В мире сетевых технологий и кибербезопасности эффективная фильтрация трафика играет решающую роль в защите систем и обеспечении сетевой безопасности. Одним из мощных инструментов для реализации правил фильтрации трафика в системах на базе Linux является iptables. В этой статье мы рассмотрим различные методы и примеры кода для использования iptables для фильтрации сетевого трафика на основе портов источника и назначения.

Метод 1: Блокировка определенных портов источника или назначения
Одним из распространенных требований является блокировка трафика, исходящего из определенных портов или направленного к ним. Следующие правила iptables демонстрируют, как этого добиться:

Чтобы заблокировать трафик с определенного исходного порта (например, порта 8080):

iptables -A INPUT -p tcp --sport 8080 -j DROP

Чтобы заблокировать трафик, направленный на определенный порт назначения (например, порт 22):

iptables -A OUTPUT -p tcp --dport 22 -j DROP

Метод 2: разрешение определенных портов источника или назначения
Иногда может возникнуть необходимость разрешить трафик только от или к определенным портам. Следующие примеры иллюстрируют, как настроить правила iptables для разрешения такого трафика:

Чтобы разрешить трафик с определенного исходного порта (например, порта 443):

iptables -A INPUT -p tcp --sport 443 -j ACCEPT

Чтобы разрешить трафик, направляемый на определенный порт назначения (например, порт 80):

iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT

Метод 3: переадресация портов
Переадресация портов позволяет перенаправлять входящие соединения с одного порта на другой. Вот пример настройки переадресации портов с помощью iptables:

Чтобы перенаправить входящий трафик с порта 8080 на порт 80:

iptables -A PREROUTING -t nat -p tcp --dport 8080 -j REDIRECT --to-port 80

Метод 4: Фильтрация диапазона портов
В некоторых случаях может потребоваться фильтрация трафика на основе диапазона портов. Следующие правила iptables демонстрируют, как этого добиться:

Чтобы заблокировать трафик из диапазона исходных портов (например, портов с 1000 по 2000):

iptables -A INPUT -p tcp --sport 1000:2000 -j DROP

Чтобы разрешить трафик, направляемый на диапазон портов назначения (например, порты с 5000 по 6000):

iptables -A OUTPUT -p tcp --dport 5000:6000 -j ACCEPT

iptables — универсальный инструмент для реализации фильтрации сетевого трафика в системах на базе Linux. В этой статье мы рассмотрели различные методы фильтрации трафика на основе портов источника и назначения, включая блокировку определенных портов, разрешение определенных портов, переадресацию портов и фильтрацию диапазона портов. Используя эти методы, сетевые администраторы могут повысить безопасность и контроль своих систем.