Как очистить все правила iptables

Сброс правил в IPtables

Для того, чтобы остановить действие правил IPtables в Linux VPS, можно использовать несколько способов. Для работы каждого из них необходимо подключение к серверу по SSH с правами root.

Остановка работы IPtables

Остановить службу можно командами:

В дополнение к вышеуказанным командам можно убрать IPtables из автозагрузки командой:

Создание скрипта для сброса правил

Данный вариант скрипта снимает все ограничения в IPtables на прием или отправку любых пакетов.

В директории /root создаем файл, например, с именем iptables-drop.sh

Открываем файл любым текстовым редактором, например, nano:

Копируем в файл следующий текст:

Сохраняем изменения сочетанием клавиш CTRL+O и выходим из Nano командой CTRL+X

Разрешаем файл на исполнение:

Запускаем файл скрипта для сброса правил:

Результат работы этого файла можно посмотреть путем вывода итогового списка существующих правил в IPtables при помощи команды:

После выполнения команды будет выведен следующий результат, подтверждающий отсутствие правил:

Примечание: Внесенные скриптом изменения остаются в силе до перезагрузки VPS или IPtables. В случае выполнения перезагрузки необходимо вновь запустить файл скрипта, чтобы исходные правила были сброшены.

Как удалить проброс порта?

собственно сделал проброс но ошибся,заместо -d указал -s, как теперь его удалить?

повтори ошибочную команду, только замени -A на -D.

спс. помогло. А не могли бы пояснить? вот делаю проброс Sudo iptables –t nat –A POSTROUTING –d XXX.XXX.XXX.XXX –p tcp –dport 443 –j SNAT –to-source 192.168.10.1

просматриваю вроде все правильно, но моя запись отличается от других записей все другие правила имеют вид(tcp dpt:993 ctstate DNAT to:192.168.10.1), а у меня просто tcp dpt:993 to:192.168.10.1

Посмотри исходные правила выполнив iptables-save

А не могли бы пояснить?

Я конечно не телепат, но мне кажется ты путаешь SNAT и DNAT. Что бы пояснить, подробно распиши задачу.

ой. млиин, буду читать маны, чето таам вообще столько всего.

есть шлюз с двумя сетевыми картами, одна на внешник, вторая внутренняя, нужно пробросить порты для exchange

Это звучит примерно так. У машины есть передний и задний привод, нужно завести мотор.

сделал вот так Sudo iptables –t nat –A Prerouting –I eth1 –d XXX.XXX.XXX.XXX –p tcp –dport 443 –j DNAT –to-destination 192.168.10.13 Sudo iptables –t nat –A POSTROUTING –d 192.168.10.13 –p tcp –dport 443 –j SNAT –to-source 192.168.1.1

проcматриваю правила на всех правилах стоит (tcp dpt:993 ctstate DNAT to:неважно какой) ctstate , у меня просто tcp dpt:993 to:192.168.10.1

шлюз 2 сетевые карты(ext:XXX.XXX.XXX.XX , int: 192.168.10.1машина в сети с почтой(192.168 10.13) нужно пробросить порты почтовые чтобы почта ходила

Вот, век живи — век учись! А я это «чинил» перезапуском iptables. Позор мне!

IPTABLES — как удалить правило (НЕ ЦЕПОЧКУ!, а именно правило в цепочке)

ВОТ есть у меня правило типа

iptabes -A FORWARD -i eth10 -o eth11 -s 172.0.0.1/255.255.255.255 -m mac 00:01:02:03:04:05 -j ACCEPT

ВОТ КАК ЕГО УДАЛИТЬ, и при этом
не тронуть все остальные цепочки.

