IPTABLES: Tabellentypen

Isaac

4 Minuten

Iptables-Betrieb

Wenn Sie nichts wissen über IPTABLESIch empfehle es dir Lesen Sie unseren ersten Einführungsartikel zu IPTABLES Um eine Basis zu schaffen, bevor Sie beginnen, das Thema der Tabellen in diesem fantastischen Element des Linux-Kernels zu erläutern, um zu filtern und als leistungsstarke und effektive Firewall oder Firewall zu fungieren. Und es ist etwas, das Sicherheit immer mehr beunruhigt, aber wenn Sie Linux sind, haben Sie Glück, da Linux eines der besten Tools implementiert, die wir finden können, um Bedrohungen zu bekämpfen.

IPTABLES wird, wie Sie bereits wissen sollten, in den Linux-Kernel selbst integriertund ist Teil des netfilter-Projekts, das neben iptables aus ip6tables, ebtables, arptables und ipset besteht. Es ist eine hoch konfigurierbare und flexible Firewall wie die meisten Linux-Elemente und trotz einiger Sicherheitslücken dennoch besonders leistungsfähig. Wenn es sich im Kernel befindet, beginnt es mit dem System und bleibt die ganze Zeit aktiv. Wenn es sich auf Kernelebene befindet, empfängt es Pakete und diese werden durch Konsultation der iptables-Regeln akzeptiert oder abgelehnt.

Die drei Arten von Tabellen:

Birne iptables funktioniert dank einer Reihe von Tabellentypen Welches ist das Hauptthema dieses Artikels.

MANGLE Tische

Die MANGLE Bretter Sie sind für die Änderung der Pakete verantwortlich und haben dafür die folgenden Optionen:

  • HUSTEN: Der Diensttyp wird verwendet, um den Diensttyp für ein Paket zu definieren, und sollte verwendet werden, um zu definieren, wie Pakete weitergeleitet werden sollen, nicht für Pakete, die ins Internet gehen. Die meisten Router ignorieren den Wert dieses Felds oder verhalten sich möglicherweise unvollständig, wenn sie für ihre Internetausgabe verwendet werden.

  • TTL: Ändert das Lebensdauerfeld eines Pakets. Das Akronym steht für Time To Live und kann beispielsweise verwendet werden, wenn wir nicht von bestimmten Internet Service Providern (ISPs) entdeckt werden möchten, die zu schnüffeln.

  • KENNZEICHEN: Wird verwendet, um Pakete mit bestimmten Werten zu markieren, die Bandbreite zu begrenzen und Warteschlangen über CBQ (Class Based Queuing) zu generieren. Später können sie von Programmen wie iproute2 erkannt werden, um die verschiedenen Routings auszuführen, abhängig von der Marke, die diese Pakete haben oder nicht.

Vielleicht kommen Ihnen diese Optionen aus dem ersten Artikel nicht bekannt vor, da wir keine davon berühren.

NAT-Tabellen: PREROUTING, POSTROUTING

Die NAT-Tabellen (Network Address Translation)Das heißt, die Netzwerkadressübersetzung wird konsultiert, wenn ein Paket eine neue Verbindung herstellt. Sie ermöglichen die gemeinsame Nutzung einer öffentlichen IP-Adresse zwischen vielen Computern, weshalb sie im IPv4-Protokoll unverzichtbar sind. Mit ihnen können wir Regeln hinzufügen, um die IP-Adressen der Pakete zu ändern, und sie enthalten zwei Regeln: SNAT (IP Masquerading) für die Quelladresse und DNAT (Port Forwarding) für die Zieladressen.

zu Nehmen Sie Änderungen vor, erlaubt uns drei Möglichkeiten Einige davon haben wir bereits im ersten Artikel zu iptables gesehen:

  • VORBEREITUNG: Pakete zu ändern, sobald sie am Computer ankommen.
  • AUSGABE: für die Ausgabe von Paketen, die lokal generiert werden und für ihre Ausgabe weitergeleitet werden.
  • POST-ROUTING: Ändern Sie Pakete, die bereit sind, den Computer zu verlassen.

Filtertabellen:

Die Filtertabellen Sie werden standardmäßig zum Verwalten von Datenpaketen verwendet. Diese werden am häufigsten verwendet und sind für das Filtern der Pakete verantwortlich, wenn die Firewall oder der Filter konfiguriert wurde. Alle Pakete gehen diese Tabelle durch, und zur Änderung haben Sie drei vordefinierte Optionen, die wir auch im Einführungsartikel gesehen haben:

  • EINGANG: Für die Eingabe, dh alle Pakete, die in unser System gelangen sollen, müssen diese Kette durchlaufen werden.
  • AUSGABE: für die Ausgabe alle Pakete, die vom System erstellt wurden und die es einem anderen Gerät überlassen.
  • NACH VORNE: Wie Sie vielleicht bereits wissen, leitet die Umleitung sie einfach an ihr neues Ziel weiter, was sich auf alle Pakete auswirkt, die diese Kette durchlaufen.

Iptables-Tabellen

Abschließend möchte ich sagen, dass jedes auf einem Linux-System gesendete oder empfangene Netzwerkpaket einer dieser Tabellen unterliegen muss, mindestens einer oder mehreren gleichzeitig. Es muss auch mehreren Tabellenregeln unterliegen. Mit ACCEPT kann es beispielsweise seinen Weg fortsetzen, mit DROP-Zugriff wird der Zugriff verweigert oder nicht gesendet, und mit REJECT wird er einfach verworfen, ohne dass ein Fehler an den Server oder Computer gesendet wird, der das Paket gesendet hat. Wie du siehst, Jede Tabelle hat ihre Ziele oder Richtlinien für jede der oben genannten Optionen oder Ketten. Und dies sind diejenigen, die hier als AKZEPTIEREN, TROPFEN und ABLEHNEN erwähnt werden, aber es gibt eine andere wie QUEUE, wobei letztere, die Sie möglicherweise nicht kennen, verwendet wird, um die Pakete zu verarbeiten, die durch einen bestimmten Prozess ankommen, unabhängig von ihrer Adresse.

Wie Sie sehen, ist es etwas schwierig, iptables in einem einzigen Artikel ausführlich zu erläutern. Ich hoffe, dass Sie mit dem ersten Artikel eine grundlegende Idee haben, iptables mit einigen Beispielen zu verwenden, und hier noch einige mehr Theorie. Hinterlassen Sie Ihre Kommentare, Zweifel oder Beiträge, sie sind willkommen.


Hinterlasse einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert mit *

*

*

  1. Verantwortlich für die Daten: AB Internet Networks 2008 SL
  2. Zweck der Daten: Kontrolle von SPAM, Kommentarverwaltung.
  3. Legitimation: Ihre Zustimmung
  4. Übermittlung der Daten: Die Daten werden nur durch gesetzliche Verpflichtung an Dritte weitergegeben.
  5. Datenspeicherung: Von Occentus Networks (EU) gehostete Datenbank
  6. Rechte: Sie können Ihre Informationen jederzeit einschränken, wiederherstellen und löschen.