Как очистить все правила iptables

Сброс правил в IPtables

Для того, чтобы остановить действие правил IPtables в Linux VPS, можно использовать несколько способов. Для работы каждого из них необходимо подключение к серверу по SSH с правами root.

Остановка работы IPtables

Остановить службу можно командами:

В дополнение к вышеуказанным командам можно убрать IPtables из автозагрузки командой:

Создание скрипта для сброса правил

Данный вариант скрипта снимает все ограничения в IPtables на прием или отправку любых пакетов.

В директории /root создаем файл, например, с именем iptables-drop.sh

Открываем файл любым текстовым редактором, например, nano:

Копируем в файл следующий текст:

Сохраняем изменения сочетанием клавиш CTRL+O и выходим из Nano командой CTRL+X

Разрешаем файл на исполнение:

Запускаем файл скрипта для сброса правил:

Результат работы этого файла можно посмотреть путем вывода итогового списка существующих правил в IPtables при помощи команды:

После выполнения команды будет выведен следующий результат, подтверждающий отсутствие правил:

Примечание: Внесенные скриптом изменения остаются в силе до перезагрузки VPS или IPtables. В случае выполнения перезагрузки необходимо вновь запустить файл скрипта, чтобы исходные правила были сброшены.

Как удалить проброс порта?

собственно сделал проброс но ошибся,заместо -d указал -s, как теперь его удалить?

повтори ошибочную команду, только замени -A на -D.

спс. помогло. А не могли бы пояснить? вот делаю проброс Sudo iptables –t nat –A POSTROUTING –d XXX.XXX.XXX.XXX –p tcp –dport 443 –j SNAT –to-source 192.168.10.1

просматриваю вроде все правильно, но моя запись отличается от других записей все другие правила имеют вид(tcp dpt:993 ctstate DNAT to:192.168.10.1), а у меня просто tcp dpt:993 to:192.168.10.1

Посмотри исходные правила выполнив iptables-save

А не могли бы пояснить?

Я конечно не телепат, но мне кажется ты путаешь SNAT и DNAT. Что бы пояснить, подробно распиши задачу.

ой. млиин, буду читать маны, чето таам вообще столько всего.

есть шлюз с двумя сетевыми картами, одна на внешник, вторая внутренняя, нужно пробросить порты для exchange

Это звучит примерно так. У машины есть передний и задний привод, нужно завести мотор.

сделал вот так Sudo iptables –t nat –A Prerouting –I eth1 –d XXX.XXX.XXX.XXX –p tcp –dport 443 –j DNAT –to-destination 192.168.10.13 Sudo iptables –t nat –A POSTROUTING –d 192.168.10.13 –p tcp –dport 443 –j SNAT –to-source 192.168.1.1

проcматриваю правила на всех правилах стоит (tcp dpt:993 ctstate DNAT to:неважно какой) ctstate , у меня просто tcp dpt:993 to:192.168.10.1

шлюз 2 сетевые карты(ext:XXX.XXX.XXX.XX , int: 192.168.10.1машина в сети с почтой(192.168 10.13) нужно пробросить порты почтовые чтобы почта ходила

Вот, век живи — век учись! А я это «чинил» перезапуском iptables. Позор мне!

IPTABLES — как удалить правило (НЕ ЦЕПОЧКУ!, а именно правило в цепочке)

ВОТ есть у меня правило типа

iptabes -A FORWARD -i eth10 -o eth11 -s 172.0.0.1/255.255.255.255 -m mac 00:01:02:03:04:05 -j ACCEPT

ВОТ КАК ЕГО УДАЛИТЬ, и при этом
не тронуть все остальные цепочки.

