IPTables je uslužni program koji upravlja kontrolom vatrozida na Linuxu. To je moćan i pogodan alat za zaštitu mreže i neželjenih veza. Cijeli proces je napravljen u pravilima iptables, koji se mogu uređivati i pregledavati. Detaljnije informacije nalaze se u članku.
Povijest
IPTables u Linux sustavu koristio je IPFW vatrozid pozajmljen od BSD-a. Zatim, iz verzije jezgre Linuxa 2.4, došao je s Netfilterovim firewallom i IPTables uslužnim programom za upravljanje. Metodom svoga rada sačuvani su svi aspekti i funkcionalno malo prošireni.
IPTables strukture i uređaja
Ulaskom u vatrozid, paket se podvrgava nekoliko pregleda. To može biti kontrolni zbroj ili bilo koja druga analiza na razini kernela. Onda je vrijeme da prođemo kroz PREROUTING lanac. Zatim se provjerava tablica usmjeravanja, prema kojoj se odvija prosljeđivanje na sljedeći lanac. Ako adresa u paketu nedostaje, kao što je TCP, onda postoji smjer u FORWARD lancu. U slučajevima kada postoji određena adresa, lanac bi trebao biti INPUT, a zatim oni demoni ili usluge za koje je namijenjen. Odgovor od njih također bi trebao biti nekoliko lanaca, kao što su OUTPUT. Posljednja karika u ovom procesu je POSTROUTING lanac. Sada malo o lancima. Svaki od njih sadrži nekoliko tablica. Njihova se imena mogu ponoviti, ali to ne utječe na rad jer nisu međusobno povezani. Tablice zauzvratsadrži nekoliko pravila. U biti, pravilo je uvjet da se provjereni paket mora podudarati. Ovisno o rezultatu, poduzima se određena radnja nad paketom.
Stoga, prolazeći kroz sve faze mreže, svi se lanci dosljedno posjećuju i svaki se provjerava sukladnosti s pravilom određenog pravila. Ako korisnik nije formatirao tablicu, tada je zadana radnja, u osnovi, ACCEPT, koja vam omogućuje da nastavite dalje ili DROP, zaustavlja paket. Unaprijed postavljeni lanci dolaze u sljedećim kategorijama:
PREROUT. Početna obrada svih paketa hodnika. ULAZ. Oni spadaju u one pakete koji se šalju izravno na lokalno računalo. NAPRIJED. Primjenjuje se na "tranzitne pakete" koji slijede tablice usmjeravanja. IZLAZ. Koristi se za izlazne pakete. POSTROUTIRANJE. Posljednja faza prolaska izlaznog paketa svih lanaca.Osim ugrađenih razgovora, korisnici mogu stvoriti ili izbrisati vlastite.
Pregled i upravljanje IPTables pravilima
Kao što je već spomenuto, svi lanci sadrže određene uvjete za pakete. Za pregled i upravljanje IPTables i korištenje IPTables uslužni program. Svako zasebno pravilo je niz s nizom uvjeta za pakete, kao i akcije protiv njih, ovisno o rezultatu. Format naredbe izgleda ovako: iptables [-t ime tablice koja se obrađuje] naziva se naredba [kriterij] [akcija akcija].
Sve što se nalazi u uglatim zagradama? moćizostavljen. Ako je to parametar koji određuje tablicu, upotrijebit će se filtar. Da biste koristili određeno ime, morate dodati tipku -t. Pozvana naredba omogućuje pozivanje potrebne akcije, na primjer, za dodavanje pravila IPTables ili njeno brisanje. "Kriteriji" određuju parametre za koje će se izvršiti odabir. A "akcija" primjenjuje akciju koja će se izvršiti ako je uvjet zadovoljen.
Timovi za kreiranje i pregled pravila IPTables
Ovdje su neke korisne naredbe:
Dodavanje (-A). Kada koristite naredbu, specificirate lanac i tablicu u koju želite dodati potrebno pravilo. Vrijednost tima je da to radi na kraju popisa. Izbriši (-D). Kao što se može razumjeti iz naslova, proizvodi pravilo uklanjanja. Kao parametre možete navesti puno ime i brojeve koji su im dodijeljeni. Preimenovanje lanca (-E). Mijenja naziv lanca. Naredba označava staro, a zatim novo ime.Flush (F). Obrišite apsolutno sva pravila određene tablice.
Umetanje (-I). Ova naredba unosi određeno mjesto u broj, potrebno je pravilo. Popis (- L). Pogledajte pravila Iptablesa. Ako tablica nije specificirana, koristit će se zadani filtar. Politika (-P). Koristi se zadano pravilo za navedeni lanac. Zamijeni (-R). Mijenja pravilo ispod navedenog broja, ako je potrebno. Izbriši lanac (-X). Ova naredba briše sve stvorene lance. Ostati samo unaprijed. Nula (-Z). Brojevi prenesenih podataka u navedenom lancu su ispušteni. Malo o parametrima odabira paketa
Konvencionalno se mogu podijeliti u tri vrste:
Opći kriteriji. Mogu se specificirati za sva pravila. Ne zahtijevaju povezivanje posebnih proširenja i modula niti ovise o protokolu koji će se koristiti. Nije opći kriterij. Oni postaju dostupni kada se koriste zajednički kriteriji. Eksplicitno. Da biste koristili ovu vrstu, morate povezati posebne dodatke za netfilter. Osim toga, naredba mora koristiti tipku -m.Vrijedi reći nešto o čestim parametrima koji se koriste pri analizi paketa:
Protokol (-p). Određuje protokol. Izvor (i). Ovaj parametar navodi IP adresu izvora iz kojeg je paket stigao. Možete ga navesti na nekoliko načina. Određeni host, adresa ili cijela podmreža. Odredište (a). Odredišna adresa paketa. Također, kao iu prethodnom, može se opisati na nekoliko načina. In-interface (s). Određuje ulazno sučelje paketa. Uglavnom se koristi za NAT ili za sustave s višestrukim sučeljima. Out-interface (s). Izlazno sučelje. Nekoliko primjera
Kako bi se pregledala pravila IPTables nat? morate koristiti naredbu "iptables -l -t nat". Pronađite opći status vatrozida - "iptables -L -n -v". Osim toga, ova naredba omogućuje pregled IPTables pravila koja su dostupna u cijelom sustavu. Umetnite pravilo u određeno mjesto na stolu, na primjer, između prve i druge linije - "iptables -I INPUT 2 -s 202541,2 -j DROP". Zatim da ga vidite, dodao je - "iptables -L INPUT -n-line brojevi".
Za blokiranje određene adrese, na primjer, 121212,12 -"Iptables-IN INPUT-121212.12-j DROP". Pomoć za iptables - "i itables". Ako su potrebne informacije za određeni tim - iptables -j DROP -h.
Na kraju
Upotrijebite naredbe IPTables s oprezom, jer nepravilno postavljanje (zbog neznanja) može dovesti do potpunog ili neuspjelog prekida mreže. Stoga je vrijedno detaljno istražiti priručnike i upute prije konfiguracije. Inteligentne ruke IPTables se mogu pretvoriti u pouzdanog branitelja mrežnih veza. Administratori sustava aktivno koriste uslužni program za stvaranje veza izoliranih od neovlaštenog pristupa.
