IPTABLES: typy tabuliek

Isaac

4 minút

Prevádzka Iptables

Ak nič nevieš o IPTABLESOCH, Odporúčam vám prečítajte si náš prvý úvodný článok k IPTABLES aby sme si predtým, ako začneme vysvetľovať tému tabuliek v tomto fantastickom prvku jadra Linuxu, vytvorili základňu, ktorá bude filtrovať a pôsobiť ako výkonný a efektívny firewall alebo firewall. A to je to, že bezpečnosť je stále viac starostí, ale ak máte Linux, máte šťastie, pretože Linux implementuje jeden z najlepších nástrojov na boj proti hrozbám.

IPTABLES, ako by ste už mali vedieť, sa integruje do samotného jadra systému Linux, a je súčasťou projektu netfilter, ktorý okrem iptables pozostáva z ip6tables, ebtables, arptables a ipset. Je to vysoko konfigurovateľný a flexibilný firewall ako väčšina prvkov Linuxu, a napriek tomu, že bol zraniteľný, je stále obzvlášť výkonný. Keď je vo vnútri jadra, začína to systémom a zostáva stále aktívny a na úrovni jadra bude prijímať pakety, ktoré budú prijaté alebo odmietnuté podľa pravidiel iptables.

Tri typy tabuliek:

Hruška iptables funguje vďaka množstvu typov tabuliek ktorá je hlavnou témou tohto článku.

MANGLE stoly

L MANGLE dosky Sú zodpovední za úpravu balíkov a majú na to tieto možnosti:

  • KAŠEĽ: Typ služby sa používa na definovanie typu služby pre paket a mal by sa použiť na definovanie spôsobu smerovania paketov, nie pre pakety smerujúce na internet. Väčšina smerovačov buď ignoruje hodnotu tohto poľa, alebo môže konať nedokonale, ak sa použije na ich internetový výstup.

  • TTL: zmení pole životnosti balíka. Jeho skratka znamená Time To Live a napríklad ju možno použiť, keď nechceme, aby nás objavili niektorí poskytovatelia internetových služieb, ktorí príliš sliedia.

  • ZNAČKA: používa sa na označovanie paketov konkrétnymi hodnotami, pričom sa podarilo obmedziť šírku pásma a generovať fronty prostredníctvom CBQ (Class Based Queuing). Neskôr ich programy ako iproute2 rozpoznajú na vykonanie rôznych smerovaní v závislosti od značky, ktorú tieto pakety majú alebo nie.

Možno vám tieto možnosti z prvého článku neznejú povedome, pretože sa ich nedotkneme.

Tabuľky NAT: VYPREDÁVANIE, POSTROUTING

L Tabuľky NAT (preklad sieťových adries), to znamená preklad sieťových adries, bude skontrolovaný, keď paket vytvorí nové pripojenie. Umožňujú zdieľanie verejnej IP medzi mnohými počítačmi, a preto sú v protokole IPv4 nevyhnutné. Pomocou nich môžeme pridať pravidlá na úpravu adries IP paketov a obsahujú dve pravidlá: SNAT (maskovanie IP) pre zdrojovú adresu a DNAT (Port Forwarding) pre cieľové adresy.

na Vykonajte úpravy, nám umožňuje tri možnosti niektoré z nich sme už videli v prvom článku iptables:

  • VYPREDÁVANIE: upravovať balíčky hneď po príchode k počítaču.
  • VÝKON: pre výstup paketov, ktoré sú generované lokálne a budú smerované pre ich výstup.
  • POSTROUTOVANIE: upravte balíčky, ktoré sú pripravené opustiť počítač.

Filtračné tabuľky:

L filtračné tabuľky štandardne sa používajú na správu dátových paketov. Tieto sú najpoužívanejšie a sú zodpovedné za filtrovanie paketov pri konfigurácii brány firewall alebo filtra. Všetky balíčky prechádzajú touto tabuľkou a na úpravu máte tri preddefinované možnosti, ktoré sme videli aj v úvodnom článku:

  • VSTUP: pre vstup, to znamená, že všetky pakety určené na vstup do nášho systému musia prejsť týmto reťazcom.
  • VÝKON: pre výstup všetky tie balíčky vytvorené systémom a ktoré to nechajú na iné zariadenie.
  • VPRED: presmerovanie, ako už možno viete, ich jednoducho presmeruje na nové miesto určenia a ovplyvní všetky pakety, ktoré prechádzajú týmto reťazcom.

Iptables tabuľky

Na záver by som chcel povedať, že každý sieťový paket odoslaný alebo prijatý v systéme Linux musí podliehať jednej z týchto tabuliek, najmenej jednej alebo viacerým súčasne. Musí tiež podliehať viacerým pravidlám tabuľky. Napríklad s ACCEPT je dovolené pokračovať v ceste, s DROP prístup je odmietnutý alebo neodoslaný a s REJECT je jednoducho zahodený bez odoslania chyby na server alebo počítač, ktorý poslal paket. Ako vidíš, každá tabuľka má svoje ciele alebo zásady pre každú z možností alebo reťazcov uvedených vyššie. A to sú tie, ktoré sa tu spomínajú ako ACCEPT, DROP a REJECT, ale existuje ešte jeden ako QUEUE, druhý, ktorý možno nepoznáte, sa používa na spracovanie paketov, ktoré prichádzajú určitým procesom, bez ohľadu na ich adresu.

Ako vidíte, iptables je trochu namáhavé vysvetliť to v jednom článku hlboko, dúfam, že s prvým článkom budete mať základnú predstavu o použití iptables s niekoľkými príkladmi a tu ešte niekoľkými teória. Zanechajte svoje pripomienky, pochybnosti alebo príspevky, budú vítané.


Zanechajte svoj komentár

Vaša e-mailová adresa nebude zverejnená. Povinné položky sú označené *

*

*

  1. Za údaje zodpovedá: AB Internet Networks 2008 SL
  2. Účel údajov: Kontrolný SPAM, správa komentárov.
  3. Legitimácia: Váš súhlas
  4. Oznamovanie údajov: Údaje nebudú poskytnuté tretím stranám, iba ak to vyplýva zo zákona.
  5. Ukladanie dát: Databáza hostená spoločnosťou Occentus Networks (EU)
  6. Práva: Svoje údaje môžete kedykoľvek obmedziť, obnoviť a vymazať.