Re: IPTABLES — как удалить правило (НЕ ЦЕПОЧКУ!, а именно правило в цепочке)

а ты дядька читал то ман или статейку какую про таблицы а? удалять можно по разному 1- вместо A -D 2- по номеру правила короче читай iptables tutorial — воспользуйся поиском по сайту -найдёшь описание на русише

или о номеру -или
iptables -D и повторить все то что было при -A

Сброс iptables

Ребят подскажите, я тут намудрил, на сервере который админю, ерунды, что он теперь дропает инком и передеплой не сделать, как мне откатить настройки iptables в дефолтные? т.е. те что я стояли при установке?(или те которые были до последнего изменения конфигурации) Ключ -F стирает все настройки как я понял(а этого категорически нельзя делать, ибо продакшн, личные данные клиентов и так далее, вообщем запрещено).

Ключ -F стирает только заданные цепочки правил. Какие данные клиентов, вы о чем?

Про данные это касательно того, что сервер защищенная область и не должен быть подвергнут риску из-за отсутствия фаервола, так в должносной инструкции написано, не суть важно.

А можно ли скопировать конфиги iptables из другой машины на которой они настроены корректно?

У тебя нет доступа к серверу? Напиши хостеру.

И что там фаерволлом было закрыто? Не вижу смысла закрывать что-либо, кроме ssh, все необходимые сервисы можно просто забиндить на локалхост.

Black_Shadow и ты еще докапывался до «ыдмина» не умеющего в vi ?

можете конечно скопировать, iptables —list/—list-rules можете удалить лишние правила —delete -D chain rulenum Delete rule rulenum (1 = first) from chain

как мне откатить настройки iptables в дефолтные?

Дефолтные есть в пакете с iptabeles, скачай пакет, распакуй и найди там файл с правилами, примени.

Не видишь смысла? В самбе и в телнете тоже?

Если развлекались исключительно набором команд «iptables ключи» и не ребутали сервак, то возможно спасет iptables-restore

В самбе и в телнете тоже?

А зачем они нужны на сервере? 🙂

И самбу можно забиндить на нужный адрес, да.

Вот же, оказывается есть функционал по откату iptables!

Не вижу смысла закрывать что-либо, кроме ssh, все необходимые сервисы можно просто забиндить на локалхост.

Старая песня о главном. Начнем с простого. Что-то ставили, забыли, порт открыт. Сложнее. Юзер что-то поставил, порт открыт. Еще сложнее. Не все демоны умеют слушать в несколько ip, т.е. или один ip или 0.0.0.0, бинд по интерфейсу (т.е. когда вы в том же netstat увидите несколько строк с 0.0.0.0) так же не все умеют.
Правило fw одно, все что не разрешено должно быть запрещено и точка! А дальше по демонам можно извращаться как хочеш, отдельными-интерфейсами/ip/etc.

Нет какого функционала как такового, все это дистроспецифично.
А папе передай что тебя больше на работу с собой не брал. И брысь делать домашку.

Что-то ставили, забыли, порт открыт

Если у тебя есть привычка что-то ставить на продакшн сервере, а потом забывать об этом, то это само по себе проблема.

Юзер что-то поставил, порт открыт

Логичнее и полезнее заставлять своих юзеров держать ответственность за их действия, чем защищаться от них фаерволлом.

Не все демоны умеют слушать в несколько ip

Ну хорошо, их тоже можно закрыть. Но фаерволл — не панацея от безалаберных и криворуких юзеров.

Если у тебя есть привычка что-то ставить на продакшн сервере, а потом забывать об этом,

«Что-то» может быть «чем угодно», то что прямо сейчас временно надо, снести в запарке забыли. Далее вы не один админ, другой поставил и забил.
Рассуждать на эту тему можно долго. Но не лучше ли когда УЖЕ закрыто? Попробуйте привести хоть один контраргумент?
Сам никс всегда выгодно отличался от офтопа политикой «запрещено» а не «разрешено».

Логичнее и полезнее заставлять своих юзеров держать ответственность за их действия

Ну давайте еще «бумажками обложимся» и если че, то — «это не я, как админ виноват, это юзвер виноват, вот бумажка»

Ну хорошо, их тоже можно закрыть. Но фаерволл — не панацея от безалаберных и криворуких юзеров.

