Как удалить правило iptables и все правила
Удалить правило iptables можно по его номеру или ориентируясь на содержание сохранив предварительно список правил в файл и загрузив обратно данные из файла после редактирования.
Цепочки iptables, просмотр правил
iptables представляет собой системный сетевой фильтр состоящий из нескольких цепочек, правил и политики фильтрации. Схематично структура выглядит так:
Чтобы просмотреть список используемых системой правил нужно выполнить команду iptables-save. Она сохраняет все изменения в файл если вывод перенаправить, по умолчанию выводит правила в терминал.
Как удалить одно правило iptables по номеру строки
Можно удалить одно правило — например, по номеру строки
Так выводится пронумерованный список правил:
Chain INPUT (policy ACCEPT) num target prot opt source destination 1 f2b-sshd tcp -- anywhere anywhere multiport dports ssh 2 ACCEPT tcp -- anywhere anywhere tcp dpt:domain 3 ACCEPT udp -- anywhere anywhere udp dpt:domain 4 f2b-sshd tcp -- anywhere anywhere multiport dports ssh 5 ispmgr_deny_ip all -- anywhere anywhere 6 ispmgr_allow_ip all -- anywhere anywhere 7 ispmgr_allow_sub all -- anywhere anywhere 8 ispmgr_deny_sub all -- anywhere anywhere 9 ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED 10 ACCEPT tcp -- anywhere anywhere ctstate NEW multiport dports heathview:35999 11 ACCEPT tcp -- anywhere anywhere ctstate NEW multiport dports ftp-data:ssh,smtp,http,https,pop3,imap,urd,submission,imaps,pop3s,domain,mysql,postgres,44477 12 ACCEPT tcp -- anywhere anywhere ctstate NEW multiport dports vlsi-lm 13 ACCEPT udp -- anywhere anywhere ctstate NEW multiport dports domain 14 ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED 15 ACCEPT icmp -- anywhere anywhere 16 ACCEPT all -- anywhere anywhere 17 ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
Удалим одно из них с указанием таблицы, и цепочки (iptables -t TABLE -D INPUT номер_строки)
Возьмем девятое правило из списка:
Также можно удалять правила применяя ключ -D без номера, приводя полное правило:
Команда приведенная ниже разрешит обращения по перечисленным портам
iptables -A INPUT -p tcp -m conntrack —ctstate NEW -m multiport —dports 20:22,25,80,443 -j ACCEPT
С ключом -D правило будет удалено
iptables -D INPUT -p tcp -m conntrack —ctstate NEW -m multiport —dports 20:22,25,80,443 -j ACCEPT
Каждый раз необходимо выполнять iptables-save чтобы проверить результат.
Если нужно отредактировать несколько правил или много правил, то проще сначала сохранить все правила в файл. Отредактировать его, затем загрузить их вновь.
Как сбросить все правила iptables
В iptables удалить все правила можно удалить выполнив в консоли команду iptables с флагом -F (flush)
Перед выполнением команды обязательно нужно выполнить iptables-save и убедиться в том, что политика для входящих пакетов на INPUT установлена в ACCEPT, в противном случае можно потерять доступ к серверу.
Перед очисткой правил всегда нужно их просмотреть и сохранить в файл.
Все правила и политики можно вывести такой командой
-P INPUT ACCEPT -P FORWARD ACCEPT -P OUTPUT ACCEPT
В примере выше политики для INPUT, FORWARD и OUTPUT установлены в состояние ACCEPT. Значит после сброса правил iptables -F доступ к серверу извне потерян не будет.
С INPUT DENY было бы иначе. При такой конфигурации политикой запрещается доступ, за счет правил разрешается, при сбросе правил остается только запрет.