Re: IPTABLES — как удалить правило (НЕ ЦЕПОЧКУ!, а именно правило в цепочке)

а ты дядька читал то ман или статейку какую про таблицы а? удалять можно по разному 1- вместо A -D 2- по номеру правила короче читай iptables tutorial — воспользуйся поиском по сайту -найдёшь описание на русише

или о номеру -или
iptables -D и повторить все то что было при -A

Сброс iptables

Ребят подскажите, я тут намудрил, на сервере который админю, ерунды, что он теперь дропает инком и передеплой не сделать, как мне откатить настройки iptables в дефолтные? т.е. те что я стояли при установке?(или те которые были до последнего изменения конфигурации) Ключ -F стирает все настройки как я понял(а этого категорически нельзя делать, ибо продакшн, личные данные клиентов и так далее, вообщем запрещено).

Ключ -F стирает только заданные цепочки правил. Какие данные клиентов, вы о чем?

Про данные это касательно того, что сервер защищенная область и не должен быть подвергнут риску из-за отсутствия фаервола, так в должносной инструкции написано, не суть важно.

А можно ли скопировать конфиги iptables из другой машины на которой они настроены корректно?

У тебя нет доступа к серверу? Напиши хостеру.

И что там фаерволлом было закрыто? Не вижу смысла закрывать что-либо, кроме ssh, все необходимые сервисы можно просто забиндить на локалхост.

Black_Shadow и ты еще докапывался до «ыдмина» не умеющего в vi ?

можете конечно скопировать, iptables —list/—list-rules можете удалить лишние правила —delete -D chain rulenum Delete rule rulenum (1 = first) from chain

как мне откатить настройки iptables в дефолтные?

Дефолтные есть в пакете с iptabeles, скачай пакет, распакуй и найди там файл с правилами, примени.

Не видишь смысла? В самбе и в телнете тоже?

Если развлекались исключительно набором команд «iptables ключи» и не ребутали сервак, то возможно спасет iptables-restore

В самбе и в телнете тоже?

А зачем они нужны на сервере? 🙂

И самбу можно забиндить на нужный адрес, да.

Вот же, оказывается есть функционал по откату iptables!

Не вижу смысла закрывать что-либо, кроме ssh, все необходимые сервисы можно просто забиндить на локалхост.

Старая песня о главном. Начнем с простого. Что-то ставили, забыли, порт открыт. Сложнее. Юзер что-то поставил, порт открыт. Еще сложнее. Не все демоны умеют слушать в несколько ip, т.е. или один ip или 0.0.0.0, бинд по интерфейсу (т.е. когда вы в том же netstat увидите несколько строк с 0.0.0.0) так же не все умеют.
Правило fw одно, все что не разрешено должно быть запрещено и точка! А дальше по демонам можно извращаться как хочеш, отдельными-интерфейсами/ip/etc.

Нет какого функционала как такового, все это дистроспецифично.
А папе передай что тебя больше на работу с собой не брал. И брысь делать домашку.

Что-то ставили, забыли, порт открыт

Если у тебя есть привычка что-то ставить на продакшн сервере, а потом забывать об этом, то это само по себе проблема.

Юзер что-то поставил, порт открыт

Логичнее и полезнее заставлять своих юзеров держать ответственность за их действия, чем защищаться от них фаерволлом.

Не все демоны умеют слушать в несколько ip

Ну хорошо, их тоже можно закрыть. Но фаерволл — не панацея от безалаберных и криворуких юзеров.

Если у тебя есть привычка что-то ставить на продакшн сервере, а потом забывать об этом,

«Что-то» может быть «чем угодно», то что прямо сейчас временно надо, снести в запарке забыли. Далее вы не один админ, другой поставил и забил.
Рассуждать на эту тему можно долго. Но не лучше ли когда УЖЕ закрыто? Попробуйте привести хоть один контраргумент?
Сам никс всегда выгодно отличался от офтопа политикой «запрещено» а не «разрешено».

Логичнее и полезнее заставлять своих юзеров держать ответственность за их действия

Ну давайте еще «бумажками обложимся» и если че, то — «это не я, как админ виноват, это юзвер виноват, вот бумажка»

Ну хорошо, их тоже можно закрыть. Но фаерволл — не панацея от безалаберных и криворуких юзеров.

Защита, если она не мешает как «тяжелый пехотный бронежелет при дайвинге», лишней быть не может.

