Di Linux berbasis Red Hat, iptables hadir dengan aturan default tertentu. Sebaiknya bersihkan, dan mulai dari awal.
Artikel ini adalah bagian dari seri tutorial iptables yang sedang berlangsung. Ini adalah artikel ke-2 dalam seri itu. Di bagian pertama kami, kami membahas tentang Tabel IPTables, Chains, Rules Fundamentals.
Sebelum kita mulai mempelajari cara menambahkan aturan firewall menggunakan iptables, akan sangat membantu untuk memahami cara membersihkan semua aturan default yang ada dan memulai semuanya dari awal.
Aturan Default di IPTables
Jalankan firewall iptables seperti yang ditunjukkan di bawah ini.
# service iptables status Firewall is stopped. # service iptables start Applying iptables firewall rules: [ OK ] Loading additional iptables modules: ip_conntrack_netbios_n[ OK ]
Anda dapat melihat aturan default di bawah:iptables -> Filter Table -> RH-Firewall-1-INPUT Chain, seperti yang ditunjukkan di bawah ini. Anda juga dapat menggunakan 'iptables –list' untuk melihat semua aturan.
# service iptables status Table: filter Chain INPUT (policy ACCEPT) num target prot opt source destination 1 RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy ACCEPT) num target prot opt source destination 1 RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0 Chain OUTPUT (policy ACCEPT) num target prot opt source destination Chain RH-Firewall-1-INPUT (2 references) num target prot opt source destination 1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255 3 ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0 4 ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0 5 ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353 6 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:631 7 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:631 8 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 9 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 10 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Aturan IPTables disimpan di /etc/sysconfig/iptables
Harap dicatat bahwa aturan iptables disimpan dalam file /etc/sysconfig/iptables. Jika Anda melihat file ini, Anda akan melihat semua aturan default.
# cat /etc/sysconfig/iptables # Firewall configuration written by system-config-securitylevel # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p 50 -j ACCEPT -A RH-Firewall-1-INPUT -p 51 -j ACCEPT -A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited COMMIT
Hapus sementara semua aturan firewall
Gunakan opsi ‘iptables –flush’ untuk menghapus semua aturan sementara.
# iptables --flush # iptables --list Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain RH-Firewall-1-INPUT (0 references) target prot opt source destination
Setelah 'iptables –flush', jika Anda me-restart iptables, Anda akan melihat semua aturan default lagi. Jadi, –flush hanya bersifat sementara.
# service iptables stop # service iptables start # iptables --list
Hapus semua aturan firewall default secara permanen
Sebelum menghapus semua aturan firewall, Anda akan melihat yang berikut ini di file /etc/sysconfig/iptables.
# cat /etc/sysconfig/iptables # Firewall configuration written by system-config-securitylevel # Manual customization of this file is not recommended. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p 50 -j ACCEPT -A RH-Firewall-1-INPUT -p 51 -j ACCEPT -A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited COMMIT
Pertama, hapus semua aturan ini untuk sementara, seperti yang telah kita bahas di atas.
# iptables --flush
Selanjutnya, simpan iptables saat ini (yang kosong, seperti yang baru saja kita hapus) ke file /etc/sysconfig/iptables untuk penggunaan permanen menggunakan 'service iptables save'
# service iptables save Saving firewall rules to /etc/sysconfig/iptables: [ OK ]
Terakhir, lihat /etc/sysconfig/iptables untuk memastikan tidak ada aturan.
# cat /etc/sysconfig/iptables # Generated by iptables-save v1.3.5 on Thu Oct 28 08:44:01 2010 *filter :INPUT ACCEPT [102:7668] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [78:8560] COMMIT # Completed on Thu Oct 28 08:44:01 2010
Sekarang, jika Anda berhenti dan memulai iptables, Anda tidak akan melihat aturan default lagi. Jadi, ingatlah untuk melakukan 'service iptables save' agar 'iptables –flush' menjadi permanen.
# service iptables stop # service iptables start # iptables --list
Sekarang Anda memahami dasar-dasar iptables, dan cara membersihkan semua aturan yang ada untuk memulai dari awal. Dalam artikel kami berikutnya, Anda akan mempelajari cara mulai menambahkan aturan firewall iptables baru dengan beberapa contoh praktis.