Если нам интересны правила для определенной цепочки нужно использовать ключ -L и название цепочки. Их можно сохранить отдельно
Читайте про сохранение правил iptables после перезагрузки
Перечисление и удаление правил брандмауэра Iptables
Iptables — это брандмауэр, который играет важную роль в обеспечении сетевой безопасности большинства систем Linux. Хотя многие руководства по работе с Iptables научат вас создавать правила брандмауэра для обеспечения безопасности вашего сервера, в этом руководстве мы будем уделять особое внимание другому аспекту управления брандмауэром: вывод списка и удаление правил.
В этом обучающем руководстве мы расскажем, как выполнять следующие задачи при работе с Iptables:
- Вывод списка правил
- Очистка счетчиков пакетов и байтов
- Удаление правил
- Сброс цепочек (удаление всех правил в цепочке)
- Сброс всех цепочек и таблиц, удаление всех цепочек и прием любого трафика
Примечание: при работе с брандмауэрами необходимо следить за тем, чтобы не заблокировать собственный доступ к серверу, запретив подключение по SSH (по умолчанию в этих целях используется порт 22). При потере доступа из-за настроек брандмауэра вам может потребоваться подключение к серверу через внеполосную консоль для восстановления доступа.
Предварительные требования
Это учебное руководство предполагает использование сервера Linux с установленной командой iptables и наличие у пользователя привилегий sudo .
Если вам нужна помощь с данной начальной настройкой, воспользуйтесь нашим руководством по начальной настройке сервера Ubuntu 20.04. Вы также можете воспользоваться руководствами для Debian и CentOS
Давайте сначала рассмотрим, как просмотреть существующий список правил. Существует два различных способа просмотра действующих правил Iptables: в форме таблицы или списка спецификаций правил. Оба метода предоставляют приблизительно одну и ту же информацию в разных форматах.
Перечисление правил по спецификации
Чтобы перечислить все действующие правила Iptables, запустите команду iptables с опцией -S :
Output-P INPUT DROP -P FORWARD DROP -P OUTPUT ACCEPT -N ICMP -N TCP -N UDP -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m conntrack --ctstate INVALID -j DROP -A INPUT -p udp -m conntrack --ctstate NEW -j UDP -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j TCP -A INPUT -p icmp -m conntrack --ctstate NEW -j ICMP -A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable -A INPUT -p tcp -j REJECT --reject-with tcp-reset -A INPUT -j REJECT --reject-with icmp-proto-unreachable -A TCP -p tcp -m tcp --dport 22 -j ACCEPT Как вы видите, вывод выглядит примерно так, как и команды, которые использовались для их создания, но не имеют команды iptables в начале. Также вывод будет напоминать файлы конфигурации правил Iptables, если вы когда-либо использовали iptables-persistent или iptables save .
Перечисление списка правил конкретной цепочки
Если вы хотите ограничить вывод конкретной цепочкой ( INPUT , OUTPUT , TCP и т. д.), вы можете указать название цепочки сразу после опции -S . Например, для отображения всех спецификаций правил в цепочке TCP необходимо запустить следующую команду:
Output-N TCP -A TCP -p tcp -m tcp --dport 22 -j ACCEPT Теперь давайте рассмотрим альтернативный способ просмотра действующих правил Iptables в форме таблицы правил.
Перечисление правил в виде таблицы
Перечисление правил Iptables в виде таблицы может быть полезным при сопоставлении разных правил друг с другом.
Чтобы вывести все действующие правила Iptables в виде таблицы, запустите команду iptables с опцией -L :
Эта команда будет выводить все действующие правила, отсортированные по цепочкам.
Если вы хотите ограничить вывод конкретной цепочкой ( INPUT , OUTPUT , TCP и т. д.), вы можете указать название цепочки сразу после опции -L .
