IPTABLES: tipuri de tabele

Isaac

Minute 4

Operațiunea Iptables

Dacă nu știi nimic despre IPTABLES, Vă recomand să citiți primul nostru articol introductiv la IPTABLES pentru a lua o bază înainte de a începe să explicăm subiectul tabelelor din acest fantastic element al nucleului Linux pentru a filtra și a acționa ca un firewall sau firewall puternic și eficient. Și securitatea este ceva care vă îngrijorează și din ce în ce mai mult, dar dacă sunteți Linux, aveți noroc, deoarece Linux implementează unul dintre cele mai bune instrumente pe care le putem găsi pentru a lupta împotriva amenințărilor.

IPTABLES, așa cum ar trebui să știți deja, se integrează în nucleul Linux în sine, și face parte din proiectul netfilter, care pe lângă iptables este alcătuit din ip6tables, ebtables, arptables și ipset. Este un firewall extrem de configurabil și flexibil ca majoritatea elementelor Linux și, în ciuda faptului că a avut o anumită vulnerabilitate, este încă deosebit de puternic. Fiind în interiorul nucleului, acesta începe cu sistemul și rămâne activ tot timpul și fiind la nivelul nucleului, va primi pachete și acestea vor fi acceptate sau respinse consultând regulile iptables.

Cele trei tipuri de tabele:

Dar iptables funcționează datorită unui număr de tipuri de tabele care este subiectul principal al acestui articol.

Mese MANGLE

Las Plăci MANGLE Aceștia sunt responsabili de modificarea pachetelor și pentru aceasta au opțiunile:

  • TUSE: Tipul de serviciu este utilizat pentru a defini tipul de serviciu pentru un pachet și ar trebui să fie utilizat pentru a defini modul în care pachetele ar trebui să fie direcționate, nu pentru pachetele care merg la Internet. Majoritatea routerelor ignoră valoarea acestui câmp sau pot acționa imperfect dacă sunt utilizate pentru ieșirea lor pe Internet.

  • TTL: modifică câmpul de viață al unui pachet. Acronimul său înseamnă Time To Live și, de exemplu, poate fi folosit atunci când nu vrem să fim descoperiți de anumiți furnizori de servicii de internet (ISP) care sunt prea târâți.

  • MARCĂ: folosit pentru a marca pachetele cu valori specifice, limitând lățimea de bandă și generând cozi prin CBQ (Class Based Queuing). Ulterior, acestea pot fi recunoscute de programe precum iproute2 pentru a efectua diferite rute în funcție de marca pe care o au sau nu aceste pachete.

Poate că aceste opțiuni nu vi se par familiare din primul articol, deoarece nu le atingem pe niciuna dintre ele.

Tabelele NAT: PREROUTING, POSTROUTING

Las Tabelele NAT (Network Address Translation), adică traducerea adresei de rețea, va fi consultată atunci când un pachet creează o nouă conexiune. Permit partajarea unui IP public între multe computere, motiv pentru care sunt esențiale în protocolul IPv4. Cu ele putem adăuga reguli pentru a modifica adresele IP ale pachetelor și conțin două reguli: SNAT (IP masquerading) pentru adresa sursă și DNAT (Port Forwarding) pentru adresele de destinație.

la Faceți modificări, ne permite trei opțiuni Unele dintre ele le-am văzut deja în primul articol iptables:

  • PRELUCRARE: pentru a modifica pachetele imediat ce ajung la computer.
  • IEȘIRE: pentru ieșirea pachetelor care sunt generate local și vor fi direcționate pentru ieșirea lor.
  • POSTRUTARE: modificați pachetele care sunt gata să părăsească computerul.

Tabelele de filtrare:

Las tabele de filtrare sunt utilizate în mod implicit pentru gestionarea pachetelor de date. Acestea sunt cele mai utilizate și sunt responsabile pentru filtrarea pachetelor, deoarece firewall-ul sau filtrul au fost configurate. Toate pachetele trec prin acest tabel, iar pentru modificare aveți trei opțiuni predefinite pe care le-am văzut și în articolul introductiv:

  • INTRARE: pentru intrare, adică toate pachetele destinate să intre în sistemul nostru trebuie să treacă prin acest lanț.
  • IEȘIRE: pentru ieșire, toate acele pachete create de sistem și care îl vor lăsa pe alt dispozitiv.
  • REDIRECŢIONA: redirecționarea, după cum probabil știți deja, le redirecționează pur și simplu către noua lor destinație, afectând toate pachetele care trec prin acest lanț.

Tabelele Iptables

În cele din urmă aș dori să spun că fiecare pachet de rețea trimis sau primit pe un sistem Linux trebuie să fie supus uneia dintre aceste tabele, cel puțin una dintre ele sau mai multe în același timp. De asemenea, trebuie să facă obiectul mai multor reguli de tabel. De exemplu, cu ACCEPT este permis să-și continue drumul, accesul DROP este refuzat sau nu trimis, iar cu REJECT este pur și simplu aruncat, fără a trimite o eroare la serverul sau computerul care a trimis pachetul. Cum vedeți, fiecare tabel are obiectivele sau politicile sale pentru fiecare dintre opțiunile sau lanțurile menționate mai sus. Și acestea sunt cele menționate aici ca ACCEPT, DROP și REJECT, dar există altul ca QUEUE, acesta din urmă, pe care poate nu îl cunoașteți, este folosit pentru a procesa pachetele care ajung printr-un anumit proces, indiferent de adresa lor.

Ei bine, după cum puteți vedea, iptables este puțin dificil de explicat într-un singur articol într-un mod profund, sper că odată cu primul articol veți avea o idee de bază despre utilizarea iptables cu câteva exemple și aici mai multă teorie . Lasă-ți comentariile, îndoielile sau contribuțiile, vor fi binevenite.


Lasă comentariul tău

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

*

*

  1. Responsabil pentru date: AB Internet Networks 2008 SL
  2. Scopul datelor: Control SPAM, gestionarea comentariilor.
  3. Legitimare: consimțământul dvs.
  4. Comunicarea datelor: datele nu vor fi comunicate terților decât prin obligație legală.
  5. Stocarea datelor: bază de date găzduită de Occentus Networks (UE)
  6. Drepturi: în orice moment vă puteți limita, recupera și șterge informațiile.