IPTABLES: tabeltypes

Isaac

4 minuten

Iptables operatie

Als je niets weet over IPTABLES, Ik raad je aan lees ons eerste inleidende artikel over IPTABLES om een ​​basis te nemen voordat je begint met het uitleggen van het onderwerp van de tabellen in dit fantastische element van de Linux-kernel om te filteren en te fungeren als een krachtige en effectieve firewall of firewall. En het is dat beveiliging iets is dat steeds meer zorgen baart, maar als je Linux bent, heb je geluk, aangezien Linux een van de beste tools implementeert die we kunnen vinden om bedreigingen te bestrijden.

IPTABLES integreert, zoals je al zou moeten weten, in de Linux-kernel zelf, en maakt deel uit van het netfilter-project, dat naast iptables bestaat uit ip6tables, ebtables, arptables en ipset. Het is een in hoge mate configureerbare en flexibele firewall zoals de meeste Linux-elementen, en ondanks dat het enige kwetsbaarheid heeft gehad, is het niettemin bijzonder krachtig. Omdat het zich in de kernel bevindt, begint het met het systeem en blijft het de hele tijd actief en bevindt het zich op het kernelniveau, het zal pakketten ontvangen en deze zullen worden geaccepteerd of afgewezen door de iptables-regels te raadplegen.

De drie soorten tafels:

Maar iptables werkt dankzij een aantal tabeltypes dat is het belangrijkste onderwerp van dit artikel.

MANGLE-tafels

De MANGLE-planken Ze zijn verantwoordelijk voor het aanpassen van de pakketten, en hiervoor hebben ze de opties:

  • HOESTEN: Type service wordt gebruikt om het type service voor een pakket te definiëren en moet worden gebruikt om te definiëren hoe pakketten moeten worden gerouteerd, niet voor pakketten die naar internet gaan. De meeste routers negeren de waarde van dit veld of werken mogelijk niet perfect als ze worden gebruikt voor hun internetuitvoer.

  • TTL: verandert het levensduurveld van een pakket. De afkorting staat voor Time To Live en kan bijvoorbeeld worden gebruikt als we niet willen worden ontdekt door bepaalde internetproviders (ISP's) die te snuffelen.

  • MARKERING: gebruikt om pakketten met specifieke waarden te markeren, bandbreedte te beperken en wachtrijen te genereren via CBQ (Class Based Queuing). Later kunnen ze worden herkend door programma's zoals iproute2 om de verschillende routings uit te voeren, afhankelijk van het merk dat deze pakketten hebben of niet.

Misschien komen deze opties u niet bekend voor uit het eerste artikel, aangezien we ze niet aanraken.

NAT-tabellen: PREROUTING, POSTROUTING

De NAT-tabellen (Network Address Translation), dat wil zeggen, netwerkadresvertaling, zal worden geraadpleegd wanneer een pakket een nieuwe verbinding tot stand brengt. Ze zorgen ervoor dat een openbaar IP-adres door veel computers kan worden gedeeld, en daarom zijn ze essentieel in het IPv4-protocol. Hiermee kunnen we regels toevoegen om de IP-adressen van de pakketten te wijzigen, en ze bevatten twee regels: SNAT (IP masquerading) voor het bronadres en DNAT (Port Forwarding) voor de bestemmingsadressen.

naar Breng wijzigingen aan, geeft ons drie opties We hebben er al een aantal gezien in het eerste iptables-artikel:

  • VOORBEREIDING: om pakketten te wijzigen zodra ze op de computer aankomen.
  • OUTPUT: voor de uitvoer van pakketten die lokaal worden gegenereerd en voor hun uitvoer worden gerouteerd.
  • POSTROUTEN: pakketten aanpassen die klaar zijn om de computer te verlaten.

Tabellen filteren:

De filtertabellen ze worden standaard gebruikt om datapakketten te beheren. Dit zijn de meest gebruikte en zijn verantwoordelijk voor het filteren van de pakketten als de firewall of filter is geconfigureerd. Alle pakketten doorlopen deze tabel en voor aanpassing heb je drie vooraf gedefinieerde opties die we ook in het inleidende artikel zagen:

  • INVOER: voor invoer, dat wil zeggen dat alle pakketten die bestemd zijn om ons systeem binnen te komen, door deze keten moeten gaan.
  • OUTPUT: voor de uitvoer, al die pakketten die door het systeem zijn gemaakt en die het naar een ander apparaat gaan overlaten.
  • VOORUIT: redirection, zoals u wellicht al weet, leidt hen eenvoudigweg om naar hun nieuwe bestemming en heeft invloed op alle pakketten die door deze keten gaan.

Iptables-tafels

Ten slotte zou ik willen zeggen dat elk netwerkpakket dat op een Linux-systeem wordt verzonden of ontvangen, onderworpen moet zijn aan een van deze tabellen, ten minste één of meerdere tegelijk. Het moet ook onderworpen zijn aan regels voor meerdere tafels. Met ACCEPT is het bijvoorbeeld toegestaan ​​om verder te gaan, met DROP wordt de toegang geweigerd of niet verzonden en met REJECT wordt het gewoon weggegooid, zonder een fout te sturen naar de server of computer die het pakket heeft verzonden. Zoals je ziet, elke tafel heeft zijn doelen of beleid voor elk van de bovengenoemde opties of ketens. En dit zijn degenen die hier worden genoemd als ACCEPT, DROP en REJECT, maar er is er nog een zoals WACHTRIJ, de laatste, die je misschien niet weet, wordt gebruikt om de pakketten te verwerken die via een bepaald proces binnenkomen, ongeacht hun adres.

Nou, zoals je kunt zien, is iptables een beetje moeilijk om het in een enkel artikel diepgaand uit te leggen, ik hoop dat je met het eerste artikel een basisidee hebt van het gebruik van iptables met enkele voorbeelden, en hier nog wat meer theorie. Laat uw opmerkingen, twijfels of bijdragen achter, ze zijn welkom.


Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: AB Internet Networks 2008 SL
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.