Давайте рассмотрим пример цепочки INPUT:
OutputChain INPUT (policy DROP) target prot opt source destination ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED ACCEPT all -- anywhere anywhere DROP all -- anywhere anywhere ctstate INVALID UDP udp -- anywhere anywhere ctstate NEW TCP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN ctstate NEW ICMP icmp -- anywhere anywhere ctstate NEW REJECT udp -- anywhere anywhere reject-with icmp-port-unreachable REJECT tcp -- anywhere anywhere reject-with tcp-reset REJECT all -- anywhere anywhere reject-with icmp-proto-unreachable Первая строка вывода указывает имя цепочки (в данном случае INPUT ), за которым следует используемая по умолчанию политика ( DROP ). Следующая строка состоит из заголовков каждого столбца таблицы, после чего идут правила цепочки. Давайте посмотрим, что означает каждый заголовок:
- target : если пакет отвечает правилу, заголовок target указывает, что с ним нужно сделать. Например, пакет можно принять, отклонить, записать или отправить другой цепочке для сопоставления с другими правилами.
- prot : протокол, например tcp , udp , icmp или all
- opt : данный параметр используется редко и отображает опции IP
- source : исходный IP-адрес или подсеть трафика, либо anywhere (отовсюду)
- destination : IP-адрес назначения или подсеть трафика, либо anywhere (везде)
Последняя колонка, которая не имеет заголовка, указывает опции правила. Другими словами, это может быть любая часть правила, которая не указана предыдущими столбцами. Это может быть любая информация, начиная с портов назначения и исходных портов и заканчивая состоянием подключения пакета.
Отображение счетчиков пакетов и общего размера
При выводе списка правил Iptables также можно отобразить количество пакетов и общий размер пакетов (в байтах), которые отвечают каждому конкретному правилу. Это часто может быть полезно, когда вы пытаетесь получить приблизительное представление о том, какие правила используются для различных пакетов. Чтобы сделать это, воспользуйтесь опциями -L и -v в одной команде.
Например, давайте снова рассмотрим цепочку INPUT с опцией -v :
OutputChain INPUT (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 284K 42M ACCEPT all -- any any anywhere anywhere ctstate RELATED,ESTABLISHED 0 0 ACCEPT all -- lo any anywhere anywhere 0 0 DROP all -- any any anywhere anywhere ctstate INVALID 396 63275 UDP udp -- any any anywhere anywhere ctstate NEW 17067 1005K TCP tcp -- any any anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN ctstate NEW 2410 154K ICMP icmp -- any any anywhere anywhere ctstate NEW 396 63275 REJECT udp -- any any anywhere anywhere reject-with icmp-port-unreachable 2916 179K REJECT all -- any any anywhere anywhere reject-with icmp-proto-unreachable 0 0 ACCEPT tcp -- any any anywhere anywhere tcp dpt:ssh ctstate NEW,ESTABLISHED Обратите внимание, что список сейчас содержит два дополнительных столбца, pkts и bytes .
Теперь, когда вы знаете, как выводить список действующих правил брандмауэра различными способами, давайте рассмотрим возможность сброса счетчиков пакетов и байтов.
Сброс счетчиков пакетов и общего размера
Если вы хотите очистить или обнулить счетчики пакетов и байтов для ваших правил, воспользуйтесь опцией -Z . Счетчики также сбрасываются при перезагрузке. Это полезно, если вы хотите узнать, принимает ли ваш сервер новый трафик, отвечающий существующим правилам.
Чтобы очистить счетчики для всех цепочек и правил, используйте опцию -Z отдельно:
Чтобы очистить счетчики для всех правил конкретной цепочки, используйте опцию -Z и укажите название цепочки. Например, для очистки счетчиков цепочки INPUT воспользуйтесь следующей командой:
Если вы хотите очистить счетчики для конкретного правила, укажите имя цепочки и номер правила. Например, для обнуления счетчиков первого правила в цепочке INPUT запустите следующую команду:
Теперь, когда вы знаете, как сбросить счетчики пакетов и байтов Iptables, давайте рассмотрим два метода, которые можно использовать для удаления правил.
Удаление правил по спецификации
Одним из способов удаления правил Iptables является удаление правила по спецификации. Для этого вам нужно запустить команду iptables с опцией -D , указав далее спецификацию правила. Если вы хотите удалить правила с помощью этого метода, вы можете использовать команду для вывода списка правил iptables -S в качестве источника полезной информации.
