IPTABLES: tabulu veidi

Isaac

4 Minutos

Operācija ar Iptables

Ja neko nezināt par IPTABLES, Iesaku jums izlasiet mūsu pirmo rakstu par IPTABLES lai sāktu izskaidrot šī fantastiskā Linux kodola elementa tabulu tēmu, filtrē un darbojas kā spēcīgs un efektīvs ugunsmūris vai ugunsmūris. Un tas ir tas, ka drošība uztraucas arvien vairāk un vairāk, taču, ja esat Linux, jums veicas, jo Linux ievieš vienu no labākajiem rīkiem, ko mēs varam atrast, lai cīnītos pret draudiem.

IPTABLES, kā jums jau vajadzētu zināt, integrējas pašā Linux kodolā, un tā ir daļa no netfilter projekta, kuru papildus iptables veido ip6tables, ebtables, arptables un ipset. Tas ir ļoti konfigurējams un elastīgs ugunsmūris, tāpat kā vairums Linux elementu, un, neskatoties uz to, ka tam ir bijusi kāda ievainojamība, tas tomēr ir īpaši spēcīgs. Atrodoties kodola iekšpusē, tas sākas ar sistēmu un visu laiku paliek aktīvs un, atrodoties kodola līmenī, tas saņems paketes, un tās tiks pieņemtas vai noraidītas, iepazīstoties ar iptables noteikumiem.

Trīs veidu tabulas:

Bet iptables darbojas, pateicoties vairākiem tabulu veidiem kas ir šī raksta galvenā tēma.

MANGLE galdi

the MANGLE dēļi Viņi ir atbildīgi par pakešu modificēšanu, un viņiem ir šādas iespējas:

  • KLEPUS: Pakalpojuma veids tiek izmantots, lai definētu paketes pakalpojuma veidu, un tas jāizmanto, lai noteiktu, kā jāpārvieto paketes, nevis paketēm, kas dodas uz internetu. Lielākā daļa maršrutētāju ignorē šī lauka vērtību vai var darboties nepilnīgi, ja to izmanto interneta izejai.

  • TTL: maina paketes kalpošanas laiku. Tās saīsinājums nozīmē Time To Live, un, piemēram, to var izmantot, ja mēs nevēlamies, lai mūs atklāj daži interneta pakalpojumu sniedzēji (ISP), kuri ir pārāk snooping.

  • ATZĪMĒT: izmanto, lai atzīmētu paketes ar noteiktām vērtībām, ierobežojot joslas platumu un veidojot rindas, izmantojot CBQ (Class Based Queuing). Vēlāk tos var atpazīt tādas programmas kā iproute2, lai veiktu dažādus maršrutus atkarībā no zīmola, kas šīm paketēm ir vai nav.

Varbūt šīs opcijas jums neliekas pazīstamas jau no pirmā raksta, jo mēs nepieskaramies nevienam no tiem.

NAT tabulas: PREROUTING, POSTROUTING

the NAT (tīkla adrešu tulkošana) tabulas, tas ir, tīkla adrešu tulkošana, tiks izmantota, kad pakete izveidos jaunu savienojumu. Tie ļauj publisku IP koplietot starp daudziem datoriem, tāpēc tiem ir būtiska nozīme IPv4 protokolā. Ar tiem mēs varam pievienot kārtulas, lai modificētu pakešu IP adreses, un tajos ir divi noteikumi: SNAT (IP maskēšana) avota adresei un DNAT (Portu pārsūtīšana) galamērķa adresēm.

līdz Veiciet modifikācijas, ļauj mums trīs iespējas Dažus no tiem mēs jau redzējām pirmajā iptables rakstā:

  • PREROUTĒŠANA: modificēt paketes, tiklīdz tās nonāk pie datora.
  • REZULTĀTS: pakešu izejai, kas tiek ģenerētas lokāli un tiks novadītas pēc to izejas.
  • POSTEKĻOŠANA: modificēt paketes, kas ir gatavas atstāt datoru.

Filtrēšanas tabulas:

the filtru tabulas tos pēc noklusējuma izmanto, lai pārvaldītu datu paketes. Tie ir visbiežāk izmantotie un ir atbildīgi par pakešu filtrēšanu, jo ugunsmūris vai filtrs ir konfigurēts. Visas paketes iet cauri šai tabulai, un modificēšanai jums ir trīs iepriekš definētas iespējas, kuras mēs redzējām arī ievadrakstā:

  • INPUT: lai ievadītu, tas ir, visām paketēm, kas paredzētas ienākšanai mūsu sistēmā, jāiet cauri šai ķēdei.
  • REZULTĀTS: izvadei visas sistēmas izveidotās paketes, kas to atstās citā ierīcē.
  • PIRMS: novirzīšana, kā jūs jau zināt, vienkārši novirza tos uz jauno galamērķi, ietekmējot visas paketes, kas iet caur šo ķēdi.

Iptables tabulas

Visbeidzot, es vēlos teikt, ka uz katru tīkla paketi, kas nosūtīta vai saņemta Linux sistēmā, ir jāpakļaujas vienai no šīm tabulām, vismaz vienai vai vairākām vienlaikus. Uz to arī jāattiecina vairāku tabulu noteikumi. Piemēram, ar ACCEPT ir atļauts turpināt savu ceļu, piekļuve DROP tiek liegta vai netiek nosūtīta, un ar REJECT tā vienkārši tiek izmesta, nesūtot kļūdu serverim vai datoram, kurš nosūtīja pakešu. Kā tu redzi, katrai tabulai ir savi mērķi vai politika katrai no iepriekš minētajām opcijām vai ķēdēm. Un tie ir tie, kas šeit tiek minēti kā ACCEPT, DROP un REJECT, bet ir vēl viens, piemēram, QUEUE, pēdējais, kuru jūs, iespējams, nezināt, tiek izmantots, lai apstrādātu paketes, kas pienāk noteiktā procesā, neatkarīgi no to adreses.

Nu, kā redzat, iptables ir mazliet grūti izskaidrot vienā rakstā dziļi, es ceru, ka ar pirmo rakstu jums būs pamatideja izmantot iptables ar dažiem piemēriem, un šeit vēl kādu teoriju . Atstājiet savus komentārus, šaubas vai ieguldījumu, tie būs laipni gaidīti.


Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti ar *

*

*

  1. Atbildīgais par datiem: AB Internet Networks 2008 SL
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekrišana
  4. Datu paziņošana: Dati netiks paziņoti trešām personām, izņemot juridiskus pienākumus.
  5. Datu glabāšana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.