как отключить iptables

как их вырубить чтобы их небыло? (только на время этого сеанса конечно)
#sbin/iptables service stop
#rmmod ip_tables
#rmmof iptables

ну нихрена не срабатывает

Сервис остарнавливается командой
service iptables stop

bash: service: command not found
система debian 3.1

А man iptables не пробовали?

удалит все цепочки, так что все пакеты пройдут.

Но это для моего дистрибутива.

для вашего не знаю, так как его название вы не умудрились сообщить.

> #rmmod ip_tables
> #rmmof iptables

Смотреть lsmod и вырубать модули которые действительно активны.
Но на самом деле достаточно удалить все правила из всех таблиц:
# iptables -t nat -F
# iptables -t filter -F
# iptables -t mangle -F

Потому что в debian нет такой команды.

Смотри в своем /etc/rc.d название и по названию:

> а нафига
посмотри тему про proftpd — это тоже моя.
Я уже просто не знаю что бы такое сотворить.
аот и хочу iptables вырубить хотя 21 open

в смысле тот который 2 темы назад

Re: как отключить iptables

iptables -A INPUT -p tcp -dport 20 -j ACCEPT
iptables -A INPUT -p tcp -dport 21 -j ACCEPT
iptables -A OUTPUT -p tcp -sport 20 -j ACCEPT
iptables -A OUTPUT -p tcp -sport 21 -j ACCEPT

iptables -A INPUT -p udp -dport 20 -j ACCEPT
iptables -A INPUT -p udp -dport 21 -j ACCEPT
iptables -A OUTPUT -p udp -sport 20 -j ACCEPT
iptables -A OUTPUT -p udp -sport 21 -j ACCEPT

P.S. Можно писать не так занудно, забыл -m multiport, что ли, и порты через запятую:

iptables -A INPUT -p udp -m multiport -dport 20,21 -j ACCEPT

В Debian iptables по умолчанию вообще выключен, и инит-скриптов для него нету, самому надо делать.

Не, так зачем мне его открывать? Он итак открыт. По крайней мере nmap говорит что 21 open

все равно решил попробовать: #iptables -A INPUT -p tcp -dport 20 -j ACCEPT , а он мне: Bad argument `20′ Try `iptables -h’ or ‘iptables —help’ for more information.

Сработало по примеру:
iptables -A INPUT -p tcp —dport 21 -j ACCEPT

Но все равно: с моего же компа (там где сам сервер работает) заходит, с остальных — ни гу-гу (timeout, типа нету такого).

linux-notes.org

сбросить или удалить все Iptables правила

Вы можете создать сценарий таким образом и использовать его, чтобы остановить или flush (сбросить) IPtables правила. Я в своей новой статье «сбросить или удалить все Iptables правила» приведу несколько скриптов по сбросу к стандартным правилам или удалению всех правил, но вы можете выбирать любой из них =)

Правила лежат в файле:

Выполняем проверку на наличие wget и vim в нашей ОС:

1. Сбрасываем все Iptables правила

Можно добавить в кронтаб и использовать в случае чего.

2. Удаляем все Iptables правила и делаем стандартный конфиг.

Создаем скрипт для сброса, для этого:

Если нужно ознакомится или прочитать данный скрипт, то можно это сделать ТУТ.

Назночим права на файл (скрипт):

Создадим cronjon для сброса текущей конфигурации и допустим выставим ее для сброса,каждые 5 минут, введите:

Добавьте следующие параметры:

Работа с правилами в командной строке

Запустите команду в терминале:

Как посоветовал мой знакомый, хороший и с хорошим опытом человек-админ — @nitr0gear и показал еще 1 метод, который я приведу ниже:

Синтаксис у команды «at» такой»:

at hh:mm, у меня установлен параметр на 15 и через 15 минут все правила IPtables сбросятся в стандартные. Но более подробно о данной утилите я расскажу попозже.

После успешного сброса и тестов, Вы можете удалить его из крона. А на этом, я завершаю свою тему «сбросить или удалить все Iptables правила».

