Ogled tabel IPTables, dodajanje ali brisanje pravil

IPTables je pripomoček, ki upravlja nadzor požarnega zidu v Linuxu. Je zmogljivo in priročno orodje za zaščito omrežja in nezaželene povezave. Celoten proces je izdelan v pravilih iptables, ki jih je mogoče urejati in pregledovati. Podrobnejše informacije so na voljo v članku.

Zgodovina

IPTables v sistemu Linux uporablja požarni zid IPFW, izposojen od BSD. Nato je iz različice jedra Linuxa 2.4 prišlo s požarnim zidom Netfilterja in pripomočkom IPTables, ki ga je upravljal. Pri metodi njegovega dela so bili vsi vidiki shranjeni in funkcionalno nekoliko razširjeni.


IPTables strukture in naprave

Vstop v požarni zid je podvržen več pregledom. To je lahko kontrolna vsota ali katera koli druga analiza na ravni jedra. Potem je čas, da gremo skozi PREROUTING verigo. Nato preverjamo usmerjevalno tabelo, v skladu s katero poteka posredovanje v naslednjo verigo. Če manjka naslov v paketu, kot je TCP, potem je v verigi NAPREJ smer. V primerih, ko obstaja poseben naslov, naj bo veriga INPUT, nato pa tiste demone ali storitve, za katere je namenjena. Odgovor iz njih mora biti tudi več verig, kot je IZHOD. Zadnja povezava v tem procesu je veriga POSTROUTING. Zdaj malo o verigah. Vsaka od njih vsebuje več tabel. Njihova imena se lahko ponavljajo, vendar to ne vpliva na delo, saj niso medsebojno povezana. Tabele po vrstivsebuje več pravil. Pravilo je v bistvu pogoj, da se mora preverjeni paket ujemati. Odvisno od rezultata, se paket prevzame določen ukrep.


Tako, da je paket, ki poteka skozi vse faze omrežja, dosledno obiskane z vsemi verigami in vsak preveri skladnost s pravilom določenega pravila. Če uporabnik ne oblikuje tabele, je privzeto dejanje v bistvu ACCEPT, ki vam omogoča, da nadaljujete s premikanjem naprej ali DROP, ustavi paket. Prednastavljene verige so v naslednjih kategorijah:
  • PREROUTING. Začetna obdelava vseh hodniških paketov.
  • VHOD. Ti spadajo v tiste pakete, ki so poslani neposredno lokalnemu računalniku.
  • NAPREJ. Velja za "tranzitne pakete", ki sledijo usmerjevalnim tabelam.
  • IZHOD. Uporablja se za odhodne pakete.
  • POSTROUTING. Zadnja faza prenosa izhodnega paketa vseh verig.
  • Poleg vgrajenih pogovorov lahko uporabniki ustvarijo ali izbrišejo svoje.

    Ogled in upravljanje pravil IPTables

    Kot smo že omenili, vse verige vsebujejo določene pogoje za pakete. Za ogled in upravljanje IPTables in uporabo pripomočka IPTables. Vsako ločeno pravilo je niz, ki vsebuje niz pogojev za pakete, kot tudi dejanja proti njim, odvisno od rezultata. Oblika zapisa izgleda takole: iptables [-t ime tabele, ki jo je treba obdelati] se imenuje ukaz [kriterij] [dejanje].
    Vse, kar je v oglatih oklepajih? Mogočeizpuščen Če je to parameter, ki podaja tabelo, bo uporabljen filter. Če želite uporabiti določeno ime, morate dodati tipko -t. Poklicani ukaz vam omogoča, da pokličete zahtevano dejanje, na primer, da dodate pravilo IPTables ali ga izbrišete. "Merila" določajo parametre, za katere bo izbira potekala. "Dejanje" uporablja dejanje, ki se izvede, če je pogoj izpolnjen.

    Ekipe za ustvarjanje in pregledovanje pravil IPTables

    Tukaj je nekaj ukazov uporabnosti:
  • Append (-A). Ko uporabite ukaz, podate verigo in tabelo, v katero želite dodati zahtevano pravilo. Vrednost ekipe je, da to počne na koncu seznama.
  • Izbriši (-D). Kot lahko razumemo iz naslova, ustvari pravilo odstranitve. Kot parametre lahko podate polno ime in številke, ki so jim dodeljene.
  • Preimenovanje verige (-E). Spremeni ime verige. Ukaz označuje staro in nato novo ime.
  • Flush (F). Počistite popolnoma vsa pravila določene tabele.
  • Vstavite (-I). Ta ukaz vstavi določeno mesto v številko, pravilo je potrebno.
  • Seznam (- L). Oglejte si pravila Iptables. Če tabela ni podana, bo uporabljen privzeti filter.
  • Politika (-P). Uporabljena je privzeta politika za podano verigo.
  • Zamenjaj (-R). Spremeni pravilo pod določeno številko, če je to potrebno.
  • Delete-chain (-X). Ta ukaz izbriše vse ustvarjene verige. Preostali samo vnaprej.
  • Nič (-Z). Števci prenesenih podatkov v določeni verigi so padli.
  • Nekaj ​​o parametrih izbire paketa

    Običajno jih lahko razdelimo v tri sorte:
  • Splošna merila. Določite jih lahko za vsa pravila. Ne zahtevajo povezave posebnih podaljškov in modulov, niti niso odvisni od tega, kateri protokol bo uporabljen.
  • Ni splošna merila. Na voljo so ob uporabi skupnih meril.
  • Izrecno. Za uporabo tega tipa morate za netfilter priključiti posebne vtičnike. Poleg tega mora ukaz uporabiti tipko -m.
  • Pomembno je povedati nekaj o pogostih parametrih, uporabljenih pri analiziranju paketov:
  • Protokol (-p). Določa protokol.
  • Vir (i). Ta parameter določa naslov IP vira, iz katerega je prišel paket. Določite ga lahko na več načinov. Določen gostitelj, naslov ali celoten podomrežje.
  • Cilj (i). Naslov ciljnega paketa. Tudi, kot v prejšnjem, ga lahko opišemo na več načinov.
  • Vmesniki. Podaja vhodni vmesnik paketa. Uporablja se predvsem za NAT ali za sisteme z več vmesniki.
  • Izhodni (-ni) vmesnik (-i). Izhodni vmesnik.
  • Nekaj ​​primerov

    Za pregled pravil IPTables nat? morate uporabiti ukaz "iptables -l -t nat". Poiščite splošno stanje požarnega zidu - "iptables -L -n -v". Poleg tega vam ta ukaz omogoča pregled pravil IPTables, ki so na voljo v celotnem sistemu. Pravilo vstavite v posebno mesto na tabeli, na primer med prvo in drugo vrstico - "iptables -I INPUT 2 -s 202541.2 -j DROP". Potem, da ga vidite, je dodal - "iptables -L INPUT -n-line številke".
    Za blokiranje določenega naslova, na primer 121212.12 -"Iptables-IN INPUT-121212.12-j DROP". Pomoč za iptables - "i itables". Če so zahtevane informacije za določeno ekipo - iptables -j DROP -h.
    ​​

    Na koncu

    Previdno uporabljajte ukaze IPTables, saj lahko nepravilna nastavitev (zaradi nevednosti) v celoti ali neuspešno povzroči napake v omrežju. Zato je vredno podrobno raziskati priročnike in navodila pred konfiguracijo. Inteligentne roke IPTables lahko pretvorite v zanesljivega zagovornika omrežnih povezav. Sistemski administratorji aktivno uporabljajo pripomoček za ustvarjanje povezav, izoliranih od nepooblaščenega dostopa.

    Sorodne publikacije