило со следующей командой iptables:

 # iptables -t filter -L INPUT -n --line-number 

Пример вывода:

 Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 /* generated for LXD network lxdbr0 */
2 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 /* generated for LXD network lxdbr0 */
3 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:67 /* generated for LXD network lxdbr0 */
4 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
5 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
6 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:67
7 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:67
8 DROP all -- 202.54.1.1 0.0.0.0/0 /* DROP spam IP address */
9 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 /* block HTTPD access */
10 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 /* block HTTPDS access */
11 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25

Последнее правило (# 11) сообщает DROP-трафику на порт 25.

Чтобы добавить комментарий к этому правилу, запустите:

# iptables -R INPUT 11 -p tcp --dport 25 -j DROP -m comment --comment "Block port 25"
# iptables -t filter -L INPUT -n --line-number

Пример вывода:

Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 /* generated for LXD network lxdbr0 */
2 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 /* generated for LXD network lxdbr0 */
3 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:67 /* generated for LXD network lxdbr0 */
4 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
5 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
6 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:67
7 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:67
8 DROP all -- 202.54.1.1 0.0.0.0/0 /* DROP spam IP address */
9 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 /* block HTTPD access */
10 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:443 /* block HTTPDS access */
11 DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25 /* Block port 25 */

Вывод

Вы только что добавили комментарии к правилам iptables.

Пожалуйста, не спамьте и никого не оскорбляйте. Это поле для комментариев, а не спамбокс. Рекламные ссылки не индексируются!
Добавить комментарий

  1. Влад

    Полезный материал. Комментирование очень важный элемент. Особенно если приходится править код написанный другим человеком.

    Ответить
    1. cryptoparty автор

      Спасибо за комментарий! Все верно!

      Ответить