Удалить iptables правило

В своей статье «Удалить iptables правило» я хочу рассказать как можно удалять правила с iptables. На наглядных примерах, я покажу как пользоваться iptables на вашем сервере.

Вывести правила.

Для начала смотрим какие правила и цепочки у нас имеются:

Праметры:
-L — Вывести все правила.
-n — Отображать IP адрес с портом в числах (не используя DNS сервера для определения имен. Ускоряет отображение).

можно еще использовать параметр
-v — Данная опция, выводит дополнительную информацию. Этот параметр показывает имя интерфейса, его опции, TOS маски, отображает суффиксы ‘K’, ‘M’ or ‘G’.

Так же можно вывести список правил с нумерацией строк:
—line-numbers — вывод пронумерованных правил.

Удалить правила файрвола.

Для цепочки INPUT.

Можно просмотреть правила для конкретной цепочки:

Можно удалить и по-другому, если знаете IP адрес источника:

Для цепочки POSTROUTING.

Чтобы удалить используем:

Можно удалить и по-другому, если знаете IP адрес:

Для цепочки OUTPUT.

Выполняем поиск удобным для вас способом:

Например, нужно удалить порт с правил iptables, можно сделать это так:

Тема «Удалить iptables правило» подошла к завершению.

Смотрите так же:

  • Разрешение в консоли linux Изменение разрешения экрана и шрифтов в консоли Ubuntu Иногда, особенно при настройке сервера, работа в консоли Linux Ubuntu, мягко говоря, не совсем удобна – разрешение экрана по умолчанию 640х480 при убогом шрифте 16-го размера. Это изрядно […]
  • Правило умножение степеней с разными основаниями Сложение, вычитание, умножение, и деление степеней Сложение и вычитание степеней Очевидно, что числа со степенями могут слагаться, как другие величины , путем их сложения одно за другим со своими знаками. Так, сумма a 3 и b 2 есть a 3 + b 2 . Сумма a 3 - b n […]
  • Правила прямоугольного параллелепипеда Параллелепипед формулы Параллелепипед – это многогранник с 6 гранями, каждая из которых является параллелограммом. Прямоугольный параллелепипед – это параллелепипед, каждая грань которого является прямоугольником. Любой параллелепипед характеризуется 3 […]
  • Тригонометрические уравнения правила Алгебра – 10 класс. Тригонометрические уравнения Урок и презентация на тему: "Решение простейших тригонометрических уравнений" Дополнительные материалы Уважаемые пользователи, не забывайте оставлять свои комментарии, отзывы, пожелания! Все материалы […]
  • Разрешения diablo 2 ruslanataev Diablo 2 Патч Разрешение Экрана Полезные файлы Diablo 2 Lo. D, Формулы и рецепты Diablo 2 и Diablo 2 Lo. DФормулы и рецепты Diablo 2 и Diablo 2 Lo. D. Файлы с последними рецептами и формулами Diablo 2 и Diablo 2 Lo. D. MPQMaster - менеджер […]
  • Андроид пособие Здравствуйте. Сегодня на глаза попался пост о курсе программирования под Android на сайте Linux Foundation, а вместе с ним — и немало комментариев о том, что хотелось бы видеть и перевод этих уроков. Поскольку я сейчас, после четырех лет разработки под […]
  • Бакаев аа Система профилактики правонарушений несовершеннолетних Бакаев аа Система профилактики правонарушений несовершеннолетних Источник: Электронный каталог отраслевого отдела по направлению «Юриспруденция» (библиотеки юридического факультета) Научной библиотеки им. М. Горького СПбГУ С51Б19 Бакаев, А. А. Система […]
  • Плательщик единого налога 3 группы с ндс Единый налог - 3 группа (2018) Смотрите Часто задаваемые вoпросы о 3 группе Основные ограничения с 2016 года (актуальны и в 2018 году): 1) годовой лимит дохода - дo 5 000 000 гpивен (было в 2015 гoду 20 000 000 гривен). 3) лимита наемных работников НЕТ. 3 […]