Например, если вы хотите удалить правило, которое отклоняет недействительные входящие пакеты ( -A INPUT -m conntrack —ctstate INVALID -j DROP ), запустите следующую команду:
Обратите внимание, что опция -A , используемая для обозначения положения правила в момент его создания, здесь не применяется.
Удаление правил по цепочке и номеру
Другой способ удаления правил Iptables состоит в использовании цепочки и номера строки. Чтобы определить номер строки правила, выведите список правил в формате таблицы и добавьте опцию —line-numbers :
[secondary_output Output] Chain INPUT (policy DROP) num target prot opt source destination 1 ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED 2 ACCEPT all -- anywhere anywhere 3 DROP all -- anywhere anywhere ctstate INVALID 4 UDP udp -- anywhere anywhere ctstate NEW 5 TCP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN ctstate NEW 6 ICMP icmp -- anywhere anywhere ctstate NEW 7 REJECT udp -- anywhere anywhere reject-with icmp-port-unreachable 8 REJECT tcp -- anywhere anywhere reject-with tcp-reset 9 REJECT all -- anywhere anywhere reject-with icmp-proto-unreachable 10 ACCEPT tcp -- anywhere anywhere tcp dpt:ssh ctstate NEW,ESTABLISHED . Эта команда добавляет номер строки для каждой строки таблицы правил в столбце с заголовком num .
Когда вы знаете, какое правило нужно удалить, запомните цепочку и номер строки правила. Затем запустите команду iptables -D , указав далее цепочку и номер правила.
Например, если мы хотим удалить правило для входящего трафика, которое отклоняет недействительные пакеты, мы видим, что это правило с номером 3 в цепочке INPUT . Поэтому нам нужно запустить следующую команду:
Теперь, когда вы знаете, как удалить отдельные правила брандмауэра, давайте рассмотрим возможность сброса цепочек правил.
Сброс цепочек
Iptables предлагает возможность удаления всех правил в цепочке или сброса цепочки. В данном разделе мы опишем разнообразные способы выполнения этой задачи.
Примечание: будьте осторожны, чтобы не заблокировать собственный доступ к серверу через SSH в результате сброса цепочки с используемой по умолчанию политикой drop или deny . В этом случае вам может потребоваться подключение через консоль для восстановления доступа.
Сброс отдельной цепочки
Чтобы сбросить конкретную цепочку с последующим удалением всех правил в данной цепи, вы можете использовать опцию -F или ее эквивалент —flush , добавив в команду имя цепочки, которую вы хотите сбросить.
Например, для удаления всех правил в цепочке INPUT запустите следующую команду:
Сброс всех цепочек
Чтобы сбросить все цепочки с последующим удалением всех правил брандмауэра, вы можете использовать опцию -F или ее эквивалент —flush без указания конкретной цепочки:
Сброс всех правил, удаление всех цепочек и разрешение любого трафика
Из этого раздела вы узнаете, как выполнить сброс всех правил брандмауэра, таблиц и цепочек, чтобы разрешить прием любого сетевого трафика.
Примечание: результатом этих действий станет полное отключение вашего брандмауэра. Вам следует выполнять описанные в данном разделе действия только в том случае, если вы хотите начать настройку вашего брандмауэра с нуля.
Сначала задайте ACCEPT в качестве используемой по умолчанию политики для каждой встроенной цепочки. Главная причина этого шага состоит в том, чтобы гарантировать, что вы не заблокируете собственный доступ к вашему серверу через SSH:
Затем выполните сброс таблиц nat и mangle , сбросьте все цепочки ( -F ) и удалите все цепочки, не используемые по умолчанию ( -X ):
Теперь ваш брандмауэр будет принимать любой сетевой трафик. Если вы сейчас попробуете вывести список ваших правил, то увидите, что он пуст, и остались только три используемые по умолчанию цепочки ( INPUT , FORWARD и OUTPUT ).
