Pengantar
Artikel ini akan membahas konfigurasi iptables melalui file /etc/sysconfig/iptables, yang dapat berguna jika Anda memiliki seperangkat aturan yang rumit untuk dilacak atau jika Anda memilih untuk tidak berurusan dengan semua flag dan opsi yang terlibat dengan mengkonfigurasi iptables melalui baris perintah.
Prasyarat
Server yang menjalankan CentOS 6.5 atau yang lebih lama (atau distribusi serupa lainnya)
IPTables harus diinstal
Konfigurasi File IPTables Dasar
Salah satu manfaat utama dari mengonfigurasi file iptables secara manual adalah komentar. Meskipun Anda dapat menggunakan komentar melalui modul pencocokan ('-m comment –comment'), Anda dapat menggunakan komentar secara lebih luas di file iptables itu sendiri menggunakan '# ' karakter di awal baris:
# This is a comment and will be ignored when iptables is loaded
Jadi kita punya poin perbandingan, mari kita lihat seperti apa file iptables jika kita simpan melalui sudo service iptables save perintah.
sudo service iptables save
Contoh:Layanan iptables simpan
Itu mungkin baik-baik saja ketika kita memiliki sejumlah kecil aturan ini, tetapi bayangkan jika kita memiliki ratusan aturan untuk dilacak. Mungkin sulit bagi kita untuk menguraikan aturan-aturan itu tanpa sedikit komentar untuk membantu kita mengingat apa maksud dari pembuatan aturan-aturan itu. Jadi, mari kita tambahkan sedikit komentar. Gunakan editor teks pilihan Anda untuk membuka salinan file iptables yang dapat diedit (tangkapan layar berikut diambil dari vim, tetapi kami akan menyertakan nano dalam entri perintah untuk mempermudah pelajar baru):
sudo nano /etc/sysconfig/iptables
File Iptables dengan Komentar
Ini (dengan satu pengecualian) file yang sama dengan file tanpa komentar di atas. Jika Anda bukan tipe orang yang terbiasa membaca banyak aturan iptables, file ini bisa menjadi jauh lebih tidak menakutkan (dan jika komentar Anda cukup jelas, mereka bahkan dapat mengingatkan Anda bagaimana aturan yang sangat rumit seharusnya bekerja!) .
Mata tajam mungkin telah memperhatikan bahwa aturan ssh dalam file iptables ini sedikit lemah, karena baris kedua (dalam mengizinkan semua lalu lintas ssh masuk) pada dasarnya membatalkan titik dari baris pertama yang menentukan bahwa satu IP tertentu diizinkan untuk ssh masuk Aturan ini dikonfigurasi untuk menunjukkan beberapa format aturan dasar. Dalam produksi, Anda mungkin memiliki seperangkat aturan yang lebih ketat.
Ada satu perubahan aturan yang perlu diperhatikan antara dua set aturan iptables. Untuk mendemonstrasikan penggunaan lain dari karakter komentar, kami telah menambahkan “# ” sebelum INPUT aturan yang menetapkan bahwa kami menolak lalu lintas yang tidak cocok dengan salah satu aturan sebelumnya dan menambahkan aturan baru yang mengatakan bahwa kami harus mencatat semua lalu lintas sebelum mengambil tindakan default untuk rantai ini (DROP ). (Informasi lebih lanjut tentang aktivitas logging iptables dapat ditemukan di artikel ini tentang pemecahan masalah dasar iptables). Karena kami hanya mengomentari TOLAK aturan, jika kita mau, kita bisa menghapus yang “# ” untuk mengembalikan aturan itu, daripada harus mengetiknya lagi. Ini dapat berguna saat menguji berbagai aturan atau untuk menyertakan aturan yang mungkin ingin Anda aktifkan di masa mendatang atau untuk waktu terbatas.
Perhatikan bahwa setiap aturan dalam file /etc/sysconfig/iptables dimulai dengan '-A ' memerintah. Jika Anda terbiasa menambahkan menggunakan iptables pada baris perintah, Anda mungkin mengenali bahwa aturan ini terlihat sangat mirip dengan apa yang mengikuti sudo iptables bagian dari perintah saat membuat perubahan iptables melalui CLI. '-A ' perintah menunjukkan bahwa aturan harus ditambahkan ke akhir rantai yang ditunjukkan. Perhatikan bahwa tidak ada nomor baris yang diperlukan (seperti untuk '-I ‘ atau -R ‘) sejak ‘-A ', menurut definisi, akan menambahkan aturan ke akhir daftar aturan dalam rantai itu. Inilah sebabnya mengapa urutan aturan penting karena iptables memfilter lalu lintas dengan menguraikan aturan ini sesuai urutannya.
Setelah Anda menyelesaikan pengeditan yang ingin Anda buat pada file ini dan menyimpannya, Anda harus memuat aturan baru. Cara paling sederhana untuk memastikan bahwa semua perubahan dimuat adalah dengan me-restart layanan iptables. Tindakan ini akan menghapus semua aturan iptables saat ini yang berjalan dan kemudian memuat ulang aturan seperti yang ada saat ini di file /etc/sysconfig/iptables.
sudo service iptables restart
Layanan iptables memulai ulang Output
Sekarang, mari tambahkan aturan baru, dan kami akan menyertakan kesalahan sehingga kami dapat melihat apa yang terjadi ketika kami me-restart layanan iptables:
Contoh kegagalan Restart
Yap, "tco" tentu saja merupakan protokol yang tidak dikenal. Output ini cukup baik untuk memberikan nomor baris dalam file di mana ia menemukan kesalahan dan deskripsi singkat tentang kesalahan, jadi itu salah satu manfaatnya. Tapi kemudian output ini juga menunjukkan satu kelemahan untuk membuat perubahan pada aturan firewall Anda melalui file /etc/sysconfig/iptables dan memulai ulang seluruh layanan. Perhatikan baris pertama dari output menunjukkan bahwa semua rantai disetel ke ACCEPT . Baris berikut menghapus semua aturan dan membongkar semua modul, yang semuanya berhasil diselesaikan, seperti yang ditunjukkan oleh tanda kurung "OK". Ketika layanan iptables menemukan kesalahan saat memuat ulang, ia gagal memuat seluruh file iptables. Jadi itu berarti server Anda dibiarkan tanpa pemfilteran apa pun, dan semua rantai default ke TERIMA .
Status tabel IP
Jika Anda juga memiliki NAT atau MANGLE aturan yang diatur di file iptables Anda, maka Anda juga akan kehilangan terjemahan alamat Anda di sana, sehingga dapat menjadi salah satu kelemahan besar untuk membuat perubahan pada file dan memulai ulang layanan grosir.
Idealnya, karena set aturan iptables Anda menjadi lebih rumit, taruhan terbaik Anda adalah membuat perubahan (dengan komentar penjelasan) di file /etc/sysconfig/iptables dan kemudian menambahkan aturan baru secara manual melalui baris perintah, terutama jika perubahan ini dilakukan pada server produksi. Jarak tempuh Anda dapat bervariasi berdasarkan kebutuhan Anda.