IPTABLES: typy tabulek

Isaac

4 minut

Provoz Iptables

Pokud nic nevíte o IPTABLES, Doporučuji vám přečtěte si náš první úvodní článek k IPTABLES za účelem získání základny, než začnete vysvětlovat předmět tabulek v tomto fantastickém prvku linuxového jádra, aby filtroval a fungoval jako silný a efektivní firewall nebo firewall. A to je to, že bezpečnost je něco, co vás znepokojuje a čím dál víc, ale pokud jste Linux, máte štěstí, protože Linux implementuje jeden z nejlepších nástrojů, které můžeme v boji proti hrozbám najít.

IPTABLES, jak byste již měli vědět, se integruje do samotného jádra Linuxu, a je součástí projektu netfilter, který je kromě iptables tvořen ip6tables, ebtables, arptables a ipset. Jedná se o vysoce konfigurovatelný a flexibilní firewall jako většina prvků Linuxu, a přesto, že měl určitou zranitelnost, je obzvláště výkonný. Protože je uvnitř jádra, začíná se systémem a zůstává aktivní po celou dobu a na úrovni jádra, bude přijímat pakety a tyto budou přijímány nebo odmítány podle pravidel iptables.

Tři typy stolů:

Ale iptables funguje díky řadě typů tabulek což je hlavní téma tohoto článku.

MANGLE tabulky

the MANGLE desky Mají na starosti úpravy balíčků a mají k dispozici tyto možnosti:

  • KAŠEL: Typ služby se používá k definování typu služby pro paket a měl by se použít k definování způsobu směrování paketů, nikoli u paketů směřujících do Internetu. Většina směrovačů ignoruje hodnotu tohoto pole nebo se může chovat nedokonale, pokud je použita pro jejich internetový výstup.

  • TTL: změní pole životnosti balíčku. Jeho zkratka znamená Time To Live a například ji lze použít, když nechceme, aby nás objevili někteří poskytovatelé internetových služeb (ISP), kteří příliš slídí.

  • OZNAČIT: slouží k označení paketů konkrétními hodnotami, omezení šířky pásma a generování front prostřednictvím CBQ (Class Based Queuing). Později je mohou programy, jako je iproute2, rozpoznat, aby provedly různé směry v závislosti na značce, kterou tyto pakety mají, či nikoli.

Možná vám tyto možnosti z prvního článku nezní povědomě, protože se žádného z nich nedotkneme.

NAT tabulky: PREROUTING, POSTROUTING

the Tabulky NAT (Network Address Translation), tj. překlad síťových adres, bude konzultován, když paket vytvoří nové připojení. Umožňují sdílení veřejné IP adresy mezi mnoha počítači, a proto jsou v protokolu IPv4 zásadní. S nimi můžeme přidat pravidla pro úpravu IP adres paketů a obsahují dvě pravidla: SNAT (IP masquerading) pro zdrojovou adresu a DNAT (Port Forwarding) pro cílové adresy.

na Proveďte úpravy, umožňuje nám tři možnosti Některé z nich jsme již viděli v prvním článku iptables:

  • ZPRACOVÁNÍ: upravit balíčky, jakmile dorazí k počítači.
  • VÝSTUP: pro výstup paketů, které jsou generovány lokálně a budou směrovány na jejich výstup.
  • POSTROUTOVÁNÍ: upravit balíčky, které jsou připraveny opustit počítač.

Filtrační tabulky:

the filtrační tabulky ve výchozím nastavení se používají ke správě datových paketů. Jedná se o nejpoužívanější a jsou zodpovědné za filtrování paketů při konfiguraci brány firewall nebo filtru. Všechny balíčky procházejí touto tabulkou a pro úpravy máte tři předdefinované možnosti, které jsme také viděli v úvodním článku:

  • VSTUP: pro vstup, to znamená, že všechny pakety určené pro vstup do našeho systému musí projít tímto řetězcem.
  • VÝSTUP: pro výstup všechny balíčky vytvořené systémem, které ho nechají na jiném zařízení.
  • VPŘED: přesměrování, jak již možná víte, je jednoduše přesměruje do jejich nového cíle a ovlivní všechny pakety, které procházejí tímto řetězcem.

Stoly Iptables

Na závěr bych chtěl říci, že každý síťový paket odeslaný nebo přijat v systému Linux musí podléhat jedné z těchto tabulek, alespoň jedné nebo několika současně. Musí také podléhat několika pravidlům tabulky. Například s ACCEPT je povoleno pokračovat v cestě, s přístupem DROP je odepřen nebo neodeslán a pomocí REJECT je jednoduše zahozeno, aniž by byla odeslána chyba serveru nebo počítači, který odeslal paket. Jak sám vidíš, každá tabulka má své cíle nebo zásady pro každou z výše uvedených možností nebo řetězců. A to jsou ty, které jsou zde zmíněny jako ACCEPT, DROP a REJECT, ale existuje ještě jedna jako QUEUE, druhá, kterou možná nevíte, se používá ke zpracování paketů, které přicházejí určitým procesem, bez ohledu na jejich adresu.

Jak vidíte, iptables je trochu namáhavé vysvětlit to v jediném článku hlubokým způsobem, doufám, že s prvním článkem budete mít základní představu o používání iptables s několika příklady a zde další teorie. Zanechte své připomínky, pochybnosti nebo příspěvky, budou vítány.


Zanechte svůj komentář

Vaše e-mailová adresa nebude zveřejněna. Povinné položky jsou označeny *

*

*

  1. Za data odpovídá: AB Internet Networks 2008 SL
  2. Účel údajů: Ovládací SPAM, správa komentářů.
  3. Legitimace: Váš souhlas
  4. Sdělování údajů: Údaje nebudou sděleny třetím osobám, s výjimkou zákonných povinností.
  5. Úložiště dat: Databáze hostovaná společností Occentus Networks (EU)
  6. Práva: Vaše údaje můžete kdykoli omezit, obnovit a odstranit.