Заключение
После изучения данного руководства вы должны получить представление о том, как вывести список ваших правил брандмауэра iptables и удалить определенные правила.
Не забывайте, что любые изменения, вносимые с помощью команды iptables , если их не сохранить, исчезнут после перезагрузки сервера. Данная информация описана в разделе «Сохранение правил» руководства «Распространенные правила и команды брандмауэра».
Thanks for learning with the DigitalOcean Community. Check out our offerings for compute, storage, networking, and managed databases.
�� Как удалить правила iptables
Мануал
Автор cryptoparty На чтение 5 мин Опубликовано 11.01.2022
Цель этого руководства – показать, как удалить правила iptables в системе Linux.
Можно удалять правила iptables по одному или очистить все правила в любой цепочке iptables за один раз.
Вскоре вы увидите, как это сделать.
Брандмауэр iptables в системах Linux – это очень полезная функция, которая позволяет системным администраторам контролировать с высокой точностью, какой сетевой трафик разрешен или запрещен в системе.
В конце концов, приходит время удалить правила, которые больше не соответствуют желаемой конфигурации.
В этом руководстве вы увидите несколько различных методов командной строки для удаления правил iptables в Linux.
Как удалить правила iptables в системах Linux – примеры команд
Некоторые приложения iptables, такие как firewalld для систем на базе Red Hat и ufw для систем на базе Ubuntu, имеют свои собственные команды, используемые для удаления правил брандмауэра. При использовании внешнего интерфейса iptables убедитесь, что удаление и настройка правил производится через это приложение, а не напрямую через iptables.
Прежде чем приступить к работе, убедитесь, что в вашей системе уже настроены некоторые правила.
В частности, в этом руководстве предполагается, что вы настроили правила с помощью iptables, а не с помощью внешнего приложения брандмауэра, такого как firewalld или ufw.
Чтобы увидеть правила в вашей системе, вы можете использовать следующую команду iptables.
Чтобы легче удалить конкретное правило, рекомендуется также использовать опцию –line-numbers .
$ sudo iptables -L
Пример вывода настроенных нами правил iptables (обратите внимание на номер строки в начале каждого правила):
Chain INPUT (policy ACCEPT) num target prot opt source destination Chain FORWARD (policy ACCEPT) num target prot opt source destination 1 DROP all -- anywhere 10.0.0.0/8 2 DOCKER all -- anywhere anywhere 3 ACCEPT all -- anywhere anywhere ctstate RELATED,ESTABLISHED 4 ACCEPT all -- anywhere anywhere 5 ACCEPT all -- anywhere anywhere Chain OUTPUT (policy ACCEPT) num target prot opt source destination Chain DOCKER (1 references) num target prot opt source destination 1 ACCEPT tcp -- anywhere 172.17.0.3 tcp dpt:https 2 ACCEPT tcp -- anywhere 172.17.0.4 tcp dpt:http 3 ACCEPT tcp -- anywhere 172.17.0.5 tcp dpt:4000 4 ACCEPT tcp -- anywhere 172.17.0.7 tcp dpt:mysql 5 ACCEPT tcp -- anywhere 172.17.0.7 tcp dpt:http 6 ACCEPT tcp -- anywhere 172.17.0.6 tcp dpt:3142
Прежде чем приступить к выполнению приведенных ниже команд, настоятельно рекомендуется создать резервную копию настроенных правил iptables.
Вы можете узнать, как это сделать, следуя нашему другому руководству о том, как сделать правила iptables постоянными после перезагрузки.
Способ 1
Теперь, когда у нас есть все номера строк, мы можем удалить любое из перечисленных в iptables правил.
В качестве примера мы удалим правило DROP all — anywhere 10.0.0.0/8 из цепочки FORWARD, которое под номером 1.
