IPTABLES: bordtyper

Isaac

4 minutter

Drift af Iptables

hvis du ikke ved noget om IPTABLER, jeg anbefaler dig at læs vores første introduktionsartikel til IPTABLES for at have en base, før du begynder at forklare emnet for tabellerne i dette fantastiske element af Linux-kernen, at filtrere og fungere som en kraftfuld og effektiv firewall eller firewall. Og det er, at sikkerhed er noget, der bekymrer og mere og mere, men hvis du er en Linux-bruger, er du heldig, da Linux implementerer et af de bedste værktøjer, vi kan finde til at bekæmpe trusler.

IPTABLES, som du allerede burde vide, er integreret i selve Linux-kernen, og er en del af netfilter-projektet, som udover iptables er opbygget af ip6tables, ebtables, arptables og ipset. Det er en meget konfigurerbar og fleksibel firewall som de fleste Linux-elementer, og på trods af at den har en vis sårbarhed, er den ikke desto mindre særlig kraftfuld. Når den er inde i kernen, starter den op med systemet og forbliver oppe hele tiden og er på kerneniveau, vil den modtage pakker, og disse vil blive accepteret eller afvist ved at konsultere iptables-reglerne.

De tre typer tabeller:

Pero iptables fungerer takket være en række bordtyper som er hovedemnet i denne artikel.

MANGLE borde

den MANGLE borde De er ansvarlige for at ændre pakkerne, og til dette har de følgende muligheder:

  • HOSTE: Type of Service bruges til at definere typen af ​​service for en pakke og skal bruges til at definere hvordan pakker skal dirigeres, ikke for pakker der går til internettet. De fleste routere ignorerer værdien af ​​dette felt eller kan virke ufuldkomment, hvis de bruges til dit internetoutput.

  • TTL: ændrer time-to-live-feltet for en pakke. Dens akronym står for Time To Live, og den kan for eksempel bruges til, når vi ikke ønsker at blive opdaget af visse internetudbydere (ISP'er), der er for nysgerrige.

  • MÆRKE: bruges til at markere pakker med specifikke værdier, for at eliminere båndbredde og generere køer gennem CBQ (Class Based Queuing). Senere kan de genkendes af programmer som iproute2 til at udføre de forskellige routings afhængigt af det mærke, som disse pakker har eller ej.

Måske lyder disse muligheder ikke bekendt for dig fra den første artikel, da vi ikke rørte nogen af ​​dem.

NAT-tabeller: PREROUTING, POSTROUTING

den NAT-tabeller (Netværksadresseoversættelse), dvs. netværksadresseoversættelse, vil blive forespurgt, når en pakke opretter en ny forbindelse. De tillader, at en offentlig IP deles mellem mange computere, hvorfor de er essentielle i IPv4-protokollen. Med dem kan vi tilføje regler for at ændre IP-adresserne på pakkerne, og de indeholder to regler: SNAT (IP-maskering) for kildeadressen og DNAT (Port Forwarding) for destinationsadresserne.

til Foretag ændringer, giver os tre muligheder Vi så allerede noget om dem i den første iptables-artikel:

  • FØR ROUTING: at ændre pakker, så snart de ankommer til computeren.
  • PRODUKTION: for output af pakker, der genereres lokalt og skal dirigeres til output.
  • POST-OUTING: ændre pakker, der er klar til at forlade teamet.

Filtrer tabeller:

den filter tabeller de bruges som standard til at administrere datapakker. Disse er de mest brugte og er ansvarlige for pakkefiltrering som konfigureret af firewallen eller filteret. Alle pakker passerer gennem denne tabel, og til ændring har den tre foruddefinerede muligheder, som vi også så i den indledende artikel:

  • INPUT: for adgang, det vil sige, at alle pakker, der er bestemt til at komme ind i vores system, skal gå gennem denne kæde.
  • PRODUKTION: for output, alle de pakker, der er oprettet af systemet, og som vil overlade det til en anden enhed.
  • FREM: omdirigering, som du måske allerede ved, omdirigerer dem simpelthen til deres nye destination, hvilket påvirker alle pakker, der går gennem denne kæde.

iptables tabeller

Til sidst vil jeg gerne sige, at hver netværkspakke, der sendes eller modtages i et Linux-system, skal være underlagt en af ​​disse tabeller, mindst én af dem eller flere på samme tid. Derudover skal det være underlagt flere tabelregler. For eksempel, med ACCEPT er det tilladt at fortsætte sin vej, med DROP-adgang nægtes eller ikke sendes, og med REJECT kasseres det blot, uden at sende en fejl til serveren eller computeren, der sendte pakken. Som du kan se, hver tabel har sine mål eller politikker for hver af de ovennævnte muligheder eller kæder. Og det er dem, der er nævnt her som ACCEPT, DROP og REJECT, men der er en anden som QUEUE, sidstnævnte, som du måske ikke kender, bruges til at behandle de pakker, der ankommer fra en bestemt proces, uanset deres adresse.

Nå, som du kan se, er iptables lidt svært at forklare i en enkelt artikel på en dyb måde, jeg håber, at du med den første artikel får en grundlæggende idé om at bruge iptables med nogle eksempler, og her lidt mere teori . Efterlad dine kommentarer, tvivl eller bidrag, de vil være velkomne.


Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for data: AB Internet Networks 2008 SL
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.