Основы iptables / nftables
Тема дорожной карты · Linux & Unix Fundamentals
iptables и его преемник nftables — это важные инструменты для управления сетевыми пакетами и обеспечения безопасности на уровне сетевого уровня. Эти утилиты позволяют настраивать правила фильтрации пакетов, NAT, манипуляции с IP-пакетами и многое другое, что делает их незаменимыми для системного администратора. Сохранение правил на диске гарантирует, что они не потеряются при перезагрузке системы.
Как это работает
iptables использует фиксированные таблицы (filter, nat, mangle) и цепочки (INPUT, OUTPUT, FORWARD), чтобы управлять сетевыми пакетами. В то время как nftables предлагает более гибкий и мощный синтаксис, позволяющий создавать и управлять правилами с помощью единого набора команд. Современные дистрибутивы часто используют iptables-nft, который позволяет использовать команды iptables для управления правилами nftables. Это делает переход к nftables более плавным и менее болезненным для администраторов, привыкших к iptables.
Когда применять
iptables и nftables используются для создания и управления правилами сетевого фильтра. Например, команда ss -tnlp позволяет определить, какие порты открыты и кто их использует. Команда ip a используется для получения информации об IP-адресах интерфейсов. mtr объединяет функции ping и traceroute, обеспечивая непрерывную выборку данных, что делает его более полезным инструментом для диагностики сетевых проблем. tcpdump используется для захвата сетевых пакетов, который затем можно анализировать с помощью Wireshark. nc (netcat) является мощным инструментом для работы с TCP и UDP соединениями.
Типичные ошибки
Одним из самых распространенных сценариев ошибок является правка правил firewall по SSH и случайное блокирование себя. Это может произойти, если вы измените правила firewall таким образом, что SSH-соединение будет заблокировано. В этом случае вам потребуется запускать скрипт восстановления правил из screen-сессии. Также стоит отметить, что nslookup и dig могут давать разные ответы, так как они используют разные DNS-резолверы. Кроме того, открытый порт 22 без дополнительных мер безопасности, таких как fail2ban или ключевая авторизация, может стать целью для атак ботнетов. Наконец, путаница между проблемами маршрутизации и DNS может привести к неверному заключению о причине проблемы.