Где мои iptables?
Я выполнил код:
iptables-save -t nat -A PREROUTING -d 79.3.191.226 -j DNAT --to-destination 192.168.0.14
Но я не знаю, работало ли это, так как я не могу найти iptables файл в своем каталоге.
Где iptables сценарий расположен?
2 ответа
Это не то, как Вы используете, iptables-сохраняют
Без любого optins, он выводит правила к Вашему терминалу, необходимо перенаправить.
iptables-save > /etc/iptables.rules
http://bodhizazen.com/Tutorials/iptables#Saving_your_configuration
На Ubuntu необходимо, вероятно, использовать ufw
, см. https://help.ubuntu.com/lts/serverguide/firewall.html#ip-masquerading
Если Вы хотите настроить маршрутизатор/брандмауэр и должны задать вопросы, Вы действительно не должны использовать iptables и вместо этого используйте ufw (которые поддерживают и IPv6 и IPv4) для единственной машины сервера, подключенной к Интернету через другой механизм демилитаризованной зоны маршрутизаторов или непосредственно к Интернету, и не направляет трафика. Или shorewall (поддержки только IPv4, использовать shorewall6 для IPv6) для машины маршрутизации. Установка брандмауэра с нуля является сложной и подверженной ошибке. Просто настройте один из инструментов брандмауэра shorewall или более простое и менее функциональное ufw и посмотрите на то, как они настраивают iptables и Вы будете видеть почему.
Оба не то, что трудно настроить правильно и защитить. Используя iptable намного более твердо и требует knowleged о большом количестве RFC:s, как RFC1918 для IPv4 и многое другое.
Брандмауэр frontend shorewall разработан, чтобы использоваться в брандмауэре macine и Вашей LAN и довольно легки настроить для этого, по крайней мере, по сравнению с iptable. Только необходимо скопировать некоторые файлы с /usr/share/doc/shorewall/examples/ кому: /etc/shorewall/, измените их и затем работайте shorewall --check (если я помню право) проверять синтаксис и некоторую семантику, прежде чем запустят его.
То же с ufw, хотя это не разработано для передачи и NAT, только для защиты серверов и клиентов. Но для этого, это легко и очень полезно. Можно настроить его на адресующем маршрутизаторе, но затем необходимо вручную добавить некоторых iptable Правила NAT так Ваши машины в Вашей локальной LAN могут достигнуть Интернета через маршрутизатор. Вы также могли бы хотеть добавить демилитаризованную зону для своих общедоступных серверов и не забыть всегда защищать те серверы с ufw, который ufw разработан для. Лучше всего использовать отдельную LAN на другом интерфейсе Ethernet на Вашем маршрутизаторе.
Действительно постарайтесь не выполнять дополнительные серверы на своей машине маршрутизации, поскольку она будет возможный открытый еще некоторые "векторы атаки" против Вашего маршрутизатора для хакеров для использования. И используйте nmap от различных машин, чтобы проверить Ваш брандмауэр маршрутизаторов, видеть, что открыто снаружи и изнутри.
Оба nmap и wireshark существенные инструменты для администратора маршрутизатора/брандмауэра. Всегда проверяйте свои настройки. Открытый маршрутизатор/брандмауэр будет использованием очень быстро.
Не забывайте смотреть в страницах справочника для каждой команды и документации пакета в /usr/share/doc/package name/.