LinuxParty

Me preguntan... Soy un nuevo administrador de sistemas de Linux. ¿Cómo puedo agregar comentarios a las reglas de iptables en Linux usando el comando iptables?

Introducción : Los comandos iptables e ip6tables se utilizan para configurar, mantener y reglas de firewall en Linux. Puede definir varias tablas. Cada tabla contiene una serie de cadenas integradas, además, también puede contener cadenas definidas por el usuario. Puede agregar comentarios a iptables. Pueden ser fundamentales para comprender las reglas del firewall. Esta página muestra cómo agregar comentarios a las reglas de iptables.

La sintaxis es la siguiente:

iptables -m comment --comment "comentario aquí"
iptables -A INPUT -i eth1 -m comment --comment "mi LAN - " -j DROP
## IPv6 version ##
ip6tables -m comment --comment "comentario aquí"
ip6tables -A INPUT -i eth1 -m comment --comment "mi LAN - " -j DROP

Puede agregar comentarios de hasta 256 caracteres a cualquier regla. Veamos algunos ejemplos.

¿Dónde se muestran mis comentarios?

El comentario de iptables aparece cuando intenta enumerar las reglas de iptables utilizando la siguiente sintaxis :

iptables -L
iptables -t filter -L FORWARD
iptables -t nat -L
iptables -t nat -L -n -v | more
iptables -t nat -L PREROUTING
iptables -t nat -L PREROUTING -n -v --line-number
# dump all rules on screen #
iptables -S

Para la versión IPv6, intente: Vea cómo enumerar todas las reglas de iptables con números de línea en Linux

ip6tables -L
ip6tables -t filter -L FORWARD
ip6tables -t nat -L
ip6tables -t nat -L -n -v | more
ip6tables -t nat -L PREROUTING
ip6tables -t nat -L PREROUTING -n -v --line-number
ip6tables -S

para obtener más información.

Agregar comentarios a las reglas de iptables

Dejemos caer o bloquear una dirección IP de spammer usando iptables y agreguemos un comentario también:

# iptables -A INPUT -s 202.54.1.1 -j DROP -m comment --comment "DROP spam IP address - "

-------------

También bloqueemos el puerto 80 y 443 (HTTP / HTTPS) junto con el comentario: Verifíquelo:

# iptables -A INPUT -p tcp --dport 80 -m comment --comment "block HTTPD access - " -j DROP
# iptables -A INPUT -p tcp --dport 443 -m comment --comment "block HTTPDS access - " -j DROP

Verifíquelo...

# iptables -t filter -L INPUT -n

Cree comentarios con el firewall de iptables para las reglas de NAT

Aquí estoy editando directamente el archivo de configuración de iptables /etc/sysconfig/iptables en un CentOS y agregando reglas:

Debes volver a cargar el cortafuegos. Verifíquelo:

$ sudo iptables -t nat -L -n -v

Agregar comentarios a las reglas de firewall de ufw

UFW es un acrónimo de cortafuegos sin complicaciones. Se utiliza para administrar un cortafuegos de Linux y tiene como objetivo proporcionar una interfaz fácil de usar para el usuario. Funciona en Ubuntu, Debian, Fedora, CentOS, Arch Linux y muchas otras distribuciones de Linux. Para agregar un comentario para la regla ufw:

$ sudo ufw rule comment 'my comment here'

Abra el puerto 53 y escriba un comentario sobre la regla también:

$ sudo ufw allow 53 comment 'open tcp and udp port 53 for dns'

Otro ejemplo:

$ sudo ufw allow proto tcp from any to any port 80,443 comment 'Open web app ports'

Ejecute el siguiente comando para verlos:

$ sudo ufw status

Cómo agregar comentarios a la regla iptables existente

Necesita usar la sintaxis de reemplazo:

iptables -R chain rulenum rule-specification

Permítanos enumerar la regla existente con el siguiente comando de iptables:

# iptables -t filter -L INPUT -n --line-number

Salidas de muestra:

ENTRADA de cadena ( política ACEPTAR )
num destino prot opt ​​origen destino         
1     ACEPTAR tcp - 0.0.0.0/ 0             0.0.0.0/ 0             tcp dpt: 53 / * generado para la red LXD lxdbr0 * /
2     ACCEPT udp - 0.0.0.0/ 0             0.0.0.0/ 0             udp dpt: 53 / * generado para red LXD lxdbr0 * /
3     ACCEPT udp - 0.0.0.0/ 0             0.0.0.0/ 0             udp dpt: 67 / * generado para red LXD lxdbr0 * /
4     ACCEPT udp - 0.0.0.0/ 0             0.0.0.0/ 0             udp dpt: 53 
5    ACEPTAR tcp - 0.0.0.0/ 0             0.0.0.0/ 0             tcp dpt: 53 
6     ACEPTAR udp - 0.0.0.0/ 0             0.0.0.0/ 0             udp dpt: 67 
7     ACEPTAR tcp - 0.0.0.0/ 0             0.0.0.0 / 0             tcp dpt: 67 
8     DROP all - 202.54.1.1 0.0.0.0/ 0             / * DROP spam dirección IP * /
9     DROP tcp - 0.0.0.0/ 0             0.0.0.0/ 0             tcp dpt: 80 / * bloquear HTTPD acceso * /
10   DROP tcp - 0.0.0.0/ 0             0.0.0.0/ 0             tcp dpt: 443 / * bloquear acceso HTTPDS * /
11    DROP tcp - 0.0.0.0/ 0             0.0.0.0/ 0             tcp dpt: 25

La última regla (# 11) dice DROP traffic al puerto 25. Para agregar un comentario a esta regla, ejecute: Sample results:
# iptables -R INPUT 11 -p tcp --dport 25 -j DROP -m comment --comment "Block port 25"
# iptables -t filter -L INPUT -n --line-number

ENTRADA de cadena ( política ACEPTAR )
num destino prot opt ​​origen destino         
1     ACEPTAR tcp - 0.0.0.0/ 0             0.0.0.0/ 0             tcp dpt: 53 / * generado para la red LXD lxdbr0 * /
2     ACCEPT udp - 0.0.0.0/ 0             0.0.0.0/ 0             udp dpt: 53 / * generado para red LXD lxdbr0 * /
3     ACCEPT udp - 0.0.0.0/ 0             0.0.0.0/ 0             udp dpt: 67 / * generado para red LXD lxdbr0 * /
4     ACCEPT udp - 0.0.0.0/ 0             0.0.0.0/ 0             udp dpt: 53
5     ACCEPT tcp - 0.0.0.0/ 0             0.0.0.0/ 0             tcp dpt: 53 
6     ACEPTAR udp - 0.0.0.0/ 0             0.0.0.0/ 0             udp dpt: 67 
7     ACEPTAR tcp - 0.0.0.0/ 0             0.0.0.0 / 0             tcp dpt: 67 
8     DROP all - 202.54.1.1 0.0.0.0/ 0             / * DROP spam dirección IP * /
9     DROP tcp - 0.0.0.0/ 0             0.0.0.0/ 0             tcp dpt: 80 / * bloquear HTTPD acceso * /
10    DROP tcp - 0.0.0.0/0             0.0.0.0/ 0             tcp dpt: 443 / * bloquear acceso HTTPDS * /
11   DROP tcp - 0.0.0.0/ 0             0.0.0.0/ 0             tcp dpt: 25 / * Bloquear puerto 25 * /