Rivalry2

HTML Diff

1 added 1 removed

Original 2026-01-01

Modified 2026-03-10

1 <ul><li><a>Зачем нужен iptables?</a><ul><li><a>Stateless и stateful фильтрация: в чём разница?</a><ul><li><a>Правила (Rules)</a></li>

2 <li><a>Пример: блокировка SSH-доступа</a></li>

3 </ul></li>

4 <li><a>Цепочки (Chains)</a><ul><li><a>INPUT</a></li>

5 <li><a>OUTPUT</a></li>

6 <li><a>FORWARD</a></li>

7 <li><a>PREROUTING</a></li>

8 <li><a>POSTROUTING</a></li>

9 <li><a>nat</a></li>

10 <li><a>mangle</a></li>

11 <li><a>raw</a></li>

12 <li><a>security</a></li>

13 </ul></li>

14 <li><a>Как выбрать нужную таблицу?</a></li>

15 </ul></li>

16 <li><a>Действия (Targets)</a><ul><li><ul><li><a>ACCEPT</a></li>

17 <li><a>DROP</a></li>

18 <li><a>REJECT</a></li>

19 <li><a>LOG</a></li>

20 <li><a>QUEUE</a></li>

21 <li><a>RETURN</a></li>

22 </ul></li>

23 <li><a>Особые targets (для таблицы nat):</a><ul><li><a>DNAT</a></li>

24 <li><a>SNAT</a></li>

25 <li><a>MASQUERADE</a></li>

26 </ul></li>

27 - <li><a>Синтаксис iptables: ключи и параметры</a><ul><li><a>Опции фильтрации трафика</a></li>

27 + <li><a>Синтаксис iptables: ключи и параметры</a><ul><li><a>Опции фи��ьтрации трафика</a></li>

28 </ul></li>

29 </ul></li>

30 </ul>Что такое iptables?

31 iptables - это один из самых надёжных инструментов для настройки межсетевого экрана (firewall) в Linux. Он встроен прямо в ядро системы и работает на уровне сетевого стека. Это значит: когда к вашему серверу летит пакет - iptables решает, пустить его или нет. И хотя на первый взгляд он выглядит как "утилита для терминала", под капотом у него мощный механизм управления сетевым трафиком: от базовой фильтрации до сложных сценариев NAT, логирования и контроля доступа.

32 С 2001 года, начиная с версии ядра 2.4, iptables предустановлен во всех основных дистрибутивах Linux.

33 Работает iptables через командную строку, и для любых действий нужен root-доступ. Чтобы проверить, установлен ли инструмент в системе и какая версия используется, достаточно ввести:

34 Если вы видите ответ - всё готово к работе. Теперь можно переходить к правилам, цепочкам и таблицам - именно они задают логику работы firewall.

35 <h2>Зачем нужен iptables?</h2>

36 iptables - это многофункциональный инструмент, который помогает вам контролировать,что именно происходит с трафиком на сервере- от простых фильтров до гибкой маршрутизации и настройки качества обслуживания.

37 Вот ключевые задачи, которые решает iptables:

38 <ul><li>Фильтрация пакетов Можно настраивать как простую фильтрацию (по IP-адресам, портам, протоколам), так и отслеживать состояния соединений. Вы можете, например, разрешить только входящие ответы на исходящие запросы - и автоматически отбрасывать остальное.</li>

39 <li>Настройка NAT, PAT и NAPTiptables позволяет настроить NAT (Network Address Translation) - трансляцию адресов, которая необходима, если у вас частная подсеть за роутером. PAT (Port Address Translation) и NAPT (Network Address and Port Translation) дают возможность "подвязывать" внешние запросы к конкретным внутренним машинам и портам. Это основа для работы практически всех домашних и корпоративных сетей.</li>