Для удаления этого правила мы вводим следующую команду iptables с опцией -D (delete):
$ sudo iptables -D FORWARD 1
Невозможно удалить несколько отдельных правил одновременно, если только вы не настроите для этого скрипт Bash. Однако номера правил будут меняться каждый раз, когда вы удаляете правило, и настроить скрипт для учета постоянно меняющихся номеров правил будет непросто. Несмотря на неудобство, рекомендуется просто потратить время на удаление каждого нежелательного правила по отдельности.
Способ 2
Вы также можете удалить все правила для всей цепочки сразу.
Например, мы можем удалить все 5 правил в нашей цепочке FORWARD, просто выполнив приведенную ниже команду с опцией -F (flush):
$ sudo iptables -F FORWARD
Способ 3
Использование опции -F, без указания конкретной цепочки, очистит правила для всех цепочек iptables.
Будьте осторожны при выполнении этой команды, так как потенциально вы можете удалить тонну правил.
$ sudo iptables -F
Способ 4
Вы также можете удалить саму цепочку с помощью опции -X.
Однако это сработает только в том случае, если вы предварительно очистили все ссылающиеся правила командой iptables -F [chain].
Например, для удаления цепочки DOCKER и всех ссылающихся на нее правил в нашей системе:
Чтобы очистить все пустые цепочки, вы можете использовать опцию -X без дополнительных аргументов.
$ sudo iptables -X
Способ 5
Чтобы удалить все настроенные правила в таблицах nat или mangle, необходимо указать эти таблицы отдельно с помощью опции -t (tables).
$ sudo iptables -t nat -F $ sudo iptables -t mangle -F
Способ 6
Чтобы сбросить всю конфигурацию iptables к значениям по умолчанию, вы можете использовать все следующие команды вместе.
Это сбросит ваши политики цепочек по умолчанию, очистит все правила из каждой таблицы, а затем удалит все пустые цепочки из каждой таблицы.
$ sudo iptables -P INPUT ACCEPT $ sudo iptables -P FORWARD ACCEPT $ sudo iptables -P OUTPUT ACCEPT $ sudo iptables -F $ sudo iptables -X $ sudo iptables -t nat -F $ sudo iptables -t nat -X $ sudo iptables -t mangle -F $ sudo iptables -t mangle -X
Способ 7
Последний способ – вручную отредактировать файл iptables-save, который находится в /etc/iptables/rules.v4 на системах DEB и /etc/sysconfig/iptables на системах на базе RPM.
После редактирования файлов, вы можете использовать команду iptables-restore для применения новых правил, которые вы настроили в выходных файлах.
Обратите внимание, что этот метод будет работать, только если у вас есть доступ к команде iptables-save в вашей системе.
Заключение
В этом уроке мы рассмотрели, как удалять правила iptables в командной строке Linux.
iptables – это сложный, но мощный брандмауэр, встроенный в ядро Linux, и он имеет большую кривую обучения, даже когда речь идет о самых простых задачах, таких как удаление правила.
Как показано здесь, есть несколько вариантов, которые мы можем использовать – нам нужно очистить все правила для определенной таблицы, цепочки или просто удалить правило по отдельности.
- �� Подборка основных популярных правил iptables
- �� Общие правила брандмауэра iptables для сетевых администраторов
- �� Как навсегда сохранить правила брандмауэра iptables на Linux
- ��️ Как перенести правила iptables CentOS / RHEL 6 в CentOS / RHEL 7 firewalld
- Как настроить IPtables для открытия портов в CentOS / RHEL
Пожалуйста, не спамьте и никого не оскорбляйте. Это поле для комментариев, а не спамбокс. Рекламные ссылки не индексируются!
