IPTABLES: typy tabel

Isaac

4 minut

Operacja Iptables

Jeśli nic nie wiesz o IPTABLES, Polecam przeczytaj nasz pierwszy artykuł wprowadzający do IPTABLES aby zebrać podstawy przed rozpoczęciem wyjaśniania tematu tabel w tym fantastycznym elemencie jądra Linuksa, aby filtrować i działać jako potężna i skuteczna zapora lub firewall. I chodzi o to, że bezpieczeństwo jest czymś, co martwi się i coraz bardziej, ale jeśli jesteś Linuksem, masz szczęście, ponieważ Linux wdraża jedno z najlepszych narzędzi, jakie możemy znaleźć do walki z zagrożeniami.

IPTABLES, jak powinieneś już wiedzieć, integruje się z samym jądrem Linuksa, i jest częścią projektu netfilter, który oprócz iptables składa się z ip6tables, ebtables, arptables i ipset. Jest to wysoce konfigurowalna i elastyczna zapora ogniowa, jak większość elementów Linuksa, i pomimo posiadania pewnej luki w zabezpieczeniach, nadal jest szczególnie potężna. Będąc wewnątrz jądra, zaczyna się od systemu i pozostaje aktywny przez cały czas, a będąc na poziomie jądra, będzie odbierał pakiety, które będą akceptowane lub odrzucane po zapoznaniu się z regułami iptables.

Trzy rodzaje tabel:

Pero iptables działa dzięki wielu typom tabel co jest głównym tematem tego artykułu.

Stoły MANGLE

Te Deski MANGLE Są odpowiedzialni za modyfikowanie pakietów i mają do tego opcje:

  • KASZEL: Typ usługi służy do definiowania typu usługi dla pakietu i powinien być używany do definiowania sposobu trasowania pakietów, a nie do pakietów kierowanych do Internetu. Większość routerów ignoruje wartość tego pola lub może działać niedoskonale, jeśli jest używane do ich wyjścia internetowego.

  • Czas wygaśnięcia: zmienia pole życia pakietu. Jego akronim oznacza Time To Live i może być używany, na przykład, gdy nie chcemy, aby nas wykryli niektórzy dostawcy usług internetowych (ISP), którzy zbytnio szpiegują.

  • ZNAK: służy do oznaczania pakietów z określonymi wartościami, ograniczania przepustowości i generowania kolejek przez CBQ (Class Based Queuing). Później mogą być rozpoznawane przez programy takie jak iproute2, aby wykonywać różne trasy w zależności od marki, którą te pakiety mają lub nie.

Być może te opcje nie brzmią znajomo z pierwszego artykułu, ponieważ nie dotykamy żadnej z nich.

Tabele NAT: PREROUTING, POSTROUTING

Te Tabele NAT (Network Address Translation), to znaczy translacja adresów sieciowych, będzie konsultowana, gdy pakiet utworzy nowe połączenie. Pozwalają na współdzielenie publicznego adresu IP między wieloma komputerami, dlatego są niezbędne w protokole IPv4. Dzięki nim możemy dodawać reguły modyfikujące adresy IP pakietów i zawierają one dwie reguły: SNAT (IP masquerading) dla adresu źródłowego i DNAT (Port Forwarding) dla adresów docelowych.

do Wprowadź modyfikacje, daje nam trzy opcje Niektóre z nich widzieliśmy już w pierwszym artykule iptables:

  • WSTĘPNE: modyfikować pakiety, gdy tylko dotrą do komputera.
  • WYDAJNOŚĆ: na wyjściu pakietów, które są generowane lokalnie i będą kierowane do ich wyjścia.
  • PRZESŁANIE: modyfikować pakiety, które są gotowe do opuszczenia komputera.

Tabele filtrowania:

Te filtrowanie tabel są one używane domyślnie do zarządzania pakietami danych. Są to najczęściej używane i są odpowiedzialne za filtrowanie pakietów po skonfigurowaniu zapory lub filtru. Wszystkie pakiety przechodzą przez tę tabelę, a do modyfikacji masz trzy predefiniowane opcje, które widzieliśmy również w artykule wprowadzającym:

  • WEJŚCIE: na wejściu, to znaczy wszystkie pakiety przeznaczone do wejścia do naszego systemu muszą przejść przez ten łańcuch.
  • WYDAJNOŚĆ: na wyjściu wszystkie te pakiety utworzone przez system, które zostawiają go na innym urządzeniu.
  • NAPRZÓD: przekierowanie, jak być może już wiesz, po prostu przekierowuje je do nowego miejsca docelowego, wpływając na wszystkie pakiety przechodzące przez ten łańcuch.

Tabele Iptables

Na koniec chciałbym powiedzieć, że każdy pakiet sieciowy wysyłany lub odbierany w systemie Linux musi podlegać jednej z tych tabel, przynajmniej jednej z nich lub kilku jednocześnie. Musi również podlegać regułom dotyczącym wielu tabel. Na przykład, za pomocą ACCEPT można kontynuować podróż, przy DROP dostęp jest zabroniony lub nie jest wysyłany, a przy REJECT jest po prostu odrzucany, bez wysyłania błędu do serwera lub komputera, który wysłał pakiet. Jak widzicie, każda tabela ma swoje cele lub zasady dla każdej z opcji lub łańcuchów wymienionych powyżej. Są to te wymienione tutaj jako ACCEPT, DROP i REJECT, ale jest jeszcze jeden, taki jak QUEUE, ten drugi, którego możesz nie znać, jest używany do przetwarzania pakietów przychodzących przez określony proces, niezależnie od ich adresu.

Cóż, jak widzisz, iptables jest trochę żmudne, aby wyjaśnić to w jednym artykule w dogłębny sposób, mam nadzieję, że w pierwszym artykule będziesz miał podstawowe pojęcie o używaniu iptables z kilkoma przykładami, a tutaj trochę więcej teoria. Zostaw swoje uwagi, wątpliwości lub uwagi, będą mile widziane.


Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: AB Internet Networks 2008 SL
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.