IPTABLES: סוגי טבלאות

Isaac

4 דקות

מבצע Iptables

אם אתה לא יודע כלום על IPTABLESאני ממליץ לך קרא את מאמר ההיכרות הראשון שלנו ל- IPTABLES על מנת לקחת בסיס לפני שמתחילים להסביר את נושא הטבלאות באלמנט הפנטסטי הזה של ליבת לינוקס כדי לסנן ולשמש כחומת אש או חומת אש חזקה ויעילה. וזה שאבטחה זה משהו שמדאיג ועוד ועוד, אבל אם אתה לינוקס יש לך מזל, שכן לינוקס מיישמת את אחד הכלים הטובים ביותר שאנחנו יכולים למצוא כדי להילחם נגד איומים.

IPTABLES, כפי שכבר כדאי לדעת, משתלב בליבת הלינוקס עצמה, והוא חלק מפרויקט netfilter, שבנוסף ל- iptables מורכב מ- ip6tables, ebtables, arptables ו- ipset. זהו חומת אש הניתנת להגדרה וגמישה במיוחד כמו רוב רכיבי לינוקס, ולמרות שהייתה לה פגיעות מסוימת, היא בכל זאת חזקה במיוחד. היותו בתוך הליבה, זה מתחיל מהמערכת ונשאר פעיל כל הזמן ונמצא ברמת הליבה, הוא יקבל מנות ואלו יתקבלו או יידחו על ידי התייעצות עם כללי ה- iptables.

שלושת סוגי השולחנות:

אבל iptables עובד הודות למספר סוגי טבלאות שהוא הנושא העיקרי של מאמר זה.

שולחנות MANGLE

לאס לוחות MANGLE הם אחראים על שינוי החבילות, ולשם כך יש להם את האפשרויות:

  • לְהִשְׁתַעֵל: סוג השירות משמש להגדרת סוג השירות לחבילה ויש להשתמש בו כדי להגדיר כיצד יש לנתב חבילות, ולא לחבילות שהולכות לאינטרנט. רוב הנתבים מתעלמים מערכו של שדה זה או עשויים לפעול בצורה לא מושלמת אם משתמשים בהם לפלט האינטרנט שלהם.

  • TTL: משנה את שדה החיים של חבילה. ראשי התיבות שלו מייצגים Time To Live, לדוגמא, זה יכול לשמש כשאנחנו לא רוצים להתגלות על ידי ספקי שירותי אינטרנט מסוימים (ISP) שהם חטטניים מדי.

  • סימן: משמש לסימון חבילות עם ערכים ספציפיים, מצליח להגביל את רוחב הפס וליצור תורים באמצעות CBQ (Class Based Queuing). מאוחר יותר הם יכולים להיות מוכרים על ידי תוכניות כגון iproute2 כדי לבצע את הניתובים השונים, בהתאם למותג שיש לחבילות אלה או לא.

אולי אפשרויות אלה לא נשמעות לכם מוכרות מהמאמר הראשון, מכיוון שאיננו נוגעים באף אחת מהן.

שולחנות NAT: PREROUTING, POSTROUTING

לאס טבלאות NAT (תרגום כתובות רשת)כלומר, תרגום כתובות רשת, יתייעץ כאשר חבילה יוצרת חיבור חדש. הם מאפשרים לשתף IP ציבורי בין מחשבים רבים, ולכן הם חיוניים בפרוטוקול IPv4. איתם אנו יכולים להוסיף כללים לשינוי כתובות ה- IP של המנות, והם מכילים שני כללים: SNAT (IP masquerading) עבור כתובת המקור ו- DNAT (Port Forwarding) עבור כתובות היעד.

כדי בצע שינויים, מאפשר לנו שלוש אפשרויות כמה מהם כבר ראינו במאמר ה- iptables הראשון:

  • הכנה: לשנות חבילות ברגע שהן מגיעות למחשב.
  • תפוקה: עבור הפלט של מנות שנוצרו באופן מקומי וינותבו עבור הפלט שלהן.
  • פוסטרים: לשנות חבילות שמוכנות לצאת מהמחשב.

שולחנות סינון:

לאס טבלאות סינון הם משמשים כברירת מחדל לניהול מנות נתונים. אלה הם הנפוצים ביותר ואחראים על סינון החבילות עם הגדרת חומת האש או המסנן. כל החבילות עוברות בטבלה זו, ולשינוי יש לך שלוש אפשרויות מוגדרות מראש שראינו גם במאמר ההיכרות:

  • קֶלֶט: לצורך קלט, כלומר כל החבילות המיועדות להיכנס למערכת שלנו חייבות לעבור דרך השרשרת הזו.
  • תפוקה: עבור הפלט, כל אותם חבילות שנוצרו על ידי המערכת ושעומדות להשאיר אותה למכשיר אחר.
  • קָדִימָה: הפניה, כפי שאתה אולי כבר יודע, פשוט מפנה אותם ליעדם החדש, ומשפיעה על כל החבילות העוברות בשרשרת זו.

שולחנות Iptables

לבסוף אני רוצה לומר שכל חבילת רשת שנשלחת או מתקבלת במערכת לינוקס חייבת להיות כפופה לאחת מהטבלאות הללו, לפחות אחת מהן או כמה בו זמנית. עליו להיות כפוף גם לכללי שולחן מרובים. לדוגמא, עם ACCEPT מותר להמשיך בדרכו, כאשר גישה ל- DROP נדחית או לא נשלחת, ועם REJECT היא פשוט מושלכת, מבלי לשלוח שגיאה לשרת או למחשב ששלח את החבילה. כפי שאתה רואה, לכל טבלה היעדים או המדיניות שלה לכל אחת מהאופציות או הרשתות שהוזכרו לעיל. ואלה הם המוזכרים כאן כ- ACCEPT, DROP ו- REJECT, אך ישנו עוד אחד כמו QUEUE, האחרון, שאולי אינך מכיר, משמש לעיבוד החבילות שמגיעות בתהליך מסוים, ללא קשר לכתובת שלהן.

ובכן, כפי שאתה יכול לראות, iptables קצת מפרך להסביר זאת במאמר בודד בצורה עמוקה, אני מקווה שעם המאמר הראשון יהיה לך רעיון בסיסי להשתמש ב- iptables עם כמה דוגמאות, וכאן עוד כמה תֵאוֹרִיָה. השאירו הערות, ספקות או תרומות, הם יתקבלו בברכה.


השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי על הנתונים: AB Internet Networks 2008 SL
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.