Защита, если она не мешает как «тяжелый пехотный бронежелет при дайвинге», лишней быть не может.

как отключить iptables

как их вырубить чтобы их небыло? (только на время этого сеанса конечно)
#sbin/iptables service stop
#rmmod ip_tables
#rmmof iptables

ну нихрена не срабатывает

Сервис остарнавливается командой
service iptables stop

bash: service: command not found
система debian 3.1

А man iptables не пробовали?

удалит все цепочки, так что все пакеты пройдут.

Но это для моего дистрибутива.

для вашего не знаю, так как его название вы не умудрились сообщить.

> #rmmod ip_tables
> #rmmof iptables

Смотреть lsmod и вырубать модули которые действительно активны.
Но на самом деле достаточно удалить все правила из всех таблиц:
# iptables -t nat -F
# iptables -t filter -F
# iptables -t mangle -F

Потому что в debian нет такой команды.

Смотри в своем /etc/rc.d название и по названию:

> а нафига
посмотри тему про proftpd — это тоже моя.
Я уже просто не знаю что бы такое сотворить.
аот и хочу iptables вырубить хотя 21 open

в смысле тот который 2 темы назад

Re: как отключить iptables

iptables -A INPUT -p tcp -dport 20 -j ACCEPT
iptables -A INPUT -p tcp -dport 21 -j ACCEPT
iptables -A OUTPUT -p tcp -sport 20 -j ACCEPT
iptables -A OUTPUT -p tcp -sport 21 -j ACCEPT

iptables -A INPUT -p udp -dport 20 -j ACCEPT
iptables -A INPUT -p udp -dport 21 -j ACCEPT
iptables -A OUTPUT -p udp -sport 20 -j ACCEPT
iptables -A OUTPUT -p udp -sport 21 -j ACCEPT

P.S. Можно писать не так занудно, забыл -m multiport, что ли, и порты через запятую:

iptables -A INPUT -p udp -m multiport -dport 20,21 -j ACCEPT

В Debian iptables по умолчанию вообще выключен, и инит-скриптов для него нету, самому надо делать.

Не, так зачем мне его открывать? Он итак открыт. По крайней мере nmap говорит что 21 open

все равно решил попробовать: #iptables -A INPUT -p tcp -dport 20 -j ACCEPT , а он мне: Bad argument `20′ Try `iptables -h’ or ‘iptables —help’ for more information.

Сработало по примеру:
iptables -A INPUT -p tcp —dport 21 -j ACCEPT

Но все равно: с моего же компа (там где сам сервер работает) заходит, с остальных — ни гу-гу (timeout, типа нету такого).

linux-notes.org

сбросить или удалить все Iptables правила

Вы можете создать сценарий таким образом и использовать его, чтобы остановить или flush (сбросить) IPtables правила. Я в своей новой статье «сбросить или удалить все Iptables правила» приведу несколько скриптов по сбросу к стандартным правилам или удалению всех правил, но вы можете выбирать любой из них =)

Правила лежат в файле:

Выполняем проверку на наличие wget и vim в нашей ОС:

1. Сбрасываем все Iptables правила

Можно добавить в кронтаб и использовать в случае чего.

2. Удаляем все Iptables правила и делаем стандартный конфиг.

Создаем скрипт для сброса, для этого:

Если нужно ознакомится или прочитать данный скрипт, то можно это сделать ТУТ.

Назночим права на файл (скрипт):

Создадим cronjon для сброса текущей конфигурации и допустим выставим ее для сброса,каждые 5 минут, введите:

Добавьте следующие параметры:

Работа с правилами в командной строке

Запустите команду в терминале:

Как посоветовал мой знакомый, хороший и с хорошим опытом человек-админ — @nitr0gear и показал еще 1 метод, который я приведу ниже:

Синтаксис у команды «at» такой»:

at hh:mm, у меня установлен параметр на 15 и через 15 минут все правила IPtables сбросятся в стандартные. Но более подробно о данной утилите я расскажу попозже.