40 <li>Управление приоритетами через QoSХотите, чтобы VoIP-трафик шёл быстрее, чем фоновые обновления? iptables поддерживает метки и классификацию трафика, что позволяет реализовать управление приоритетами (Quality of Service). Это особенно полезно в системах с ограниченной пропускной способностью, где важно обеспечить стабильность критичных сервисов.</li>

41 <li>Изменение заголовков пакетовБлагодаря таблице mangle, iptables даёт возможность переписывать отдельные поля в заголовках IP-пакетов - например, менять TTL, маркировать трафик, настраивать маршруты по политике (policy routing) и многое другое. Это уже тонкая инженерия, но она даёт полный контроль над тем, как ваш трафик ведёт себя внутри сети.</li>

42 </ul>Прежде чем переходить к более сложным функциям - таким как NAT или QoS, - важно чётко понимать,как работает фильтрация трафика на базовом уровне. Именно с этого начинается настройка firewall: с понимания разницы междуstatelessиstatefulфильтрацией. От этого зависит, насколько точно вы сможете управлять входящими и исходящими соединениями.

43 <h3>Stateless и stateful фильтрация: в чём разница?</h3>

44 Stateless-фильтрация- это самый базовый уровень проверки. Она работает с каждым пакетом по отдельности, не вникая в контекст. Если в правиле указан IP, порт или протокол - iptables просто сверяет входящий пакет с этими условиями и сразу принимает решение: пропустить или отклонить. Это быстро и просто, но не даёт представления о том, к какому соединению относится пакет и в каком он состоянии.

45 Stateful-фильтрацияидёт дальше. Она отслеживает полную картину соединения: знает, был ли установлен сеанс, какие пакеты уже прошли, и ожидается ли ответ. Благодаря встроенномумеханизму отслеживания состояний (connection tracking), iptables может отличать новые соединения от уже существующих и автоматически блокировать подозрительный трафик. Например, можно разрешить входящие ответы только на исходящие соединения, а всё остальное - отбрасывать.

46 Теперь подробнее поговорим о правилах и из чего они состоят

47 <h4>Правила (Rules)</h4>

48 В iptables всё строится на правилах - они задают конкретные условия обработки пакетов. Каждое правило - это своего родаинструкция для ядра Linux, объясняющая, что делать с пакетом, если он соответствует определённым признакам.

49 Структура любого правила включает три ключевых компонента:

50 1. Критерий (условие)Это то, по чему система будет "опознавать" нужный трафик. В качестве критериев можно использовать:

51 <ul><li>IP-адрес источника (-s 192.168.1.10)</li>

52 <li>IP-адрес назначения (-d 10.0.0.1)</li>

53 <li>Порт (-dport 22)</li>

54 <li>Протокол (-p tcp, -p udp)</li>

55 <li>Интерфейс (-i eth0, -o eth1)</li>

56 <li>Состояние соединения (-state NEW, ESTABLISHED, RELATED)</li>

57 </ul>Вы можете комбинировать сразу несколько условий, чтобы точно задать, какой трафик нужно обрабатывать.

58 2. Действие (target)Когда критерий совпал, iptables должен выполнить какое-то действие. Это и есть "решение" правила. Основные варианты:

59 <ul><li>ACCEPT - пропустить пакет</li>

60 <li>DROP - молча отбросить</li>

61 <li>REJECT - отклонить с уведомлением</li>

62 <li>LOG - записать в лог (но не блокировать)</li>

63 <li>RETURN - вернуться к предыдущей цепочке</li>

64 <li>Специальные действия, например DNAT, SNAT, MASQUERADE - для работы с NAT</li>

65 </ul>3. СчётчикУ каждого правила есть встроенный счётчик: он показывает, сколько раз правило сработало - сколько пакетов (и байт) оно обработало. Это удобно для отладки, мониторинга и понимания, какие правила действительно задействованы в работе.