Добавить комментарий Отменить ответ
Поддержать нас
- Аудит ИБ (49)
- Вакансии (12)
- Закрытие уязвимостей (110)
- Книги (27)
- Мануал (2 359)
- Медиа (66)
- Мероприятия (39)
- Мошенники (23)
- Обзоры (831)
- Обход запретов (34)
- Опросы (3)
- Скрипты (116)
- Статьи (360)
- Философия (124)
- Юмор (18)
Наш Telegram
Социальные сети
Поделиться
Anything in here will be replaced on browsers that support the canvas element
- �� Каковы различные форматы сертификатов? 27.10.2023
Цифровые сертификаты могут использоваться для различных целей. Они могут использоваться для защиты соединений с веб-сайтами, для шифрования сообщений электронной почты или для проверки личности пользователя. Выбор правильного формата сертификата необходим для обеспечения безопасности и сохранности данных. Когда речь идет о различных форматах сертификатов, важно выбрать тот, который соответствует вашим потребностям Выберите формат сертификата, совместимый с […]
Преобразование файла PFX (PKCS #12) в формат PEM (Privacy Enhanced Mail) достаточно просто на Linux и Unix-подобных системах. В этой статье мы рассмотрим, как преобразовать файл сертификата в формате PFX в файл PEM с помощью OpenSSL из командной строки. Что такое файл PFX? PFX (также PKCS#12) – это формат файла, содержащего сертификат(ы) и закрытый(ые) ключ(ы), […]
Одним из основных нововведений, появившихся в Podman, стала возможность запуска контейнеров без прав root. С точки зрения безопасности это было существенным улучшением, поскольку потенциально скомпрометированный контейнер, запущенный от имени root, представляет собой угрозу безопасности для хост-системы. Чтобы добиться аналогичного поведения, последние версии Docker поддерживают запуск демона docker в пользовательском контексте. �� Почему процессы в контейнерах […]
Small Form Factor Pluggable (SFP) – это компактный приёмопередатчик, который устанавливается в SFP порт коммутатора Ethernet. Модуль используется для присоединения платы сетевого устройства к оптическому волокну или витой паре. Модули SFP заменили устаревшие модули GBIC благодаря своим миниатюрным размерам. Это преимущество в размерах позволяет им эффективно работать в ограниченных сетевых средах, обеспечивая быстрый обмен данными […]
Давайте поговорим о классификации вредоносных программ. Когда антивирусная программа или средство защиты от вредоносного ПО обнаруживает что-то потенциально вредоносное, она использует определенный формат, чтобы помочь вам или другим специалистам понять, с какой именно угрозой вы имеете дело. Формат может выглядеть примерно так: Type:Platform/Family.Variant!Suffixes Это не всегда будет выглядеть именно так, поскольку, как вы помните, не […]
Сброс правил в IPtables
Для того, чтобы остановить действие правил IPtables в Linux VPS, можно использовать несколько способов. Для работы каждого из них необходимо подключение к серверу по SSH с правами root.
Остановка работы IPtables
Остановить службу можно командами:
/etc/init.d/iptables stop
service iptables stop
В дополнение к вышеуказанным командам можно убрать IPtables из автозагрузки командой:
chkconfig iptables off
Создание скрипта для сброса правил
Данный вариант скрипта снимает все ограничения в IPtables на прием или отправку любых пакетов.
В директории /root создаем файл, например, с именем iptables-drop.sh
touch iptables-drop.sh
Открываем файл любым текстовым редактором, например, nano:
nano iptables-drop.sh
Копируем в файл следующий текст:
#!/bin/sh echo "Stopping firewall and allowing everyone. " iptables -F iptables -X iptables -t nat -F iptables -t nat -X iptables -t mangle -F iptables -t mangle -X iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT
Сохраняем изменения сочетанием клавиш CTRL+O и выходим из Nano командой CTRL+X
Разрешаем файл на исполнение:
chmod u+x /root/iptables-drop.sh
Запускаем файл скрипта для сброса правил:
sh /root/iptables-drop.sh
Результат работы этого файла можно посмотреть путем вывода итогового списка существующих правил в IPtables при помощи команды:
iptables -L
После выполнения команды будет выведен следующий результат, подтверждающий отсутствие правил:
Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination
Примечание: Внесенные скриптом изменения остаются в силе до перезагрузки VPS или IPtables. В случае выполнения перезагрузки необходимо вновь запустить файл скрипта, чтобы исходные правила были сброшены.