Iptables Uygulamasi Giris Seviyesi

[Ni-Osman]

Iptables hakkinda bilmeniz gerekenler konusunda kisa bilgileri her kesimden sistem yöneten kisilerin anlayabilecegi bir dilde anlatacagim.

Iptables Linux ve Unix yada BSD tabanli sunucularimiz üzerinden gecen trafigin erisim denetimini saglayan kural tabanli bir uygulamadir. Iptables günümüzde bircok firewall yaziliminin entegresi olarak kullanilmakta olan kural tabanli bir erisim denetleyicisi olarak adlandirilabilir.
Iptables ile erisim denetimi disinda bircok islem yapilabilmektedir. Bunlari daha sonraki dokümanlarimizda bahsedecegiz bu doküman temel bilgi amaci niteliginde ve herkesin bilmesi gereken bilgilerden olusacaktir.

Iptables kural tabanli islem denetimi yapar bu islemler genellikle islem, prosedür, protokol, hedef, kaynak, denetim seklinde sirali olarak gider. islemler kural zinciri olarak bircok doküman da zincir olarak tanimlanir. islem parametreleri hakkinda bilgiler alt kisimda yer almaktadir.

A : Yeni kural eklemek
I : Araliklara kural eklemek
L : Kurallari Listelemek
N : islem eklemek
X : islem silmek
D : Kural Silmek
F : Tüm kurallari silmek
Z : Sayaclari sifirlamak
R : Kurali Degistirmek

Örnek belirtecek olursak tirnak icerisinde yaziyorum “iptables –F” iptables icersindeki tüm kurallari sifirlar. Bunu genelde iptables kullanimi hakkinda bilgi sahibi olmayan sistem yöneten kisiler firewall yazilimlarinin kullanicilari banlamasindan dolayi duydugu rahatsizlikla yazmakta ve amacini bilmemektedir. Dokümani sonuna kadar okudugunuzda iptables e tam anlami ile hakim olamasaniz da bu giris bilgileri islerinizi cok daha fazla kolaylastiracaktir.

Konumuza devam edelim.. islem siralarindan bahsediyorduk bir sonraki islem prosedür ve prosedür yapilacak islemin prosedürünü belirtir. Sadece üc adet prosedür mevcut bunlari tirnak icersinde virgül ile ayirarak yaziyorum “INPUT , OUTPUT , FORWARD” bu üc temel prosedürün anlamlari söyle.

INPUT : Disaridan gelen paketler.
OUTPUT : Disariya cikan paketler.
FORWARD: Disaridan gelen ve bizim üzerimizden gecip cikan paketler.

islem sirasina göre sonraki is protokol dür. Protokol denetimin yapilacagi yeri göstermektedir. Protokoller hakkinda pek fazla bilgi vermeyecegim bunu zaten biliyorsunuzdur yine belirli protokoller mevcut bunlar “TCP, UDP, ICMP, IGMP” bu protokoller ile denetim yapiyoruz. Protokolleri kullanabilmek icin “-p” parametresini kullaniyoruz. (Tirnak icinde belirttim kücük harf ile yazilir)

Diger bir islem ise Hedef yapilacak denetim isleminin hedefini belirtmemiz gerekir hedef icinde “-d” parametresini kullaniyoruz Hedef belirtmek icin yine tirnak icinde gösteriyorum “ –d 10.0.0.2” dedigimizde 10.0.0.2 ip adresini hedef olarak belirtmis oluyoruz. Ayni sekilde hedef portunuda “–dport” parametresi ile berkitiyoruz. Yine bir örnek yapacak olursak “ –d 10.0.0.2 –dport 80” dedigimizde 10.0.0.2 ip numarasinin 80 numarali portunu hedef olarak belirlemis oluruz.

Sonraki islem siramizda Kaynak yer almaktadir. Yapilacak isin kaynagini “–s” parametresi ile belirtiriz. Kullanimi ayni Hedef islemi gibidir. Port belirtmek icinde “–sport” parametresi kullanilir.
Son islemimiz denetimdir. Yapilacak isin denetimini belirtmemiz gerekmektedir. Denetim yapmak icin kullanilan betiklerin bazilarinin anlamlari sunlardir.

DROP : Yasaklamak
ACCEPT : izin vermek
REJECT : Yasaklamak ve yasak cevabi göndermek
LOG : islemlerimizin kaydini tutmak

Bu dokümanimizda temel olarak iptables e giris yapacagimizdan dolayi sadece bu kadar bilgi verilecek olup sonraki dokümanlarimizda iptables ile harikalar yaratacagiz. simdi cesitli örnekler yaparak konuyu anlamanizi saglayacagim..

iptables –L
Bu komut ile tüm iptables kurallarini listeleyebiliriz.

iptables –F
Bu komut ile var olan tüm kurallari sifirlayabiliriz.

simdi islem siramiza göre sunucumuzun 80 portunu kapatalim

iptables –A INPUT -p tcp -s 0/0 --dport 80 -j DROP

tekrar islem sirasini hatirlatiyorum yukaridaki komut ile –A kullanarak yeni bir kural ekleyecegimizi, INPUT ile disaridan sunucumuza gelen istekleri, -p tcp ile tcp protokolünü, -s 0/0 ile tüm ip adreslerini kaynak olarak belirterek, –dport 80 ile 80 portunu hedef gösterip, DROP ile yasakladik.

Sunucumuzda 80 portu kapali olsaydi DROP yerine ACCEPT yazmamizla 80 portunu acabilirdik..

simdi biraz daha iyi kavradiginizi düsünüyorum.

Sunuculara ping paketleri ICMP protokolü araciligi ile gider örnek

iptables -A INPUT -p ICMP -j DROP

yazmamiz sunucumuza ping atilmasini yasaklar…

Yine bir baska örnek de ip banlamak yani uzaklastirmak olsun..

iptables -A INPUT -s 10.0.0.2 -j DROP

bu komut ile 10.0.0.2 numarali ip adresini sunucumuzdan uzaklastirmis olduk..

Yine iptables yardimi ile belirli ip araliklarini sunucumuzdan uzaklastirabiliriz. Yine bir örnek yapmak gerekirse.

iptables -A INPUT -s 10.0.0.0/8 -j DROP

komudu /8 networkunu yani 10.0.0.0 dan 10.255.255.255’e kadar olan ip araligini sunucudan uzaklastiracaktir.

bunu /16 ve /24 olarakda yapabiliriz. Tekrar bir örnek yapacak olursak

iptables -A INPUT -s 192.168.1.0/24 -j DROP

komudu 192.168.1.0 dan 192.168.1.255’e kadar olan ip araligini sunucumuzdan uzak tutacaktir. Bu sayede belirli servis saglayicisi veya ülkelere ait ip araliklarini sunucumuza erisimini engelleyebiliriz.

Engellenen bir ip adresini bloktan kaldirmak icin –A yerine –D kullanarak engelini kaldirabiliriz. Yine bir örnek yapacak olursak

iptables -D INPUT -s 10.0.0.2 -j DROP

komutu 10.0.0.2 ip adresinin engelini kaldiracaktir. Hatirlarsiniz –A yeni kural eklemek –D ise kural silmekti..

iptables hakkinda sormak istediklerinizi yazabilirsiniz.

iyi calismalar dilerim.

Iptables Uygulaması Giriş Seviyesi | linux10.net