مقدمه

تا حالا شده یه سرور لینوکسی داشته باشی و دنبال یه راه حل حرفه‌ای و قابل اطمینان واسه محافظتش باشی؟ شاید اسم iptables هم زیاد به گوشت خورده! این ابزار نسبتاً قدیمی اما بشدت کاربلد، سال‌هاست نگهبان اول خیلی از سرورهاست؛ پس اگه قصد امن‌سازی سرور رو داری، باید iptables رو مثل کف دستت بشناسی. تو این مقاله از صفر تا صد iptables رو می‌شکافیم: چی هست، چطور کار می‌کنه، چطوری میشه ازش کار کشید و حتی عیب‌ها و جایگزین‌هاش رو هم مرور می‌کنیم!

iptables چیه و چرا هنوز محبوبه؟

تعریف کلی

iptables در واقع یه فریم‌ورک و ابزار خط فرمان برای مدیریت پالیسی‌های فایروال لینوکس هست که دسترسی به شبکه رو برای هر بسته‌ی ورودی، خروجی و Forward شده، بسته به قوانین مشخص شده کنترل می‌کنه.

دلیل محبوبیت

• سرعت و کارایی بالا
• کنترل فوق‌جزئی و انعطاف بالا
• سازگاری با اکثر برنامه‌ها و تکنولوژی‌های قدیمی و جدید
• مستندات و مثال‌های زیاد در سطح اینترنت
• دسترسی مستقیم به فیلترینگ پایه شبکه روی لینوکس

ساختار iptables؛ دنیا از دید جدول‌ها!

تمام کمندهای iptables حول محور «جدول» و «زنجیره» می‌گرده؛ مثل یه رستوران که هر سفارش باید از ایستگاه‌های مختلف عبور کنه!

• Tables (جدول‌ها):
• filter (اصلی برای فیلتر ترافیک)
• nat (مخصوص NAT و تغییر آدرس و پورت)
• mangle (برای دست‌کاری پیشرفته پکت‌ها)
• raw (کنترل مستقیم روی پکت‌ها قبل ثبت شدن کانکشن)
• Chains (زنجیره‌ها):
• INPUT: ورود ترافیک به سرور
• OUTPUT: خروج ترافیک از سرور
• FORWARD: بسته‌هایی که از سرور عبور می‌کنن
• PREROUTING / POSTROUTING: موقع تغییر NAT

پرکاربردترین دستورات iptables

مشاهده رول‌های فعلی

sudo iptables -L -n -v

اضافه کردن یک رول ساده (مثلاً اجازه دادن ترافیک SSH)

sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT

بستن یک پورت خاص (مثلاً ۳۳۰۶ مربوط به MySQL)

sudo iptables -A INPUT -p tcp --dport 3306 -j DROP

پاک‌کردن تمام رول‌ها

sudo iptables -F

ذخیره و ری‌استارت قوانین

در توزیع‌های مختلف این فرق می‌کنه!

sudo service iptables save
sudo systemctl restart iptables

یا با iptables-persistent تو Ubuntu:

sudo apt install iptables-persistent
sudo netfilter-persistent save

مثال‌ها و سناریوهای واقعی

فرض کن یک وب‌سرور داری و فقط می‌خوای ترافیک HTTP/HTTPS، و SSH آزاد باشه؛ سایر پورت‌ها بسته بشن:

sudo iptables -P INPUT DROP
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

حتماً قبل اعمال حالت DROP، دسترسی SSH رو آزاد بذار! وگرنه خودتم از سرورت پرت می‌شی بیرون!

کاربردهای حیاتی iptables

• بستن دسترسی به رنج خاص IP
• محدودسازی تعداد اتصالات (Rate Limiting)
• جلوگیری از حملات ساده DDoS
• ساخت VPN ساده یا NAT
• پورت فورواردینگ

مزایا و معایب iptables

نکات امنیتی و تجربه‌های پر از اشک و خنده

• قبل هر دست‌کاری backup بگیر!
  یک دستور اشتباه، یه عمر حسرت
• فایروال فقط بخشی از امنیت سروره؛ رمز قوی، آپدیت و… فراموش نشه
• رول‌ها رو مرتب کامنت بذار تا بعداً یادت بمونه چی‌کار کردی
• تست کن و لاگ‌ها رو بخون؛ همین یکی کلی جونت رو نجات میده

جایگزین‌های iptables و آینده آن

الان دیگه nftables به عنوان جایگزین iptables در خیلی از توزیع‌ها داره استفاده میشه و firewalld هم واسه مدیریت نرم‌ و راحت رول‌ها. اما هنوز هم خیلی‌ها ترجیح میدن با iptables سر و کله بزنن چون انعطاف عجیب و وسیعی داره.

جدول مقایسه سریع iptables با جایگزین‌ها

خلاصه به زبان آدمیزاد

iptables مثل یه شمشیر دو لبه‌ست: اگه بلد باشی فوق‌العاده‌ای، اگه ندونی همون شمشیر می‌زنه خودتو! با این ابزار می‌تونی امنیت سرورت رو تا حدود زیادی تضمین کنی اما باید همیشه هوشمند، منظبط و حواست جمع باشه. هر دستوری رو الکی نزن و همیشه قبلش یه چایی بخور و بکاپ رول‌ها رو بگیر!

سوالات رایج کاربران