توسط این فرمان می توانید پورت های خاصی را باز یا بسته کرده و یا سرویس های
firewall را فعال و یا غیر فعال نمایید.
قدم اول برای کار با این دستور فعال نمودن سرویس مرتبط می باشد که با فرمان زیر انجام می گیرد:
service iptables start
نکته : قبل از اینکه سرویس iptables اجرا شود بایستی سرویس ip6tables را غیرفعال کنیم .برای این کار دستورات زیر را در خط فرمان وارد می کنیم :
service ip6tables stop
chkconfig ip6tables off
برای اینکه موقع بوت شدن سیستم این سرویس به صورت پیش فرض فعال شود وضعیت runlevel بایستی در حالت ON قرار داده می شود:
chkconfig --level 345 iptables on
باز و بسته کردن پورت ها :
برای باز کردن پورت 80 در فایروال از فرمان زیر استفاده می کنیم:
iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT<
iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
-p معادل protocol و sport معادل پورت مبدا و dport معادل پورت مقصد می باشد.
همچنین در صورت نیاز به استفاده از https بایستی پورت 443 نیز باز باشد :
iptables -A INPUT -p tcp -m tcp --sport 443 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT
برای سایر پورت ها نیز از دستورات مشابه استفاده می شود.
ساختار دستور iptables :
گرامر این دستور به دو بخش تقسیم می شود :chain,target
iptables -A chain -j target
chain قسمت اصلی است و پارامتر –A (append )یک rule را اضافه می نماید.chain می تواند معادل input,ouput,forward باشد که پارامترهای دائمی می باشند.
پارامتر –j (jump )محلی در مجموعه قوانین iptables را مشخص می کند که پرش به آنجا انجام می گیرد.مقادیر آن به ترتیب شامل accept,drop,reject می باشند. توسط پارامتر –nنیز می توانید chain های جدید و سفارشی اضافه کنید.
کار با policy های firewall :
Iptbles از پارامتر –p برای ایجاد rule های پیش فرض استفاده می کند.مثلا دستورات زیر کلیه پکت های ارسالی و دریافتی در درگاه شبکه را بلاک می کند:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
همچنین توصیه می شود که پکت های forward شده نیز denied شوند تا کاربران شبکه داخلی به طور ناخواسته در اینترنت نمایان نشوند.rule زیر برای انجام این کار به کار می رود:
iptables -P FORWARD DROP
بعد از تنظیم policy chain می توانید rule های مورد نظر را تعریف کنید:
نحوه ی ذخیره و بازیابی قوانین iptables :
Rule های firewall تا زمانیکه کامپیوتر on باشد معتبر می باشند و با راه اندازی مجدد سیستم به صورت اتوماتیک reset می شوند. برای اینکه این قوانین بعد از راه اندازی مجدد، به صورت اتوماتیک اجرا شوند از دستور زیراستفاده کنید:
/sbin/service iptables save
نکته :سایر Rule ها در مسیر /etc/sysconfig/iptables ذخیره می شوند.