Ogled pravil IPTables, dodajte ali odstranite

IPTables je pripomoček za upravljanje požarnega zidu v Linuxu. To je zmogljivo in priročno orodje za zaščita omrežja

Zgodovina ustvarjanja

Pred tem IPTables sistem Linux je uporabil požarni zid IPFW, izposojen iz BSD. Nato je z jedrom Linuxa različice 2.4 začel dobavljati požarni zid Netfilter in pripomoček IPTables za upravljanje. V metodologiji njenega dela so bili vsi vidiki ohranjeni in funkcionalno rahlo razširjeni.

Struktura in naprava IPTables

Ko vstopite v požarni zid, paket preide več čekov. To je lahko kontrolna vsota ali katera koli druga analiza ravni jedra. Potem je čas, da gremo skozi verigo PREROUTING. Nadalje se preveri usmerjevalna tabela, v skladu s katerim se preusmeri na naslednjo verigo. Če manjka naslov paketa, na primer v TCP, potem je v verigi FORWARD smer. V primerih, ko obstaja poseben naslov, sledi veriga INPUT, nato pa demone ali storitve, za katere je namenjena. Od njih mora odgovoriti tudi več verig, na primer OUTPUT. Zadnja povezava v tem procesu je veriga POSTROUTING.

Zdaj malo o verigah. Vsak od njih vsebuje več tabel. Njihova imena se lahko ponovi, vendar to ne vpliva na delo, ker niso medsebojno povezane.

Tablete po vrsti vsebujejo več pravil. Dejansko je pravilo določen pogoj, da mora preskusni paket ustrezati. Glede na rezultat se na paketu izvaja določeno dejanje.

S tem, ko poteka vse faze omrežja, paketi zaporedno obiščejo vse nize in v vsaki se preveri skladnost s pogojem določenega pravila. Če uporabnik ne ustvari tabele, se izvede privzeto dejanje, v bistvu je ACCEPT, ki omogoča nadaljnje premikanje ali DROP zaustavitev paketa.

Predhodne verige so naslednje kategorije:

• PREROUTING. Začetna obdelava vseh vhodnih paketov.
• INPUT. To so paketi, ki se pošljejo neposredno lokalnemu računalniku.
• NAPREJ. Velja za "tranzitne pakete", ki sledijo usmerjevalni tabeli.
• IZHOD. Uporablja se za odhodne pakete.
• POSTROUTING. Zadnji korak pri prenosu izhodnega paketa vseh verig.

Poleg vgrajenih verig lahko uporabniki sami ustvarijo ali izbrišejo.

Ogled in upravljanje pravil IPTables

Kot že omenjeno, vse verige vsebujejo določene pogoje za pakete. Če si želite ogledati pravila IPTables in jih upravljati, uporabite pripomoček IPTables. Vsako ločeno pravilo predstavlja vrstico z nizom pogojev za pakete, pa tudi akcije na njih, odvisno od rezultata.

Format ukaza je videti takole: iptables [-t ime obdelane tabele] imenovani ukaz [merila] [dejanje, ki ga je treba opraviti].

Vse, kar vsebuje kvadratni oklepaj? se lahko izpusti. Če je to parameter s tabelo, se uporabi filter. Če želite uporabiti določeno ime, dodajte možnost -t. Imenovani ukaz vam omogoča, da pokličete potrebno dejanje, na primer dodajte pravilo IPTables ali ga izbrišite. "Merila" določajo parametre, po katerih bo izbira potekala. V "dejanju" se uporablja dejanje, ki ga je treba izvesti, če je pogoj izpolnjen.

Ukazi za izdelavo in prikazovanje pravil IPTables

Tukaj je nekaj ukazov pripomočka:

• Dodajte (-A). Ko uporabite ukaz, določite verigo in tabelo, v katero želite dodati zahtevano pravilo. Vrednost ekipe je, kaj počne na koncu celotnega seznama.
• Izbriši (-D). Kot lahko razumeš iz imena, pride do izbrisa pravila. Kot parametri lahko določite polno ime in dodeljene številke.
• Preimenovalna veriga (-E). Spremeni ime verige. Ukaz označuje staro, nato novo ime.
• Izplaknite (-F). Počisti vsa pravila določene tabele.
• Vstavi (-I). Ta ukaz vstavi želeno pravilo v določeno številko.
• Seznam (- L). Oglejte si pravila Iptables. Če nobena tabela ni podana, se privzeto uporabi filter.
• Politika (-P). Uporabljen je privzeti pravilnik za določeno verigo.
• Zamenjajte (-R). Spremeni pravilo pri določeni številki, na želeno številko.
• Zbriši verigo (-X). Ta ukaz izbriše vse ustvarjene verige. Samo predhodno nameščeni bodo ostali.
• Zero (-Z). Ponastavi števce poslanih podatkov v določeni verigi.

Malo o parametrih izbire paketov

Lahko jih razdelimo na tri vrste:

• Splošna merila. Lahko jih določite za vsa pravila. Ne potrebujejo povezave posebnih razširitev in modulov, niti niso odvisni od tega, kateri protokol se bo uporabljal.
• Ni skupna merila. Postanejo na voljo pri uporabi skupnih meril.
• Eksplicitno. Če želite uporabljati to vrsto, morate povezati posebne vtičnike za netfilter. Poleg tega mora ukaz uporabiti stikalo -m.

Treba je omeniti nekaj skupnih parametrov, uporabljenih pri analizi paketov:

• Protokol (-p). Označuje protokol.
• Vir (-s). Ta parameter določa IP-naslov vira, iz katerega je prišel paket. To lahko določite na več načinov. Poseben gostitelj, naslov ali celo podomrežje.
• Cilj (-d). Naslov destinacije paketa. Tudi, kot prejšnji, je mogoče opisati na več načinov.
• Vmesnik (-i). Označuje vhodni vmesnik paketa. Uporablja se predvsem za NAT ali za sisteme z več vmesniki.
• Out-vmesnik (-o). Izhodni vmesnik.

Nekaj ​​primerov

Ali si želite ogledati pravila IPTables? Uporabiti morate ukaz iptables -L -t nat. Izvedite splošni status požarnega zidu - iptables -L -n -v. Poleg tega vam ta ukaz omogoča ogled pravil IPTables, ki so na voljo v celotnem sistemu. Če želite vstaviti pravilo na določenem mestu tabele, je na primer med prvo in drugo vrstico "iptables -I INPUT 2 -s 202.54.1.2 -j DROP". Nato preverite, ali je dodal "iptables-L INPUT -n -line-numbers".

Za blokiranje določenega naslova, na primer, 12.12.12.12 - iptables -A INPUT -s 12.12.12.12 -j DROP.

Pomoč iptables je človek iptables. Če potrebujete informacije o določenem ukazu - iptables -j DROP -h.

Na koncu

Uporabite ukaz IPTables previdno, ker napačna konfiguracija (zaradi nevednosti) lahko povzroči napake v omrežju ali popolno napako. Zato je pred nastavitvijo natančno preučiti priročnike in navodila. V spretnih rokah IPTables se lahko pretvori v zanesljiv zaščitnik omrežnih povezav. Sistemski skrbniki aktivno uporabljajo pripomoček za ustvarjanje povezav, ki so izolirane od nepooblaščenega dostopa.