KWALIFIKACJA INF8 - STYCZEŃ 2019

Q: Co to jest łańcuch INPUT w iptables i do czego służy?

Łańcuch INPUT dotyczy pakietów przychodzących do lokalnego hosta (czyli do usług działających na tej maszynie). Reguły w INPUT decydują, czy taki ruch zostanie zaakceptowany, odrzucony lub odfiltrowany inną akcją. To podstawowe miejsce do blokowania niechcianych usług.

Q: Jak działa akcja DROP w iptables i czym różni się od REJECT?

DROP odrzuca pakiet "po cichu" (bez odpowiedzi), co zwykle powoduje timeout po stronie klienta. REJECT odrzuca pakiet i dodatkowo odsyła informację zwrotną (np. błąd), przez co klient szybciej dostaje komunikat o braku dostępu. Obie akcje blokują ruch, ale zachowują się inaczej.

Q: Jakie są najczęstsze błędy w pytaniach o iptables na egzaminie?

Najczęściej myli się INPUT z FORWARD, wybiera zły port (np. 21 zamiast 23) albo miesza znaczenie portu źródłowego i docelowego. Częsty jest też błąd składni: brak -p tcp przy użyciu portów lub zła kolejność/format przełączników.

Q: Kiedy w iptables używa się --dport, a kiedy --sport?

--dport stosuje się, gdy chcesz filtrować pakiety kierowane do usługi na danym porcie (typowe dla ruchu przychodzącego do serwera). --sport dotyczy portu źródłowego i bywa używany np. przy filtrowaniu odpowiedzi lub specyficznych scenariuszy klienta. Na egzaminie zwykle dla blokady usługi wybiera się --dport.

Q: Jakie usługi są bezpieczniejszą alternatywą dla Telnet w administracji?

Najczęściej stosuje się SSH, które zapewnia szyfrowanie i uwierzytelnianie. Telnet przesyła dane (w tym hasła) w postaci jawnej, więc w sieciach produkcyjnych jest uznawany za rozwiązanie przestarzałe i ryzykowne. Dlatego typową praktyką jest blokowanie Telnet i dopuszczanie SSH.

PYTANIE NR 27.

Która reguła skutecznie zablokuje ruch przychodzący na domyślny port telnet łańcucha INPUT przy domyślnej polityce akceptowania wszystkich połączeń przez program iptables?

A.	iptables –T FORWARD –p input –dport 22 –j ACCEPT
B.	iptables remove –port telnet –c INPUT
C.	iptables –C INPUT –p tcp –dport 21 –j REJECT
D.	iptables -A INPUT –p tcp –dport 23 –j DROP
	Zostaw bez odpowiedzi

Wyjaśnienie poprawnej odpowiedzi:
Poprawna reguła musi zostać dodana do łańcucha INPUT i dotyczyć ruchu TCP na port docelowy 23 (domyślny port Telnet). Akcja DROP skutecznie zablokuje takie połączenia mimo domyślnej polityki ACCEPT, bo bardziej szczegółowa reguła ma pierwszeństwo przed polityką łańcucha.

Pełne wyjaśnienie:

W zaporze hostowej opartej o iptables ruch przychodzący do samej maszyny jest przetwarzany w łańcuchu INPUT. Skoro domyślna polityka łańcucha to akceptowanie (ACCEPT), to blokada musi wynikać z konkretnej reguły dopasowującej pakiety i nadającej im akcję odrzucenia.
Usługa Telnet domyślnie używa portu 23. Dla połączeń przychodzących portem istotnym jest zwykle port docelowy (przełącznik --dport 23), bo to na ten port host "nasłuchuje". Dodatkowo określa się protokół (-p tcp), ponieważ pojęcie "portu" w tej składni dotyczy warstwy transportowej (TCP/UDP).
Reguła z akcją DROP powoduje, że pakiety pasujące do kryteriów są bez odpowiedzi odrzucane. To skutecznie blokuje zestawienie sesji Telnet. Polityka domyślna ACCEPT działa dopiero wtedy, gdy żaden wcześniejszy wpis w łańcuchu nie zadziała, więc poprawnie dodana reguła blokująca "wygrywa" z polityką.
Dlaczego pozostałe propozycje są błędne? Jedna z nich nie jest poprawnym poleceniem iptables (nieistniejące przełączniki/forma). Inna dotyczy portu 21 (FTP), więc nie blokuje Telnet. Kolejna odnosi się do innego łańcucha/kierunku (FORWARD) i/lub zawiera niespójne parametry, więc nie realizuje blokady ruchu przychodzącego na port 23.
Wskazówka egzaminacyjna: najpierw ustal: kierunek (INPUT/OUTPUT/FORWARD), potem protokół, następnie port (dport dla ruchu do usługi), a na końcu akcję (DROP/REJECT).

Dodatkowe pytania

Dodatkowe pytania (FAQ):

Co to jest łańcuch INPUT w iptables i do czego służy?

Łańcuch INPUT dotyczy pakietów przychodzących do lokalnego hosta (czyli do usług działających na tej maszynie). Reguły w INPUT decydują, czy taki ruch zostanie zaakceptowany, odrzucony lub odfiltrowany inną akcją. To podstawowe miejsce do blokowania niechcianych usług.

Dlaczego w regule blokującej Telnet używa się portu 23?

Telnet ma historycznie przypisany domyślny port 23. Jeśli usługa działa na standardowej konfiguracji, połączenia będą kierowane właśnie na ten port docelowy. Dlatego filtr w zaporze zwykle odnosi się do --dport 23, aby objąć połączenia kierowane do usługi Telnet.

Jak działa akcja DROP w iptables i czym różni się od REJECT?

DROP odrzuca pakiet "po cichu" (bez odpowiedzi), co zwykle powoduje timeout po stronie klienta. REJECT odrzuca pakiet i dodatkowo odsyła informację zwrotną (np. błąd), przez co klient szybciej dostaje komunikat o braku dostępu. Obie akcje blokują ruch, ale zachowują się inaczej.

Czy domyślna polityka ACCEPT oznacza, że nic nie da się zablokować?

Nie. Polityka domyślna łańcucha (np. ACCEPT) działa dopiero wtedy, gdy żadna reguła w łańcuchu nie dopasuje pakietu. Jeśli dodasz regułę dopasowującą ruch (np. TCP na port 23) i ustawisz akcję DROP/REJECT, to ta reguła zadziała przed polityką i zablokuje ruch.

Jakie są najczęstsze błędy w pytaniach o iptables na egzaminie?

Najczęściej myli się INPUT z FORWARD, wybiera zły port (np. 21 zamiast 23) albo miesza znaczenie portu źródłowego i docelowego. Częsty jest też błąd składni: brak -p tcp przy użyciu portów lub zła kolejność/format przełączników.

Kiedy w iptables używa się --dport, a kiedy --sport?

--dport stosuje się, gdy chcesz filtrować pakiety kierowane do usługi na danym porcie (typowe dla ruchu przychodzącego do serwera). --sport dotyczy portu źródłowego i bywa używany np. przy filtrowaniu odpowiedzi lub specyficznych scenariuszy klienta. Na egzaminie zwykle dla blokady usługi wybiera się --dport.

Gdzie sprawdzić, jakie reguły iptables są aktualnie aktywne?

Najczęściej używa się listowania reguł dla konkretnego łańcucha, np. INPUT. Istotne jest, aby widzieć kolejność reguł, bo iptables przetwarza je po kolei. W praktyce administrator sprawdza reguły przed i po zmianach, aby potwierdzić, że blokada dotyczy właściwego portu i protokołu.

Jakie usługi są bezpieczniejszą alternatywą dla Telnet w administracji?

Najczęściej stosuje się SSH, które zapewnia szyfrowanie i uwierzytelnianie. Telnet przesyła dane (w tym hasła) w postaci jawnej, więc w sieciach produkcyjnych jest uznawany za rozwiązanie przestarzałe i ryzykowne. Dlatego typową praktyką jest blokowanie Telnet i dopuszczanie SSH.

Czy iptables jest nadal używany, skoro istnieje nftables?

W wielu systemach iptables nadal występuje, ale w nowszych dystrybucjach coraz częściej zastępuje je nftables (czasem przez warstwę zgodności). Na egzaminie możesz spotkać oba podejścia, dlatego warto rozumieć koncepcję: łańcuch, reguła, dopasowanie ruchu i akcja blokująca.

Jak przygotować się do zadań o blokowaniu portów na egzaminie INF.8?

Ćwicz scenariusze: blokada/zezwolenie dla konkretnego portu i kierunku ruchu. Utrwal mapę: INPUT = do hosta, OUTPUT = z hosta, FORWARD = przez host. Naucz się też typowych portów usług (np. 22, 23, 80, 443) oraz różnic między DROP i REJECT.

info

To pytanie poprawnie rozwiązuje 25% zdających egzamin. bardzo trudne

Specjaliści zwracają uwagę: "Poprawna reguła musi zostać dodana do łańcucha INPUT i dotyczyć ruchu TCP na port docelowy 23 (domyślny port Telnet)."

Źródła:

Debian Manpages: iptables(8) — https://manpages.debian.org/iptables (dostęp: 2026-03-02)
Netfilter Project Documentation: iptables — https://www.netfilter.org/documentation/ (dostęp: 2026-03-02)
IANA Service Name and Transport Protocol Port Number Registry (Telnet 23/tcp) — https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml (dostęp: 2026-03-02)

Materiały:

Dokumentacja systemowa: manual iptables (man iptables)
Dokumentacja projektu netfilter dotycząca iptables i podstaw filtrowania
Podstawowe materiały o bezpieczeństwie usług zdalnych (Telnet vs SSH)

Aktualizacja pytania: 31.03.2026

LOGOWANIE

KWALIFIKACJA INF8 - STYCZEŃ 2019

Dodatkowe pytania

Dodatkowe pytania (FAQ):

Zobacz też: