Порядок і правила роботи з iptables
Якщо потрібно внести зміни в існуючу систему, слід зберегти всі діючі правила і мережеві настройки. У працюючій системі при будь-яких обставин нічого робити не можна. Кращий варіант – вести роботи на новому сервері, а по їх завершенні поміняти машини.
Краще починати з чистого аркуша. Через ключі -F і -X iptables відкрити порт не вийде, але таблиця правил очиститься і можна буде якісно виконати адміністративну роботу. Фаєрвол (ufw) краще відключити відразу. Можна почистити таблиці nat – це теж не буде зайвим.
Далі слід обов’язкове відкриття доступу ssh (через iptables відкрити порт 22). Сервер зобов’язаний бути керований дистанційно. Дозволити пінги і перевірити їх також обов’язково. Адміністратор сервера повинен бути впевнений в тому, що фізично (технічно) обладнання працює справно. А якщо виникає помилка, то вона буде лежати в правилах iptables. Відкрити порти pop, ftp, http, https і інші можна загальним правилом (multiport) або окремими.
Важливо врахувати, що правила мають значення не тільки за змістом, але і по послідовності вказівки. В контексті використання Proxmox VE обов’язково дотримати його вимоги (зокрема, через iptables відкрити порт 8006).
Портів 80 (8080) і 443 слід приділити особливу увагу. Наприклад, iptables (відкрити порти http & https) забезпечує трафік веб-ресурсів. Пошта і FTP доступ не критичні, якщо вони не включені в спектр функціональності сервера.
Правила iptables діють негайно. Ключ «-A» додає правило, а ключ «-D» видаляє його. Зберегти набір створених правил:
- iptables-save > /etc/iptables.rules.
Відновити, раніше створений набір правил:
- iptables-restore < /etc/iptables.rules.
Щоб включити iptables і відкрити порти при завантаженні системи, досить записати про це при піднятті основного інтерфейсу в файлі /etc/network/intefaces:
Правила iptables – це не тільки порядок роботи на сервері і його безпеку. Це оптимізація на практиці. Правила iptables визначають конкретний спектр пакетів, який буде обробляти сервер, конкретизує його функціональність і управляє відвідувачами. За допомогою iptables можна налаштувати оптимальний режим адміністрування та користування машиною.
