PIKAT: llojet e tabelave

Isaac

Minuta 4

Operacioni i Iptables

Nëse nuk dini asgjë rreth PIKAT, Unë ju rekomandoj që të lexoni artikullin tonë të parë hyrës për IPTABLES në mënyrë që të merrni një bazë para se të filloni të shpjegoni temën e tabelave në këtë element fantastik të kernelit Linux për të filtruar dhe vepruar si një firewall ose firewall i fuqishëm dhe efektiv. Dhe është se siguria është diçka që shqetëson dhe gjithnjë e më shumë, por nëse jeni Linux ju jeni me fat, pasi Linux zbaton një nga mjetet më të mira që ne mund të gjejmë për të luftuar kundër kërcënimeve.

IPTABLES, siç duhet ta dini tashmë, integron në vetë kernelin Linux, dhe është pjesë e projektit netfilter, i cili përveç iptables është i përbërë nga ip6tabela, ebtable, arptables dhe ipset. Isshtë një firewall shumë i rregullueshëm dhe fleksibël si shumica e elementeve Linux, dhe pavarësisht se ka pasur njëfarë dobësie, ai sidoqoftë është veçanërisht i fuqishëm. Duke qenë brenda kernelit, ai fillon me sistemin dhe mbetet aktiv gjatë gjithë kohës dhe duke qenë në nivelin e kernelit, ai do të marrë pako dhe këto do të pranohen ose refuzohen duke konsultuar rregullat e iptables.

Tre llojet e tabelave:

Por iptables funksionon falë një numri të llojeve të tryezave e cila është tema kryesore e këtij artikulli.

Tavolina MANGLE

L Bordet MANGLE Ata janë përgjegjës për modifikimin e paketave dhe për këtë ata kanë mundësitë:

  • Kollitja: Type Of Service përdoret për të përcaktuar llojin e shërbimit për një paketë dhe duhet të përdoret për të përcaktuar se si paketat duhet të drejtohen, jo për paketat që shkojnë në Internet. Shumica e routerëve injorojnë vlerën e kësaj fushe ose mund të veprojnë në mënyrë jo të përsosur nëse përdoren për prodhimin e tyre në Internet.

  • TTL: ndryshon fushën e jetës së një pakete. Akronimi i saj qëndron për Time To Live dhe, për shembull, mund të përdoret kur nuk duam të zbulohemi nga ofrues të caktuar të shërbimeve të Internetit (ISP) që janë shumë përgjues.

  • SHENJË: përdoret për të shënuar paketat me vlera specifike, duke arritur të kufizojë gjerësinë e bandës dhe të gjenerojë radhë përmes CBQ (Klasa e Bazuar në Radhë). Më vonë ato mund të njihen nga programe të tilla si iproute2 për të kryer itinerare të ndryshëm në varësi të markës që kanë këto pako ose jo.

Ndoshta këto opsione nuk ju duken të njohura nga artikulli i parë, pasi ne nuk prekim asnjë prej tyre.

Tabelat e NAT: PREROUTING, POSTROUTING

L Tabelat NAT (Përkthimi i Adresave të Rrjetit), domethënë, përkthimi i adresës së rrjetit, do të konsultohet kur një paketë krijon një lidhje të re. Ato lejojnë që një IP publike të ndahet midis shumë kompjuterave, për këtë arsye ato janë thelbësore në protokollin IPv4. Me to mund të shtojmë rregulla për të modifikuar adresat IP të paketave, dhe ato përmbajnë dy rregulla: SNAT (maskimi i IP) për adresën burimore dhe DNAT (Port Forwarding) për adresat e destinacionit.

Bëni modifikime, na lejon tre mundësi ne tashmë i kemi parë disa prej tyre në artikullin e parë të iptables:

  • FALASIMI: për të modifikuar paketat sapo të arrijnë në kompjuter.
  • Dalja: për prodhimin e paketave që gjenerohen në nivel lokal dhe do të drejtohen për prodhimin e tyre.
  • POSTROUTIM: modifikoni paketat që janë gati të largohen nga kompjuteri.

Tabelat e filtrimit:

L tabela filtri ato përdoren si parazgjedhje për të menaxhuar paketat e të dhënave. Këto janë më të përdorurat dhe janë përgjegjëse për filtrimin e paketave pasi që është konfiguruar firewall ose filtri. Të gjitha paketat kalojnë nëpër këtë tabelë dhe për modifikim keni tre opsione të paracaktuara që i pamë edhe në artikullin hyrës:

  • HYRJA: për hyrje, domethënë, të gjitha paketat e destinuara për të hyrë në sistemin tonë duhet të kalojnë nëpër këtë zinxhir.
  • Dalja: për daljen, të gjitha ato paketa të krijuara nga sistemi dhe që do t'ia lënë atë një pajisjeje tjetër.
  • PWRpara: ridrejtimi, siç mund ta dini tashmë, thjesht i ridrejton ata në destinacionin e tyre të ri, duke prekur të gjitha paketat që kalojnë përmes këtij zinxhiri.

Tabelat e Iptables

Në fund do të doja të them se çdo paketë rrjeti e dërguar ose e marrë në një sistem Linux duhet t'i nënshtrohet njërës prej këtyre tabelave, të paktën njërës prej tyre ose disa në të njëjtën kohë. Ajo gjithashtu duhet t'i nënshtrohet rregullave të tabelave të shumta. Për shembull, me ACCEPT lejohet të vazhdojë rrugën e saj, me hyrjen në DROP nuk pranohet ose nuk dërgohet, dhe me REJECT thjesht hidhet, pa dërguar ndonjë gabim te serveri ose kompjuteri që dërgoi paketën. Siç e shihni, secila tryezë ka synimet ose politikat e saj për secilën prej opsioneve ose zinxhirëve të përmendur më lart. Dhe këto janë ato që përmenden këtu si PRANO, RRONI dhe REFUZO, por ekziston edhe një tjetër si QUEUE, kjo e fundit, të cilën mbase nuk e dini, përdoret për të përpunuar paketat që arrijnë përmes një procesi të caktuar, pavarësisht nga adresa e tyre.

Epo, siç mund ta shihni, iptables është pak e mundimshme për ta shpjeguar atë në një artikull të vetëm në një mënyrë të thellë, shpresoj që me artikullin e parë të keni një ide themelore të përdorimit të iptables me disa shembuj, dhe këtu disa më shumë teoria. Lini komentet, dyshimet ose kontributet tuaja, ato do të jenë të mirëseardhura.


Lini komentin tuaj

Adresa juaj e emailit nuk do të publikohet. Fusha e kërkuar janë shënuar me *

*

*

  1. Përgjegjës për të dhënat: AB Internet Networks 2008 SL
  2. Qëllimi i të dhënave: Kontrolloni SPAM, menaxhimin e komenteve.
  3. Legjitimimi: Pëlqimi juaj
  4. Komunikimi i të dhënave: Të dhënat nuk do t'u komunikohen palëve të treta përveç me detyrim ligjor.
  5. Ruajtja e të dhënave: Baza e të dhënave e organizuar nga Occentus Networks (BE)
  6. Të drejtat: Në çdo kohë mund të kufizoni, rikuperoni dhe fshini informacionin tuaj.