IPTables je nástroj, který řídí řízení firewallu v systému Linux. Je to výkonný a pohodlný nástroj pro ochranu sítě a nechtěných připojení. Celý proces probíhá v pravidlech iptables, které lze editovat a prohlížet. Podrobnější informace jsou uvedeny v článku.
Historie
IPTables v systému Linux používaly bránu IPFW zapůjčené od společnosti BSD. Potom z verze jádra Linuxu 2.4 byla dodána s firewallem Netfilter a nástrojem IPTables k jeho správě. V metodě jeho práce byly uloženy všechny aspekty a mírně rozšířeny funkčně.
Struktura a IPTables zařízení
Vstupuje do firewallu, balíček prochází několika kontrolami. Může se jednat o kontrolní součet nebo jinou analýzu na úrovni jádra. Pak je čas projít řetězem PREROUTING. Dále je zaškrtnuto směrovací tabulka, podle které dochází k předávání do dalšího řetězce. Pokud adresa v paketu chybí, například TCP, pak je směr v řetězci FORWARD. V případech, kdy existuje specifická adresa, řetěz by měl být INPUT a poté démony nebo služby, pro které je určen. Odpověď by měla být také několik řetězců, jako například OUTPUT. Posledním odkazem v tomto procesu je řetězec POSTROUTING. Teď trochu o řetězcích. Každá z nich obsahuje několik tabulek. Jejich jména se mohou opakovat, ale to nemá vliv na práci, protože nejsou vzájemně propojené. Tabulky podle pořadíobsahuje několik pravidel. V podstatě je pravidlem podmínka, že se musí kontrolovaný balík shodovat. V závislosti na výsledku je na obalu převzata určitá akce.
Proto prochází všemi fázemi sítě, paket je pravidelně navštěvován všemi řetězci a každý z nich je kontrolován, zda je dodržen pravidlo určitého pravidla. Pokud tabulka není formátována uživatelem, výchozí akce je v podstatě ACCEPT, která umožňuje pokračovat v dalším pohybu nebo DROP, zastaví paket. Přednastavené řetězce se nacházejí v následujících kategoriích:
PREROUTING. Počáteční zpracování všech balíčků hal.
VSTUP. Ty spadají do balíčků, které jsou odesílány přímo do místního počítače.
ZPĚT. Platí pro "tranzitní balíčky", které následují po směrovacích tabulkách.
VÝSTUP. Používá se pro odchozí balíčky.
POSTROUTING. Poslední fáze přechodu odchozího balíčku všech řetězů.
Kromě zabudovaných konverzací mohou uživatelé vytvářet nebo mazat své vlastní.
Zobrazení a správa pravidel IPTables
Jak již bylo zmíněno, všechny řetězce obsahují určité podmínky pro pakety. Zobrazení a správa IPTables a použití nástroje IPTables. Každé samostatné pravidlo je řetězec s množinou podmínek pro pakety, stejně jako akce proti nim, v závislosti na výsledku. Příkazový formát vypadá takto: iptables [-t název tabulky, která má být zpracována] se nazývá příkaz [kritéria] [akce akce].
Vše, co je uzavřeno v hranatých závorkách? možnávynecháno Pokud se jedná o parametr, který specifikuje tabulku, použije se filtr. Chcete-li použít konkrétní název, musíte přidat klíč -t. Volaný příkaz umožňuje zavolat požadovanou akci, například přidat pravidlo IPTables nebo ji smazat. "Kritéria" určují parametry, na které bude výběr probíhat. A "akce" uplatňuje akci, která má být provedena, pokud je splněna podmínka.
Týmy pro vytváření a zobrazování pravidel IPTables
Zde jsou některé příkazy pro příkazy:
Append (-A). Při použití příkazu určíte řetězec a tabulku, do které chcete přidat požadované pravidlo. Hodnota týmu je, že to dělá na konci seznamu.
Smazat (-D). Jak lze pochopit z názvu, vytváří odebrání pravidla. Jako parametry můžete zadat celé jméno a přiřazená čísla.
Přejmenovat řetězec (-E). Změní název řetězce. Příkaz označuje starý a nový název.
Vyplachujte (F). Zjistěte absolutně všechna pravidla konkrétní tabulky.
Vložit (-I). Tento příkaz vloží zadané místo do čísla, je požadováno pravidlo.
Seznam (- L). Zobrazit pravidla Iptables. Není-li tabulka zadána, použije se výchozí filtr.
Politika (-P). Je použita výchozí pravidla pro zadaný řetězec.
Nahraďte (-R). Pokud je to nutné, upraví pravidlo pod zadaným číslem.
Odstranění řetězu (-X). Tento příkaz vymaže všechny vytvořené řetězce. Zbývá pouze předem.
Zero (-Z). Čítače přenášených dat ve specifikovaném řetězci jsou vypuštěny.
Kousek o parametrech výběru balení
Mohou být konvenčně rozděleny do tří odrůd:
Obecná kritéria. Mohou být specifikovány pro všechna pravidla. Nepožadují připojení speciálních rozšíření a modulů, ani nezávisí na tom, který protokol bude použit.
Není obecná kritéria. K dispozici jsou při používání společných kritérií.
Explicitní. Abyste mohli použít tento typ, musíte pro netfilter připojit speciální pluginy. Kromě toho musí příkaz použít klávesu -m.
Je dobré si trochu říci o častých parametrech používaných při analýze paketů:
Protokol (-p). Určuje protokol.
Zdroj (zdroje). Tento parametr určuje adresu IP zdroje, ze kterého pochází balíček. Můžete jej určit několika způsoby. Specifický hostitel, adresa nebo celá podsíť.
Cíl (místa). Cílová adresa balíčku. Stejně jako v předchozím případě je to popsáno několika způsoby.
V rozhraní. Určuje příchozí rozhraní balíčku. Používá se hlavně pro NAT nebo pro systémy s více rozhraními.
Out-interface (s). Výstupní rozhraní.
Několik příkladů
Pro přezkoumání pravidel IPTables nat? musíte použít příkaz "iptables -l -t nat". Najděte obecný stav brány firewall - "iptables -L -n -v". Tento příkaz navíc umožňuje zobrazit pravidla IPTables, které jsou k dispozici v celém systému. Vložte pravidlo do určitého místa na tabulce, například mezi prvním a druhým řádkem - "iptables -I INPUT 2 -s 202541.2 -j DROP". Pak se na to podíváme - "iptables -L INPUT -n -line čísla".
Chcete-li blokovat konkrétní adresu, například 121212.12 -"Iptables-IN INPUT-121212.12-j DROP". Nápověda pro iptables - "to isables". Pokud jsou požadovány informace pro konkrétní tým - iptables -j DROP -h.
Nakonec
Příkazy IPTables používejte s opatrností, neboť nesprávné nastavení (kvůli nevědomosti) může vést k selhání sítě úplně nebo selhání. Proto je vhodné podrobně prozkoumat příručky a pokyny před konfigurací. Inteligentní ruce IPTables lze přeměnit na spolehlivého obránce síťových připojení. Správci systému aktivně používají nástroj k vytvoření připojení izolovaných od neoprávněného přístupu.