IPTABLES: bordtyper

Isaac

4 minutter

Iptables-drift

Hvis du ikke vet noe om IPTABLESJeg anbefaler deg å les vår første innledende artikkel til IPTABLES for å ta en base før du begynner å forklare emnet til tabellene i dette fantastiske elementet i Linux-kjernen for å filtrere og fungere som en kraftig og effektiv brannmur eller brannmur. Og det er at sikkerhet er noe som bekymrer seg og mer og mer, men hvis du er Linux har du flaks, siden Linux implementerer et av de beste verktøyene vi kan finne for å bekjempe trusler.

IPTABLES, som du allerede burde vite, integreres i selve Linux-kjernen, og er en del av netfilterprosjektet, som i tillegg til iptables består av ip6tables, ebtables, arptables og ipset. Det er en svært konfigurerbar og fleksibel brannmur som de fleste Linux-elementer, og til tross for at den har hatt noe sårbarhet, er den likevel spesielt kraftig. Å være inne i kjernen, det begynner med systemet og forblir aktiv hele tiden og være på kjernenivå, det vil motta pakker og disse vil bli akseptert eller avvist ved å se iptables-reglene.

De tre typene bord:

Pero iptables fungerer takket være en rekke bordtyper som er hovedtemaet i denne artikkelen.

MANGLE-bord

Las MANGLE brett De har ansvaret for å endre pakkene, og for dette har de alternativene:

  • HOSTE: Type Service brukes til å definere tjenestetypen for en pakke og skal brukes til å definere hvordan pakker skal rutes, ikke for pakker som går til Internett. De fleste rutere ignorerer verdien av dette feltet eller kan handle ufullkommen hvis de brukes til Internett-utgangen.

  • TTL: endrer levetidsfeltet til en pakke. Akronymet står for Time To Live, og det kan for eksempel brukes til når vi ikke ønsker å bli oppdaget av visse Internett-leverandører (ISPer) som er for snooping.

  • MERKE: brukes til å merke pakker med spesifikke verdier, klarer å begrense båndbredde og generere køer gjennom CBQ (Class Based Queuing). Senere kan de gjenkjennes av programmer som iproute2 for å utføre forskjellige rutinger avhengig av merkevaren som disse pakkene har eller ikke.

Kanskje høres ikke disse alternativene kjent ut fra den første artikkelen, siden vi ikke berører noen av dem.

NAT-tabeller: FORHINDELSE, FORSTROUTERING

Las NAT-tabeller (Network Address Translation), det vil si nettverksadresseoversettelse, blir konsultert når en pakke oppretter en ny forbindelse. De lar en offentlig IP deles mellom mange datamaskiner, og det er derfor de er essensielle i IPv4-protokollen. Med dem kan vi legge til regler for å endre IP-adressene til pakkene, og de inneholder to regler: SNAT (IP masquerading) for kildeadressen og DNAT (Port Forwarding) for destinasjonsadressene.

Til Gjør endringer, gir oss tre alternativer vi så allerede noen av dem i den første iptables-artikkelen:

  • FREMSTILLING: å endre pakker så snart de kommer til datamaskinen.
  • PRODUKSJON: for utdata fra pakker som genereres lokalt og vil bli rutet for deres utdata.
  • POSRUUTING: endre pakker som er klare til å forlate datamaskinen.

Filtreringstabeller:

Las filtertabeller de brukes som standard til å administrere datapakker. Disse er de mest brukte og er ansvarlige for å filtrere pakkene etter hvert som brannmuren eller filteret er konfigurert. Alle pakker går gjennom denne tabellen, og for modifikasjon har du tre forhåndsdefinerte alternativer som vi også så i den innledende artikkelen:

  • INNGANG: for input, det vil si at alle pakker som er bestemt for å komme inn i systemet vårt, må gå gjennom denne kjeden.
  • PRODUKSJON: for utdataene, alle pakkene som er opprettet av systemet og som skal overlate det til en annen enhet.
  • FRAMOVER: omdirigering, som du kanskje allerede vet, omdirigerer dem bare til deres nye destinasjon, og påvirker alle pakker som går gjennom denne kjeden.

Iptables-bord

Til slutt vil jeg si at hver nettverkspakke som sendes eller mottas på et Linux-system, må være underlagt en av disse tabellene, minst en av dem eller flere samtidig. Det må også være underlagt flere bordregler. For eksempel med ACCEPT er det lov å fortsette på vei, med DROP-tilgang nektes eller ikke sendes, og med REJECT blir den ganske enkelt kastet, uten å sende en feil til serveren eller datamaskinen som sendte pakken. Som du kan se, hver tabell har sine mål eller retningslinjer for hver av alternativene eller kjedene nevnt ovenfor. Og det er de som er nevnt her som ACCEPT, DROP og REJECT, men det er en annen som QUEUE, sistnevnte, som du kanskje ikke vet, brukes til å behandle pakkene som kommer gjennom en bestemt prosess, uavhengig av adresse.

Som du kan se, er iptables litt vanskelig å forklare det i en enkelt artikkel på en dyp måte, jeg håper at du med den første artikkelen vil ha en grunnleggende ide om å bruke iptables med noen eksempler, og her noen flere teori. Legg igjen dine kommentarer, tvil eller bidrag, de vil være velkomne.


Legg igjen kommentaren

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

*

*

  1. Ansvarlig for dataene: AB Internet Networks 2008 SL
  2. Formålet med dataene: Kontroller SPAM, kommentaradministrasjon.
  3. Legitimering: Ditt samtykke
  4. Kommunikasjon av dataene: Dataene vil ikke bli kommunisert til tredjeparter bortsett fra ved juridisk forpliktelse.
  5. Datalagring: Database vert for Occentus Networks (EU)
  6. Rettigheter: Når som helst kan du begrense, gjenopprette og slette informasjonen din.