IPTABLES: tabelitüübid

Isaac

4 minutit

Rakendus Iptables

Kui sa midagi ei tea umbes IPTABLES, Ma soovitan sind lugege meie esimest IPTABLESi tutvustavat artiklit selleks, et enne Linuxi kerneli selle fantastilise elemendi tabelite teema selgitamist alustada alust, et filtreerida ja toimida võimsa ja tõhusa tulemüürina või tulemüürina. Ja see on see, et turvalisus on mure, mida üha enam ja rohkem, kuid kui olete Linux, on teil õnne, kuna Linux rakendab üht parimat tööriista, mille võime leida ohtude vastu võitlemiseks.

IPTABLES integreerub Linuxi kernelisse, nagu te peaksite juba teadma, ja on osa netfilter projektist, mis lisaks iptables koosneb ip6tables, ebtables, arptable ja ipset. See on väga konfigureeritav ja paindlik tulemüür nagu enamikel Linuxi elementidel ning vaatamata sellele, et sellel oli mõni haavatavus, on see siiski eriti võimas. Tuumas sees olles algab see süsteemist ja jääb kogu aeg aktiivseks ning olles tuuma tasemel, saab see vastu pakette ja need aktsepteeritakse või lükatakse tagasi iptablesi reeglitega tutvudes.

Kolme tüüpi tabelid:

Pero iptables töötab tänu paljudele tabelitüüpidele mis on selle artikli peamine teema.

MANGLE lauad

The MANGLE lauad Nad vastutavad pakettide muutmise eest ja selleks on neil järgmised võimalused:

  • NÕUD: Teenuse tüüpi kasutatakse paketi teenuse tüübi määratlemiseks ja seda tuleks kasutada pakettide marsruutimise määramiseks, mitte Internetile minevate pakettide jaoks. Enamik ruutereid eiravad selle välja väärtust või võivad oma Interneti-väljundina kasutada ebatäiuslikult.

  • TTL: muudab paketi eluea välja. Selle lühend tähistab Time To Live ja seda saab kasutada näiteks siis, kui me ei soovi, et teatud Interneti-teenuse pakkujad (ISP) liiga nuhkivad meid avastaksid.

  • MÄRK: kasutatakse pakettide tähistamiseks konkreetsete väärtustega, piirates ribalaiust ja genereerides järjekorrad CBQ (Class Based Queuing) kaudu. Hiljem saab neid selliste programmide nagu iproute2 abil ära tunda, et nad sooritaksid erinevaid marsruute olenevalt nende pakettide brändist.

Võib-olla ei tundu need valikud teile esimesest artiklist tuttavad, kuna me ei puuduta ühtegi neist.

NAT-tabelid: EELKORRASTAMINE, JÄRELDAMINE

The NAT (Network Address Translation) tabelid, st võrguaadressi tõlkimist, küsitakse, kui pakett loob uue ühenduse. Need võimaldavad avalikku IP-d paljude arvutite vahel jagada, mistõttu on need IPv4-protokollis hädavajalikud. Nendega saame lisada reegleid pakettide IP-aadresside muutmiseks ja need sisaldavad kahte reeglit: lähtekoha aadressi jaoks SNAT (IP maskeerimine) ja sihtkoha aadresside jaoks DNAT (Port Forwarding).

et Tehke muudatused, võimaldab meil kolme võimalust Mõnda neist nägime juba esimeses iptablesi artiklis:

  • ETTEVÕTLUS: muuta pakette kohe, kui need arvutisse jõuavad.
  • VÄLJUND: pakettide väljundiks, mis on loodud kohapeal ja suunatakse nende väljundiks.
  • Järeltöötlus: muuta pakette, mis on arvutist lahkumiseks valmis.

Filtreerimislauad:

The filtritabelid neid kasutatakse vaikimisi andmepakettide haldamiseks. Neid kasutatakse kõige sagedamini ja need vastutavad pakettide filtreerimise eest, kuna tulemüür või filter on konfigureeritud. Kõik paketid läbivad selle tabeli ja muutmiseks on teil kolm eelmääratud valikut, mida nägime ka sissejuhatavas artiklis:

  • SISEND: sisendiks, see tähendab, et kõik meie süsteemi sisenemiseks mõeldud paketid peavad läbima selle ahela.
  • VÄLJUND: väljundi jaoks kõik need süsteemi loodud paketid, mis jätavad selle teisele seadmele.
  • EDASI: ümbersuunamine, nagu te võib-olla juba teate, suunab nad lihtsalt uude sihtkohta, mõjutades kõiki selle ahela läbivaid pakette.

Iptables tabelid

Lõpuks tahaksin öelda, et igale Linuxi süsteemis saadetud või vastuvõetud võrgupaketile peab kuuluma üks neist tabelitest, vähemalt üks neist või mitu korraga. Samuti peavad selle kohta kehtima mitme tabeli reeglid. Näiteks on ACCEPT-iga lubatud oma teed jätkata, DROP-i juurdepääs keelatakse või seda ei saadeta ning REJECT-iga loobutakse lihtsalt sellest, saatmata viga paketti saatnud serverisse või arvutisse. Nagu sa näed, igal tabelil on oma eesmärgid või põhimõtted iga eespool nimetatud valiku või ahela jaoks. Ja neid on siin nimetatud aktsepteerimiseks, langemiseks ja tagasilükkamiseks, kuid on veel üks selline nagu QUEUE, viimast, mida te ei pruugi teada, kasutatakse kindla protsessi kaudu saabuvate pakettide töötlemiseks, olenemata nende aadressist.

Noh, nagu näete, on iptables natuke keeruline seda ühes artiklis põhjalikult lahti seletada, loodan, et esimese artikliga saate põhiidee kasutada iptableid koos mõne näite ja siin veel mõne teooria. Jäta oma kommentaarid, kahtlused või kaastööd, need on teretulnud.


Jäta oma kommentaar

Sinu e-postiaadressi ei avaldata. Kohustuslikud väljad on tähistatud *

*

*

  1. Andmete eest vastutav: AB Internet Networks 2008 SL
  2. Andmete eesmärk: Rämpsposti kontrollimine, kommentaaride haldamine.
  3. Seadustamine: teie nõusolek
  4. Andmete edastamine: andmeid ei edastata kolmandatele isikutele, välja arvatud juriidilise kohustuse alusel.
  5. Andmete salvestamine: andmebaas, mida haldab Occentus Networks (EL)
  6. Õigused: igal ajal saate oma teavet piirata, taastada ja kustutada.