66 <h4>Пример: блокировка SSH-доступа</h4>

67 Допустим, вы хотите заблокировать доступ к серверу по SSH (порт 22). Пример простого правила:

68 iptables -A INPUT -p tcp --dport 22 -j DROP

69 Что здесь происходит:

70 <ul><li>-A INPUT - добавляем правило в цепочку входящих соединений</li>

71 <li>-p tcp - фильтруем TCP-пакеты</li>

72 <li>-dport 22 - применяем только к трафику, идущему на порт 22</li>

73 <li>-j DROP - действие: отбросить пакет</li>

74 </ul>Результат: любое входящее подключение по SSH будет тихо отклонено, без ответа. Удобно, если вы хотите закрыть доступ без лишнего шума.

75 (В конце статьи вы найдёте таблицу синтаксиса для iptables с подробным описанием действий)

76 <h3>Цепочки (Chains)</h3>

77 Чтобы iptables знал, когда и где применять определённые правила, все они объединяются вцепочки. Цепочка - этонабор последовательных условий, через которые поэтапно проходит каждый сетевой пакет. В зависимости от того, на каком этапе обработки находится пакет, он попадает в одну из цепочек.

78 Цепочки бывают двух типов:

79 <ul><li>Базовые (встроенные)- всегда присутствуют по умолчанию </li>

80 <li>Пользовательские (custom)- создаются вручную пользователем для логической группировки</li>

81 </ul><h4>INPUT</h4>

82 Обрабатываетвсе входящие пакеты, направленныенепосредственно на этот хост.Если ваш сервер получает SSH-соединение, HTTP-запрос или пинг - этот трафик проходит через цепочку INPUT.

83 Пример: разрешить входящие соединения на порт 443 (HTTPS):

84 iptables -A INPUT -p tcp --dport 443 -j ACCEPT

85 <h4>OUTPUT</h4>

86 Отвечает завсе исходящие пакеты, которыеотправляет сам хост.Например, когда сервер делает запрос к внешнему API или скачивает обновления - эти пакеты проходят через OUTPUT.

87 Пример: запретить серверу отправлять любые DNS-запросы:

88 iptables -A OUTPUT -p udp --dport 53 -j DROP

89 <h4>FORWARD</h4>

90 Используется длятранзитного трафика, который проходитчерез хост, но не предназначен ему напрямую.Актуально, если сервер используется как роутер или NAT-шлюз. Всё, что перенаправляется - идёт через FORWARD.

91 Пример: разрешить форвардинг трафика между двумя интерфейсами:

92 iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

93 <h4>PREROUTING</h4>

94 Эта цепочка применяетсядо маршрутизации, то есть до того, как ядро определит, куда направить пакет.Обычно используется дляизменения адреса назначения (DNAT). Полезно, если вы перенаправляете внешний трафик на внутренние ресурсы.

95 Пример: перенаправить HTTP-запросы на внутренний сервер:

96 iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.1.100:80

97 <h4>POSTROUTING</h4>

98 Срабатываетпосле маршрутизации, перед тем как пакет покинет интерфейс.Используется длямаскарадинга (MASQUERADE)или изменения адреса источника (SNAT) - чтобы сервер подставлял нужный внешний IP.

99 Пример: скрыть локальные IP-адреса за внешним интерфейсом:

100 iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

101 Каждая цепочка обрабатывает пакеты строгов своей зоне ответственности, и важно правильно выбирать, куда вы добавляете правило. Ошибка в выборе цепочки может привести к тому, что правило не сработает, даже если оно написано корректно.

102 Все правила и цепочки в iptables не существуют сами по себе - они сгруппированы внутритаблиц. О них и поговорим ниже.

103 Таблицы (Tables)

104 Таблица - это логический контейнер, определяющийцель обработки трафика. В зависимости от задачи (фильтрация, трансляция, модификация и т.д.), iptables применяет соответствующую таблицу.

105 Каждая таблица содержитсвои цепочки, и в одном правиле обязательно нужно понимать, в какой таблице вы работаете.

