إذا كنت لا تعرف أي شيء حول IPTABLES، أنا أوصي لك اقرأ مقالنا التمهيدي الأول لـ IPTABLES من أجل أخذ قاعدة قبل البدء في شرح موضوع الجداول في هذا العنصر الرائع من نواة لينكس للتصفية والعمل كجدار حماية أو جدار ناري قوي وفعال. وهذا هو الأمر الذي يثير القلق أكثر وأكثر ، ولكن إذا كنت من مستخدمي Linux ، فأنت محظوظ ، نظرًا لأن Linux يستخدم أحد أفضل الأدوات التي يمكننا العثور عليها لمحاربة التهديدات.
IPTABLES ، كما يجب أن تعلم بالفعل ، يتكامل مع Linux kernel نفسه، وهو جزء من مشروع netfilter ، والذي يتكون بالإضافة إلى iptables من ip6tables و ebtables و arptables و ipset. إنه جدار حماية قابل للتكوين ومرن للغاية مثل معظم عناصر Linux ، وعلى الرغم من وجود بعض الثغرات الأمنية ، إلا أنه قوي بشكل خاص. كونه داخل النواة ، يبدأ بالنظام ويظل نشطًا طوال الوقت وكونه على مستوى النواة ، سيتلقى الحزم وسيتم قبولها أو رفضها من خلال الرجوع إلى قواعد iptables.
الأنواع الثلاثة للجداول:
بيرو يعمل iptables بفضل عدد من أنواع الجداول وهو الموضوع الرئيسي لهذه المقالة.
طاولات MANGLE
ال لوحات MANGLE إنهم مسؤولون عن تعديل الحزم ، ولهذا لديهم الخيارات:
-
سعال: يتم استخدام نوع الخدمة لتحديد نوع الخدمة للحزمة ويجب استخدامه لتحديد كيفية توجيه الحزم ، وليس للحزم التي تنتقل إلى الإنترنت. تتجاهل معظم أجهزة التوجيه قيمة هذا الحقل أو قد تتصرف بشكل غير كامل إذا تم استخدامها لإخراج الإنترنت.
-
TTL: يغير مجال عمر الحزمة. يرمز اختصاره إلى Time To Live ، وعلى سبيل المثال ، يمكن استخدامه عندما لا نرغب في أن يتم اكتشافنا من قبل بعض مزودي خدمة الإنترنت (ISPs) الذين يتطفلون كثيرًا.
-
علامة: تُستخدم لتمييز الحزم بقيم محددة ، وإدارة الحد من عرض النطاق الترددي وإنشاء قوائم انتظار من خلال CBQ (قائمة الانتظار على أساس الفئة). في وقت لاحق يمكن التعرف عليها بواسطة برامج مثل iproute2 لتنفيذ المسارات المختلفة اعتمادًا على العلامة التجارية التي تمتلكها هذه الحزم أم لا.
ربما لا تبدو هذه الخيارات مألوفة لك من المقالة الأولى ، حيث أننا لا نتطرق إلى أي منها.
جداول NAT: تأخير ، نشر
ال جداول NAT (ترجمة عنوان الشبكة)، أي ترجمة عنوان الشبكة ، سيتم استشارتهم عندما تنشئ الحزمة اتصالاً جديدًا. أنها تسمح بمشاركة IP العام بين العديد من أجهزة الكمبيوتر ، وهذا هو السبب في أنها ضرورية في بروتوكول IPv4. معهم يمكننا إضافة قواعد لتعديل عناوين IP للحزم ، وهي تحتوي على قاعدتين: SNAT (تنكر IP) لعنوان المصدر و DNAT (Port Forwarding) لعناوين الوجهة.
إلى قم بإجراء تعديلات, يتيح لنا ثلاثة خيارات لقد رأينا بالفعل بعضها في مقالة iptables الأولى:
- قبل: لتعديل الحزم بمجرد وصولها إلى الكمبيوتر.
- انتاج: لإخراج الحزم التي تم إنشاؤها محليًا وسيتم توجيهها لإخراجها.
- نشر: تعديل الحزم الجاهزة لترك الكمبيوتر.
جداول التصفية:
ال جداول التصفية يتم استخدامها بشكل افتراضي لإدارة حزم البيانات. هذه هي الأكثر استخدامًا وهي مسؤولة عن تصفية الحزم حيث تم تكوين جدار الحماية أو عامل التصفية. تمر جميع الحزم من خلال هذا الجدول ، وللتعديل لديك ثلاثة خيارات محددة مسبقًا رأيناها أيضًا في المقالة التمهيدية:
- إدخال: بالنسبة للإدخال ، أي أن جميع الحزم الموجهة إلى نظامنا يجب أن تمر عبر هذه السلسلة.
- انتاج: بالنسبة للإخراج ، كل تلك الحزم التي أنشأها النظام والتي ستتركها لجهاز آخر.
- إلى الأمام: إعادة التوجيه ، كما تعلم بالفعل ، تعيد توجيههم ببساطة إلى وجهتهم الجديدة ، مما يؤثر على جميع الحزم التي تمر عبر هذه السلسلة.
أخيرًا ، أود أن أقول إن كل حزمة شبكة يتم إرسالها أو استلامها على نظام Linux يجب أن تخضع لأحد هذه الجداول ، واحد منها على الأقل أو أكثر في نفس الوقت. يجب أن يخضع أيضًا لقواعد جدول متعددة. على سبيل المثال ، مع ACCEPT ، يُسمح له بالاستمرار في طريقه ، مع رفض وصول DROP أو عدم إرساله ، ومع رفض يتم تجاهلها ببساطة ، دون إرسال خطأ إلى الخادم أو الكمبيوتر الذي أرسل الحزمة. كما ترى، كل جدول له أهدافه أو سياساته لكل من الخيارات أو السلاسل المذكورة أعلاه. وهذه هي العناصر المذكورة هنا على أنها "قبول" و "إسقاط" و "رفض" ، ولكن هناك واحدًا آخر مثل QUEUE ، والذي قد لا تعرفه ، يتم استخدامه لمعالجة الحزم التي تصل من خلال عملية معينة ، بغض النظر عن عنوانها.
حسنًا ، كما ترون ، iptables صعب بعض الشيء لشرحها في مقال واحد بطريقة عميقة ، آمل أن يكون لديك مع المقالة الأولى فكرة أساسية عن استخدام iptables مع بعض الأمثلة ، وهنا المزيد نظرية. اترك تعليقاتك أو شكوكك أو مساهماتك ، سيكونون موضع ترحيب.