IPTABLES: tipi tabel

Isaac

4 minut

Delovanje Iptables

Če ne veste ničesar o IPTABLES, Vam priporočam preberite naš prvi uvodni članek v IPTABLES da bi pred začetkom razložili temo tabel v tem fantastičnem elementu jedra Linuxa, da bi filtrirali in delovali kot močan in učinkovit požarni zid ali požarni zid. In to je tisto, kar skrbi, da je skrb vedno bolj zaskrbljujoča, toda če ste Linux, imate srečo, saj Linux uporablja eno najboljših orodij, ki jih lahko najdemo za boj proti grožnjam.

IPTABLES se, kot bi že morali vedeti, integrira v samo jedro Linuxa, in je del projekta netfilter, ki je poleg iptables sestavljen iz ip6tables, ebtables, arptables in ipset. Je zelo prilagodljiv in prilagodljiv požarni zid kot večina elementov Linuxa, kljub temu da je imel nekaj ranljivosti, pa je še posebej močan. Ker je znotraj jedra, se začne s sistemom in ostane ves čas aktiven, na ravni jedra pa bo prejemal pakete, ki bodo sprejeti ali zavrnjeni s pomočjo pravil o iptables.

Tri vrste tabel:

Hruška iptables deluje zahvaljujoč številnim vrstam tabel ki je glavna tema tega članka.

MANGLE tabele

The Plošče MANGLE Zadolženi so za spreminjanje paketov in za to imajo možnosti:

  • KAŠALJ: Vrsta storitve se uporablja za določanje vrste storitve za paket in mora biti uporabljena za določanje načina preusmeritve paketov, ne za pakete, ki gredo v internet. Večina usmerjevalnikov ignorira vrednost tega polja ali lahko deluje nepopolno, če se uporablja za njihov internetni izhod.

  • TTL: spremeni življenjsko dobo paketa. Njegova kratica je kratica Time To Live in na primer lahko jo uporabimo, kadar nočemo, da nas nekateri ponudniki internetnih storitev (ISP) odkrijejo preveč.

  • OZNAKA: uporablja se za označevanje paketov s posebnimi vrednostmi, omejevanje pasovne širine in ustvarjanje čakalnih vrst prek CBQ (Class Based Queuing). Kasneje jih lahko programi, kot je iproute2, prepoznajo za izvajanje različnih usmeritev, odvisno od znamke, ki jo imajo ti paketi ali ne.

Morda se vam te možnosti iz prvega članka ne zdijo znane, saj se nobene ne dotaknemo.

NAT tabele: PREDELJANJE, POSTROUTIRANJE

The Tabele NAT (Network Address Translation), to je prevajanje omrežnih naslovov, bo uporabljeno, ko paket ustvari novo povezavo. Omogočajo skupno rabo javnega IP-ja med številnimi računalniki, zato so bistveni pri protokolu IPv4. Z njimi lahko dodamo pravila za spreminjanje naslovov IP paketov, vsebujejo pa dve pravili: SNAT (IP masquerading) za izvorni naslov in DNAT (Port Forwarding) za ciljne naslove.

za Naredite spremembe, nam omogoča tri možnosti nekatere smo že videli v prvem članku o iptables:

  • PREDELJANJE: za spremembo paketov takoj, ko prispejo v računalnik.
  • IZHOD: za izhod paketov, ki se generirajo lokalno in bodo usmerjeni za njihov izhod.
  • POSTROUTIRANJE: spremenite pakete, ki so pripravljeni zapustiti računalnik.

Tabele za filtriranje:

The filtrirne tabele privzeto se uporabljajo za upravljanje podatkovnih paketov. Ti so najpogosteje uporabljeni in so odgovorni za filtriranje paketov, ko je konfiguriran požarni zid ali filter. Vsi paketi gredo skozi to tabelo in za spremembo imate na voljo tri vnaprej določene možnosti, ki smo jih videli tudi v uvodnem članku:

  • VHOD: za vhod, torej vsi paketi, ki bodo namenjeni v naš sistem, morajo iti skozi to verigo.
  • IZHOD: za izhodne podatke, vse tiste pakete, ki jih je ustvaril sistem in ki jih bodo prepustili drugi napravi.
  • NAPREJ: preusmeritev, kot že morda veste, jih preprosto preusmeri na nov cilj in vpliva na vse pakete, ki gredo skozi to verigo.

Iptables tabele

Na koncu bi rad povedal, da mora biti za vsak omrežni paket, poslan ali prejet v sistemu Linux, podrejena ena od teh tabel, vsaj ena od njih ali več hkrati. Zanj morajo veljati tudi pravila več tabel. Na primer, z ACCEPT je dovoljeno nadaljevanje poti, z DROP je dostop zavrnjen ali ne poslan, z REJECT pa preprosto zavržen, ne da bi se strežniku ali računalniku, ki je poslal paket, poslala napaka. Kot vidiš, vsaka tabela ima svoje cilje ali politike za vsako od zgoraj omenjenih možnosti ali verig. In to so tisti, ki so tukaj omenjeni kot ACCEPT, DROP in REJECT, obstaja pa še en, kot je QUEUE, slednji, ki ga morda ne poznate, se uporablja za obdelavo paketov, ki prispejo po določenem postopku, ne glede na njihov naslov.

No, kot vidite, je iptables malce mučno razložiti v enem samem članku na globok način, upam, da boste s prvim člankom imeli osnovno idejo o uporabi iptables z nekaj primeri, tukaj pa še nekaj teorija. Pustite svoje komentarje, dvome ali prispevke, dobrodošli bodo.


Pustite svoj komentar

Vaš e-naslov ne bo objavljen. Obvezna polja so označena z *

*

*

  1. Odgovoren za podatke: AB Internet Networks 2008 SL
  2. Namen podatkov: Nadzor neželene pošte, upravljanje komentarjev.
  3. Legitimacija: Vaše soglasje
  4. Sporočanje podatkov: Podatki se ne bodo posredovali tretjim osebam, razen po zakonski obveznosti.
  5. Shranjevanje podatkov: Zbirka podatkov, ki jo gosti Occentus Networks (EU)
  6. Pravice: Kadar koli lahko omejite, obnovite in izbrišete svoje podatke.