7.2. Utilizzo di iptables
La prima fase nell'uso di iptables è rappresentata dall'esecuzione del servizio iptables stesso. Questo può essere fatto con il comando:
service iptables start |
 | Avvertenza | |
|---|---|---|
I servizi ip6tables dovrebbero essere disattivati in modo da poter usare il servizio iptables con i seguenti comandi:
|
Per poter iniziare iptables per default, ogni qualvolta si avvia il sistema, è necessario cambiare lo stato del runlevel sul servizio usando chkconfig.
chkconfig --level 345 iptables on |
La sintassi di iptables è separata in livelli. Il livello principale è rappresentato da unacatena. Una catena specifica lo stato nel quale un pacchetto verrà manipolato. L'uso è il seguente:
iptables -A chain -j target |
-A aggiunge una regola alla fine di una serie di regole esistenti. Il chain rappresenta il nome della catena per una regola. Le tre catene interne di iptables (cioè, le catene che influenzano ogni pacchetto che attraversa la rete) sono INPUT, OUTPUT, e FORWARD. Queste catene sono permanenti e non possono essere cancellate. L'opzione -j target specifica la posizione all'interno del set di regole di iptables, dove questa regola in particolare dovrebbe saltare. Alcuni target interni sono ACCEPT, DROP, e REJECT.
Le nuove catene (chiamate anche catene definite dall'utente), possono essere create usando l'opzione -N. La creazione di una nuova catena risulta essere utile per personalizzare regole elaborate e granulari.
7.2.1. Policy di base del firewall
Alcune policy firewall di base stabilite sin dall'inizio, possono aiutare nella creazione di regole più specifiche. iptables usa delle policy (-P) per creare le regole di default. Alcuni amministratori particolarmente attenti alla sicurezza, possono decidere di rinunciare a tutti i pacchetti, abilitando solo alcuni pacchetti a seconda del caso. Le seguenti regole bloccano tutti i pacchetti in entrata e in uscita su di un gateway della rete:
iptables -P INPUT DROP iptables -P OUTPUT DROP |
In aggiunta, è consigliato che qualsiasi pacchetto inoltrato — del traffico di rete, e che deve essere direzionato dal firewall al suo nodo di destinazione — deve essere rifiutato, in modo da limitare i client interni ad una esposizione a Internet. Per fare questo, usare la seguente regola:
iptables -P FORWARD DROP |
Dopo aver impostato la policy delle catene, create nuove regole per la vostra particolare rete e per la sicurezza. Le seguenti sezioni riportano alcune regole che potete implementare durante la creazione del vostro firewall iptables.
7.2.2. Come salvare e ripristinare le regole iptables
Le regole per il firewall sono solo valide quando il computer è alimentato, se si riavvia il sistema, le regole vengono automaticamente cancellate e resettate. Per salvare le regole in modo da poterle caricare più in avanti, usare il seguente comando:
/sbin/service iptables save |
Le regole sono conservate nel file /etc/sysconfig/iptables e vengono applicate ogni qualvolta che il servizio viene avviato o riavviato, incluso quando si riavvia la macchina.