مثال هایی از فایروال لینوکسی iptables

در تمامی مثال های زیر: سوییچ A- به معنی Append کردن Rule به انتهای فایل پیکربندی iptables، سوییچ s- برای مشخص کردن Source Address، سوییچ d- برای مشخص کردن Destination Address، سوییچ p- برای مشخص کردن نوع پروتکل از میان udp,tcp,icmp، سوییچ sport- برای مشخص کردن شماره پورت مبدا، سوییچ dport- برای مشخص کردن شماره پورت مقصد و J- برای تعیین نوع عمل بر روی بسته از میان ACCEPT,DROP و یا REJECT، سوییچ D- یک خط Rule خاص را پاک می کند.

• مثال زیر تمامی کلاینت های شبکه 192.168.1.0/24 را قادر به دسترسی به پورت 53 (یعنی DNS) می کند. (بسته ها یا درخواست های آنها را قبول می کند)

iptables -A INPUT -s 192.168.1.0/24 -p udp –dport 53 -j ACCEPT

• دو خط کد زیر بسته های icmp (دستور ping) را REJECT می کند. تفاوت REJECT و DROP اینکه اگر بسته ای REJECT شود یک پیغام به درخواست کننده (مبدا) فرستاده می شود.

• 
  

 نمایش وضعیت فایروال:

برای مشخص شدن رول هایی که در حال حاضر در iptables وجود دارند، می توانید از دستور زیر استفاده فرمائید:

iptables -L -n -v

خروجی دستور می تواند به شکل زیر باشد:

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)

pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)

pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)

pkts bytes target prot opt in out source destination

 اگر در فایروال خود از قبل رول هایی اضافه کرده اید، احتمالا وضعیت به شکل زیر خواهد بود:

Chain INPUT (policy DROP 0 packets, 0 bytes)

pkts bytes target prot opt in out source destination

0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID

394 43586 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED

93 17292 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0

1 142 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy DROP 0 packets, 0 bytes)

pkts bytes target prot opt in out source destination

0 0 ACCEPT all -- br0 br0 0.0.0.0/0 0.0.0.0/0

0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID

0 0 TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU

0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED

0 0 wanin all -- vlan2 * 0.0.0.0/0 0.0.0.0/0

0 0 wanout all -- * vlan2 0.0.0.0/0 0.0.0.0/0

0 0 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 425 packets, 113K bytes)

pkts bytes target prot opt in out source destination

Chain wanin (1 references)

pkts bytes target prot opt in out source destination

Chain wanout (1 references)

pkts bytes target prot opt in out source destination

برای نمایش رول ها به همراه شماره خط هر رول از دستور زیر استفاده فرمائید:

iptables -n -L -v --line-numbers

احتمالا خروجی دستور، مشابه زیر خواهد بود:

Chain INPUT (policy DROP)

num target prot opt source destination

1 DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID

2 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED

3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0

4 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy DROP)

num target prot opt source destination

1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0

2 DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID

3 TCPMSS tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU