IPTables je nástroj, ktorý riadi ovládanie brány firewall na systéme Linux. Je to výkonný a pohodlný nástroj na ochranu siete a nechcených pripojení. Celý proces sa robí v pravidlách iptables, ktoré je možné editovať a prezerať. Podrobnejšie informácie sú uvedené v článku.
História
IPTables v systéme Linux používali bránu IPFW požičanú od spoločnosti BSD. Potom z verzie jadra Linuxu 2.4 prišlo s firewallom spoločnosti Netfilter a nástrojom IPTables na správu. V metóde jeho práce boli zachované všetky aspekty a funkčne mierne rozšírené.
Štruktúra a IPTables zariadenia
Vstup do brány firewall podlieha niekoľkým inšpekciám. Toto môže byť kontrolný súčet alebo akákoľvek iná analýza na úrovni jadra. Potom je čas prejsť reťazcom PREROUTING. Ďalej sa kontroluje smerovacia tabuľka, podľa ktorej dochádza k presmerovaniu do ďalšieho reťazca. Ak adresa v pakte chýba, napríklad TCP, potom je smer v reťazci FORWARD. V prípadoch, keď existuje konkrétna adresa, reťazec by mal byť INPUT a potom na tých démonov alebo služby, pre ktoré je určený. Odpoveď z nich by mala byť aj niekoľko reťazcov, ako napríklad OUTPUT. Posledným odkazom v tomto procese je reťazec POSTROUTING. Teraz trochu o reťaziach. Každá z nich obsahuje niekoľko tabuliek. Ich mená sa môžu opakovať, ale to nemá vplyv na prácu, pretože nie sú vzájomne prepojené. Tabuľky zaseobsahuje niekoľko pravidiel. Pravidlo je v zásade podmienkou, že kontrolovaný balík sa musí zhodovať. V závislosti od výsledku je vykonaná určitá činnosť na obale.
Preto prechádza cez všetky fázy siete, paket je dôsledne navštevovaný všetkými reťazcami a každý je kontrolovaný z hľadiska súladu s pravidlom určitého pravidla. Ak tabuľka nie je formátovaná používateľom, potom predvolená akcia je v podstate ACCEPT, ktorá vám umožňuje pokračovať v ďalšom pohybe alebo DROP, zastaví paket. Prednastavené reťazce sa nachádzajú v nasledujúcich kategóriách:
PREROUŤANIE. Prvotné spracovanie všetkých balíkov chodieb.
VSTUP. Tie patria do balíkov, ktoré sú odosielané priamo do lokálneho počítača.
ĎALEJ. Platí pre "tranzitné balíky", ktoré nasledujú po smerovacích tabuľkách.
VÝSTUP. Používa sa pre odchádzajúce balíky.
POSTROUTING. Posledná etapa odovzdania odchádzajúceho balíka všetkých reťazí.
Okrem zabudovaných konverzácií môžu používatelia vytvárať alebo mazať svoje vlastné.
Zobrazenie a správa pravidiel IPTables
Ako už bolo uvedené, všetky reťazce obsahujú určité podmienky pre pakety. Zobrazenie a správa IPTables a použitie nástroja IPTables. Každé samostatné pravidlo je reťazec s množinou podmienok pre pakety, ako aj akcie proti nim, v závislosti od výsledku. Príkazový formát vyzerá takto: iptables [-t názov tabuľky, ktorá sa má spracovať] sa nazýva príkaz [kritériá] [akcia].
Všetko, čo je uzavreté v hranatých zátvorkách? silavynechané. Ak ide o parameter, ktorý špecifikuje tabuľku, použije sa filter. Ak chcete použiť konkrétny názov, musíte pridať kláves -t. Volaný príkaz vám umožňuje zavolať požadovanú akciu, napríklad pridať pravidlo IPTables alebo ho odstrániť. "Kritériá" špecifikujú parametre, pre ktoré sa uskutoční výber. A "akcia" uplatňuje akciu, ktorá sa má vykonať, ak je splnená podmienka.
Tímy pre vytváranie a zobrazovanie pravidiel IPTables
Tu sú niektoré príkazy pre úlohy:
Append (-A). Keď použijete príkaz, zadáte reťazec a tabuľku, do ktorej chcete pridať požadované pravidlo. Hodnota tímu je, že to robí na konci zoznamu.
Vymažte (-D). Ako je zrejmé z názvu, vytvorí sa zrušenie pravidla. Ako parametre môžete určiť celé meno a priradené čísla.
Premenovať reťazec (-E). Zmení názov reťazca. Príkaz označuje starý a potom nový názov.
Vyplachujte (F). Zrejme absolútne všetky pravidlá konkrétnej tabuľky.
Vložte (-I). Tento príkaz vloží zadané miesto do čísla, pravidlo sa vyžaduje.
Zoznam (- L). Zobraziť pravidlá Iptables. Ak nie je zadaná tabuľka, použije sa predvolený filter.
Pravidlá (-P). Používa sa predvolená politika pre zadaný reťazec.
Vymeňte (-R). V prípade potreby upraví pravidlo pod zadaným číslom.
Odstránenie reťazca (-X). Tento príkaz vymaže všetky vytvorené reťazce. Zostáva iba vopred.
Nula (-Z). Čítače prenášaných údajov v špecifikovanom reťazci sú vypustené.
O troch parametroch výberu obalu
Môžu byť bežne rozdelené do troch odrôd:
Všeobecné kritériá. Môžu byť špecifikované pre akékoľvek pravidlá. Nevyžadujú pripojenie špeciálnych rozšírení a modulov ani nezávisia od toho, ktorý protokol sa použije.
Nie sú všeobecné kritériá. K dispozícii sú pri použití spoločných kritérií.
Explicitné. Ak chcete používať tento typ, musíte pre netfilter pripojiť špeciálne doplnky. Okrem toho príkaz musí použiť tlačidlo -m.
Stojí za to povedať trochu o častých parametroch, ktoré sa používajú pri analýze paketov:
Protokol (-p). Určuje protokol.
Zdroj (zdroje). Tento parameter určuje adresu IP zdroja, z ktorého bol balík pridaný. Môžete ho určiť niekoľkými spôsobmi. Špecifický hostiteľ, adresa alebo celá podsieť.
Cieľ (miesta). Adresa cieľovej adresy balíka. Rovnako ako v predchádzajúcej, môže byť opísaná niekoľkými spôsobmi.
V rozhraniach. Určuje vstupné rozhranie balíka. Používa sa hlavne pre NAT alebo pre systémy s viacerými rozhraniami.
Out-interface (-y). Výstupné rozhranie.
Niekoľko príkladov
S cieľom preskúmať pravidlá IPTables nat? musíte použiť príkaz "iptables -l -t nat". Nájdite všeobecný stav brány firewall - "iptables -L -n -v". Tento príkaz vám okrem toho umožňuje zobraziť pravidlá IPTables, ktoré sú k dispozícii v celom systéme. Vložte pravidlo do konkrétneho miesta na stole, napríklad medzi prvým a druhým riadkom - "iptables -I INPUT 2 -s 202541.2 -j DROP". Potom ju uvidíte, dodal - "iptables -L INPUT -n -line čísla".
Na zablokovanie konkrétnej adresy napríklad 121212.12 -«Iptables -A INPUT -s 121.212,12 -j DROP». Pomoc pre iptables - "iables". Ak potrebujete informácie o konkrétnom príkaze - «iptables -j DROP -h».
Nakoniec
Použite príkazy IPTables s opatrnosťou, pretože nesprávne nastavenie (v dôsledku neznalosti) môže viesť k úplnému zlyhaniu siete alebo zlyhaniu. Preto stojí za to podrobnejšie preskúmať príručky a pokyny pred konfiguráciou. Inteligentné ruky IPTables môžu byť transformované na spoľahlivého ochrancu sieťových pripojení. Správcovia systému aktívne použiteľný nástroj pre vytváranie spojov izolovaných pred neoprávneným prístupom.