106 Вот основные таблицы, которые используются на практике:

107 filter

108 Этоосновная и самая часто используемая таблица. Именно она отвечает за принятие решений:пропускать, отклонять или блокировать трафик.

109 Если вы не указываете таблицу вручную, iptables по умолчанию работает именно с filter.Цепочки внутри: INPUT, OUTPUT, FORWARD.

110 Пример:

111 iptables -A INPUT -p tcp --dport 22 -j ACCEPT

112 <h4>nat</h4>

113 Таблица для настройкисетевой трансляции адресов (Network Address Translation).Используется при перенаправлении портов, подмене исходного или конечного адреса. Без nat не обойтись при создании шлюзов, маршрутизаторов, прокси и организации доступа из внешнего мира к внутренним сервисам.

114 Цепочки внутри: PREROUTING, POSTROUTING, OUTPUT.

115 Типичные действия:

116 <ul><li>SNAT - подмена источника</li>

117 <li>DNAT - подмена назначения</li>

118 <li>MASQUERADE - маскарадинг (динамический SNAT)</li>

119 </ul>iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

120 <h4>mangle</h4>

121 Эта таблица предназначена дляглубокой настройки пакетов. Она позволяет модифицировать заголовки, маркировать трафик и использовать эти метки для дальнейшей маршрутизации или приоритизации.

122 Используется при настройкеQoS, сложных схем маршрутизации, балансировке нагрузки и firewall’ах с политиками.

123 Цепочки внутри: PREROUTING, OUTPUT, INPUT, FORWARD, POSTROUTING.

124 Пример:

125 iptables -t mangle -A PREROUTING -p tcp --dport 80 -j MARK --set-mark 1

126 <h4>raw</h4>

127 Специализированная таблица, котораяработает до включения механизма отслеживания соединений (connection tracking). Используется, если нужноисключить определённые пакеты из stateful-фильтрации, либо настроить приоритет обработки вручную.

128 Цепочки внутри: PREROUTING, OUTPUT.

129 Пример:

130 iptables -t raw -A PREROUTING -p icmp -j NOTRACK

131 <h4>security</h4>

132 Редко используемая таблица, связанная сметками SELinux. Она применяется для реализациидополнительных политик безопасности на уровне ядра. Используется в специализированных окружениях, где настроен SELinux и нужны ограничения доступа к ресурсам на основе контекста безопасности.

133 Цепочки внутри: INPUT, OUTPUT, FORWARD.

134 <h3>Как выбрать нужную таблицу?</h3>

135 <ul><li>Если нужно просто разрешить или запретить трафик - используйтеfilter</li>

136 <li>Хотите настроить переадресацию или NAT - используйтеnat</li>

137 <li>Нужно пометить трафик или изменить заголовки - беритеmangle</li>

138 <li>Хотите исключить соединение из трекинга - подходитraw</li>

139 <li>Работаете с SELinux - используйтеsecurity</li>

140 </ul>Правильный выбор таблицы - это залог того, что правило сработает так, как вы задумали. Поэтому всегда начинайте с вопроса:какой эффект вы хотите получить?- и уже от этого отталкивайтесь при выборе таблицы и цепочки.

141 Теперь, когда вы понимаете, как работаютцепочкии в какиетаблицыони сгруппированы, пора разобраться с тем,что именно делает iptables, когда пакет соответствует заданному правилу. На этом этапе в дело вступаютдействия, или по-другому -targets.

142 <h2>Действия (Targets)</h2>

143 Каждое правило в iptables заканчивается действием - это команда, которую ядро должно выполнить, если пакет прошёл все фильтры и условия правила. Именнодействие определяет судьбу пакета: разрешить, заблокировать, переадресовать или просто записать в лог.

144 Вот основные типы действий, которые вы будете использовать чаще всего:

145 <h4>ACCEPT</h4>

146 Пропустить пакет дальше по стеку, как ни в чём не бывало. Это означает, что пакет прошёл проверку и может быть доставлен приложению или передан дальше по маршруту.Используется для разрешения трафика.

147 Пример:разрешить входящие соединения на порт 80:

148 iptables -A INPUT -p tcp --dport 80 -j ACCEPT

149 <h4>DROP</h4>

150 Молча отбросить пакет. Никаких уведомлений, никаких ICMP-ответов - пакет просто исчезает. Это самый строгий и "тихий" способ блокировки. Особенно полезен при защите от сканеров и брутфорса.

151 Пример:заблокировать пинг:

152 iptables -A INPUT -p icmp -j DROP

153 <h4>REJECT</h4>

154 Отбросить пакет, ноуведомить отправителя, что соединение запрещено. В зависимости от протокола, может вернуться ICMP-сообщение или TCP RST. Используется, если хотите вести себя вежливо и явно показать, что соединение не разрешено.

155 Пример:отклонить вход по Telnet с уведомлением:

156 iptables -A INPUT -p tcp --dport 23 -j REJECT

157 <h4>LOG</h4>

158 Не влияет на прохождение пакета - просто записывает информацию о нём в системный журнал (/var/log/syslog или journalctl). Это удобно для мониторинга, отладки и анализа трафика. Часто используется вместе с DROP.

159 Пример:логировать все SSH-подключения:

160 iptables -A INPUT -p tcp --dport 22 -j LOG --log-prefix \"SSH attempt: \"

161 <h4>QUEUE</h4>

162 Передаёт пакет в пользовательское пространство - например, для обработки с помощью nfqueue или других внешних приложений. Это используется редко, но полезно в сложных конфигурациях, например, при интеграции с антивирусами, IDS/IPS или кастомной логикой.

163 <h4>RETURN</h4>

164 Прекращает выполнение текущей цепочки ивозвращает управлениев предыдущую (например, в базовую). Полезно при использованиипользовательских цепочек, когда вы хотите завершить их выполнение и передать обработку дальше.

165 <h3>Особые targets (для таблицыnat):</h3>

166 <h4>DNAT</h4>

167 Изменяет адрес назначения пакета. Используется в PREROUTING для переадресации внешнего трафика на внутренние сервисы.

168 Пример:перенаправить порт 80 на внутренний сервер:

169 iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 192.168.1.10:8080

170 <h4>SNAT</h4>

171 Изменяет адрес источника. Применяется в POSTROUTING, когда вы хотите, чтобы внешний мир видел другой IP-адрес, например, IP-шлюза.

172 Пример:подменить исходящий адрес:

173 iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 203.0.113.1

174 <h4>MASQUERADE</h4>

175 Вариант SNAT, которыйавтоматически подставляет внешний IP интерфейса. Удобен, когда IP динамический (например, при подключении через PPPoE или мобильный интернет).

176 Пример:маскарадинг для всей локальной сети:

177 bash

178 Копировать код

179 iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

180 Каждое действие играет свою роль в цепочке принятия решений. И чем точнее вы их используете - тем эффективнее работает ваш firewall. Главное - не путать контексты: ACCEPT и DROP работают в таблице filter, а SNAT и DNAT - только в nat.

181 Ну а теперь давайте закрепим на практике - как же использовать всю полученную информацию и какправильно составить правило в iptables?

182 Каждое правило в iptables строится по одному и тому же принципу:определить условия(фильтры) иназначить действие. Чем точнее вы зададите параметры - тем эффективнее будет защита или обработка трафика.

183 Вот пример:Допустим, вы хотитезаблокировать доступ к веб-серверу на порту 80 от конкретного IP-адреса- например, от 192.168.2.2.

184 iptables -A INPUT -p tcp -s 192.168.2.2 --dport 80 -j DROP

185 Давайте разберем по частям что здесь указано:

186 <ul><li>-A INPUTДобавляем правило вцепочку INPUT, то есть это правило будет применяться ко всем входящим соединениям, направленным к самому хосту.</li>

187 <li>-p tcpУказываем протокол - в данном случаеTCP, потому что HTTP работает поверх TCP.</li>

188 <li>-s 192.168.2.2ЭтоIP-адрес источника. Мы фильтруем только пакеты, отправленные с этого адреса.</li>

189 <li>-dport 80Порт назначения -80, стандартный порт для HTTP. То есть правило будет применяться только к трафику, направленному к веб-серверу.</li>

190 <li>-j DROPДействие:отбросить пакет. Клиент не получит ответа, соединение будет просто прервано.</li>

191 </ul>Если вы хотите отменить действие правила - не редактируйте его вручную. Вместо этого используйтетот же синтаксис, но замените -A (append) на -D (delete):

192 iptables -D INPUT -p tcp -s 192.168.2.2 --dport 80 -j DROP

193 Это удалит ранее добавленное правило. Именно поэтому важнодокументировать правила или сохранять их в файл- чтобы потом было легко откатить изменения.

194 Писать правила - несложно, если вы понимаете структуру и порядок аргументов. Но чтобы делать это уверенно и без ошибок, важно знатьосновной синтаксис iptables- какие ключи использовать, за что они отвечают, и как задаются условия фильтрации

195 <h3>Синтаксис iptables: ключи и параметры</h3>

196 Команда iptables строится по принципу:таблица → цепочка → условия → действие.

197 Чаще всего таблица по умолчанию - filter, и её можно не указывать. Но остальные элементы всегда задаются явно.

198 Ниже -основные ключи, которые используются для управления правилами:

199 КлючНазначение-AДобавить правило в конец цепочки-DУдалить правило из цепочки-IВставить правило в начало цепочки или по индексу-RЗаменить правило по номеру-FОчистить цепочку (удалить все правила)-PЗадать политику по умолчанию для цепочки (ACCEPT/DROP)<h4>Опции фильтрации трафика</h4>

200 Именно с помощью этих ключей вы описываетеусловия, по которым iptables будет определять, какому правилу соответствует пакет:

201 ОпцияНазначение`-p tcpudp-sIP-адрес источника-dIP-адрес назначения-iВходной сетевой интерфейс (например, eth0)-oВыходной сетевой интерфейс-dportПорт назначения (например, -dport 80 для HTTP)-sportПорт источника-jДействие, которое нужно выполнить (ACCEPT, DROP, LOG и т.д.)Подведем итоги:

202 В этой статье мы разобрали:

203 <ul><li>Что такое iptables и зачем он нужен</li>

204 <li>Разницу между stateless- и stateful-фильтрацией</li>

205 <li>Основы: как устроены правила, цепочки и таблицы</li>

206 <li>Какие действия (targets) применяются к пакетам</li>

207 <li>Как писать и редактировать правила</li>

208 <li>Как работает синтаксис, ключи и параметры</li>

209 </ul>Чем вам помогут эти навыки?

210 <ul><li>Эффективно строить правила для защиты серверов и сетей</li>

211 <li>Отлаживать и тестировать настройки без риска "запороть" соединение</li>

212 <li>Быстро реагировать на сетевые угрозы - от DDoS до нежеланных сканеров</li>

213 <li>Понимать, где и как в системе проходит каждый сетевой пакет</li>

214 </ul>iptables - это инструмент, который действительно стоит освоить. Даже базовое владение позволяет существенно повысить уровень защиты и стабильности работы Linux-сервера. А по мере роста компетенций вы сможете выстраивать более сложные схемы маршрутизации, балансировки, фильтрации и приоритезации трафика.

215 Если вы хотите идти глубже - изучите nftables, firewalld или настройку fail2ban в связке с iptables. Но именно iptables остаётся классикой и фундаментом, с которого стоит начать.

216