Краткое руководство по установке и настройке iptables из пакетов на ОС Debian GNU/Linux
В первую очередь удаляем все имеющиеся в системе файрволлы, например nftables
# apt remove --auto-remove nftables # apt purge nftables
Обновляем систему
# apt update && apt upgrade -y
и устанавливаем пакеты iptables и iptables-persistent
# apt install iptables iptables-persistent
Здесь система предложить сохранить действующие правила, можно смело кликать «Да»
После установки запускаем службу iptables и включаем её в автозагрузку
# systemctl start iptables # systemctl enable iptables
В /etc/iptables/ появятся два пустых файла: rules.v4 и rules.v6 — сюда будут сохраняться правила.
Запустим какие-нибудь правила, например
# /sbin/iptables -t filter -F # /sbin/iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT # /sbin/iptables -t filter -A INPUT -p tcp -s 172.16.32.0/16 -m state --state NEW -m tcp --dport 22 -j ACCEPT # /sbin/iptables -t filter -A INPUT -p tcp -s 172.16.32.205 -m state --state NEW -m tcp --dport 10050:10051 -j ACCEPT # /sbin/iptables -t filter -A INPUT -p tcp -m state --state NEW -m tcp --dport 5432 -j ACCEPT # /sbin/iptables -t filter -A INPUT -p tcp -s 172.16.32.0/24,172.16.31.0/24,172.16.30.250 -m state --state NEW -m tcp --dport 3306 -j ACCEPT # /sbin/iptables -t filter -A INPUT -j DROP # /sbin/iptables -t filter -A INPUT -j REJECT --reject-with icmp-host-prohibited # /sbin/iptables -t filter -A FORWARD -j REJECT --reject-with icmp-host-prohibited
сохраним их в файле /etc/iptables/rules.v4
# /sbin/iptables-save > /etc/iptables/rules.v4
Теперь эти правила работают и в случае перезапуска машины они запустятся автоматически.
Для восстановления правил из этого файла можно воспользоваться командой
# /sbin/iptables-restore < /etc/iptables/rules.v4