IPTABLES: types de table

Isaac

Minutes 4

Fonctionnement Iptables

Si tu ne sais rien à propos d'IPTABLES, je te recommande que lisez notre premier article d'introduction à IPTABLES afin de prendre une base avant de commencer à expliquer le sujet des tables dans cet élément fantastique du noyau Linux pour filtrer et agir comme un pare-feu ou un pare-feu puissant et efficace. Et c'est que la sécurité est quelque chose qui inquiète et de plus en plus, mais si vous êtes Linux vous avez de la chance, puisque Linux implémente l'un des meilleurs outils que l'on puisse trouver pour lutter contre les menaces.

IPTABLES, comme vous devriez déjà le savoir, s'intègre dans le noyau Linux lui-même, et fait partie du projet netfilter, qui, en plus d'iptables, est composé d'ip6tables, d'ebtables, d'arptables et d'ipset. C'est un pare-feu hautement configurable et flexible comme la plupart des éléments Linux, et malgré une certaine vulnérabilité, il reste particulièrement puissant. Étant à l'intérieur du noyau, il commence par le système et reste actif tout le temps et étant au niveau du noyau, il recevra des paquets et ceux-ci seront acceptés ou rejetés en consultant les règles iptables.

Les trois types de tableaux:

Mais iptables fonctionne grâce à un certain nombre de types de tables qui est le sujet principal de cet article.

Tables MANGLE

Les Planches MANGLE Ils sont en charge de modifier les packages, et pour cela ils ont les options:

  • TOUX: Le type de service est utilisé pour définir le type de service pour un paquet et doit être utilisé pour définir comment les paquets doivent être acheminés, et non pour les paquets destinés à Internet. La plupart des routeurs ignorent la valeur de ce champ ou peuvent agir de manière imparfaite s'ils sont utilisés pour leur sortie Internet.

  • TTL : modifie le champ de durée de vie d'un package. Son acronyme signifie Time To Live et, par exemple, il peut être utilisé lorsque nous ne voulons pas être découverts par certains fournisseurs d'accès Internet (FAI) trop espionneurs.

  • MARQUE: Utilisé pour marquer les paquets avec des valeurs spécifiques, limiter la bande passante et générer des files d'attente via CBQ (Class Based Queuing). Plus tard, ils peuvent être reconnus par des programmes tels que iproute2 pour effectuer les différents routages en fonction de la marque que ces paquets ont ou non.

Peut-être que ces options ne vous semblent pas familières depuis le premier article, car nous ne touchons à aucune d'entre elles.

Tables NAT: PREROUTING, POSTROUTING

Les Tables NAT (Network Address Translation), c'est-à-dire la traduction d'adresse réseau, sera consultée lorsqu'un paquet crée une nouvelle connexion. Ils permettent de partager une adresse IP publique entre de nombreux ordinateurs, c'est pourquoi ils sont essentiels dans le protocole IPv4. Avec eux, nous pouvons ajouter des règles pour modifier les adresses IP des paquets, et ils contiennent deux règles: SNAT (IP masquerading) pour l'adresse source et DNAT (Port Forwarding) pour les adresses de destination.

Pour Apportez des modifications, nous permet trois options nous en avons déjà vu certains dans le premier article iptables:

  • PRÉROUTAGE : pour modifier les packages dès leur arrivée sur l'ordinateur.
  • SORTIE: pour la sortie des paquets qui sont générés localement et seront acheminés pour leur sortie.
  • POSTROUTAGE : modifier les packages prêts à quitter l'ordinateur.

Filtrage des tableaux:

Les tables de filtrage ils sont utilisés par défaut pour gérer les paquets de données. Ce sont les plus utilisés et sont responsables du filtrage des paquets lorsque le pare-feu ou le filtre a été configuré. Tous les packages passent par ce tableau, et pour la modification, vous avez trois options prédéfinies que nous avons également vues dans l'article d'introduction:

  • ENTREE: pour l'entrée, c'est-à-dire que tous les paquets destinés à entrer dans notre système doivent passer par cette chaîne.
  • SORTIE: pour la sortie, tous ces packages créés par le système et qui vont le laisser à un autre périphérique.
  • VERS L'AVANT: la redirection, comme vous le savez peut-être déjà, les redirige simplement vers leur nouvelle destination, affectant tous les paquets qui passent par cette chaîne.

Tables Iptables

Enfin je voudrais dire que chaque paquet réseau envoyé ou reçu sur un système Linux doit être soumis à l'une de ces tables, au moins une ou plusieurs à la fois. Il doit également être soumis à plusieurs règles de table. Par exemple, avec ACCEPT, il est autorisé à continuer son chemin, avec DROP l'accès est refusé ou non envoyé, et avec REJECT, il est simplement rejeté, sans envoyer d'erreur au serveur ou à l'ordinateur qui a envoyé le paquet. Comme tu vois, chaque table a ses objectifs ou politiques pour chacune des options ou chaînes mentionnées ci-dessus. Et ce sont ceux mentionnés ici comme ACCEPT, DROP et REJECT, mais il y en a un autre comme QUEUE, ce dernier, que vous ne connaissez peut-être pas, est utilisé pour traiter les paquets qui arrivent par un certain processus, quelle que soit leur adresse.

Eh bien, comme vous pouvez le voir, iptables est un peu difficile à expliquer en un seul article de manière approfondie, j'espère qu'avec le premier article, vous aurez une idée de base de l'utilisation d'iptables avec quelques exemples, et en voici encore plus théorie. Laissez vos commentaires, doutes ou contributions, ils seront les bienvenus.


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données : AB Internet Networks 2008 SL
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.