После успешного сброса и тестов, Вы можете удалить его из крона. А на этом, я завершаю свою тему «сбросить или удалить все Iptables правила».

Удалить iptables правило

В своей статье «Удалить iptables правило» я хочу рассказать как можно удалять правила с iptables. На наглядных примерах, я покажу как пользоваться iptables на вашем сервере.

Вывести правила.

Для начала смотрим какие правила и цепочки у нас имеются:

Праметры:
-L — Вывести все правила.
-n — Отображать IP адрес с портом в числах (не используя DNS сервера для определения имен. Ускоряет отображение).

можно еще использовать параметр
-v — Данная опция, выводит дополнительную информацию. Этот параметр показывает имя интерфейса, его опции, TOS маски, отображает суффиксы ‘K’, ‘M’ or ‘G’.

Так же можно вывести список правил с нумерацией строк:
—line-numbers — вывод пронумерованных правил.

Удалить правила файрвола.

Для цепочки INPUT.

Можно просмотреть правила для конкретной цепочки:

Можно удалить и по-другому, если знаете IP адрес источника:

Для цепочки POSTROUTING.

Чтобы удалить используем:

Можно удалить и по-другому, если знаете IP адрес:

Для цепочки OUTPUT.

Выполняем поиск удобным для вас способом:

Например, нужно удалить порт с правил iptables, можно сделать это так:

Тема «Удалить iptables правило» подошла к завершению.

Смотрите так же:

  • Законы идеального газа дальтона Изопроцессы идеального газа – процессы, при которых один из параметров остаётся неизменным. 1. Изохорический процесс. Закон Шарля. V = const. Изохорическим процессом называется процесс, протекающий при постоянном объёме V. Поведение газа при этом […]
  • Панов правило крови Название:Правила крови Автор: Вадим Панов Жанр:Боевая фантастика Серия:Тайный город ISBN: 978-5-699-36814-3 Страниц:112 Перевод:- Издательство:Эксмо Год:2009 Электронная книга Книга, которую Вы держите в руках, необычна. Это не […]
  • Приказ на квоты 2018 Разрешение на работу: квоты 2018 – распределение квот на выдачу разрешений на работу и приглашений визовым иностранцам на 2018 год Разрешение на работу — это документ, подтверждающий право визовых иностранцев на работу на территории РФ. Для получения […]
  • Расчет пособия до 15 лет в 2013 году пример Калькулятор для онлайн расчета пособия по уходу за ребенком до 1.5 лет Калькулятор позволяет в онлайн режиме провести расчет пособия по уходу за ребенком до 1.5 лет. Обратите внимание, результат расчета не должен быть меньше, чем 3065,69 руб. и больше, чем […]
  • Возврат 13 от лечения зубов Все о том, как вернуть 13 процентов за лечение зубов через налог Наверное, многие люди согласятся с тем, что лечить зубы предпочтительнее в платной клинике, так как оборудование в них намного современнее, чем в обычных поликлиниках. Но такое лечение может […]
  • Оплата налога сколько Оплата налогов с сайта ФНС через «Сбербанк Онлайн» Для оплаты налогов и других сборов необходимо зарегистрироваться на сайте Федеральной налоговой службы. Для оплаты налогов и других сборов необходимо зарегистрироваться на сайте Федеральной налоговой […]
  • Правила квалификации преступлений при изменении фактических материалов дела § 2. Квалификация при изменении уголовного закона Например, уголовные кодексы союзных республик, принятые в 1959— 1961 гг., отразили те существенные перемены, которые произошли в нашей стране более чем за 30-летний период действия прежнего уголовного […]
  • Закон рауля математичний вираз Одеський державний медичний університет фармацевтичний факультет навчально-методичний посібник для студентів 3 курсу V – VI семестрів фармацевтичного факультету заочної форми навчання одеса – 2006 58. Дати визначення основним поняттям розділа «Фазові […]