IPTABLES: bordstyper

Isaac

4 minuter

Iptables-drift

Om du inte vet någonting om IPTABLESJag rekommenderar det läs vår första introduktionsartikel till IPTABLES för att ta en bas innan du börjar förklara ämnet för tabellerna i detta fantastiska element i Linux-kärnan för att filtrera och fungera som en kraftfull och effektiv brandvägg eller brandvägg. Och det är att säkerhet är något som oroar sig och mer och mer, men om du är Linux har du tur, eftersom Linux implementerar ett av de bästa verktygen vi kan hitta för att bekämpa hot.

IPTABLES, som du redan borde veta, integreras i själva Linux-kärnan, och är en del av netfilterprojektet, som förutom iptables består av ip6tables, ebtables, arptables och ipset. Det är en mycket konfigurerbar och flexibel brandvägg som de flesta Linux-element, och trots att den haft viss sårbarhet är den fortfarande särskilt kraftfull. Att vara inne i kärnan, det börjar med systemet och förblir aktiv hela tiden och befinner sig på kärnnivå, det kommer att få paket och dessa kommer att accepteras eller avvisas genom att konsultera iptables-reglerna.

De tre typerna av bord:

Men iptables fungerar tack vare ett antal bordstyper vilket är huvudämnet i denna artikel.

MANGLE-tabeller

den MANGLE-brädor De ansvarar för att ändra paketen och för detta har de alternativen:

  • HOSTA: Typ av tjänst används för att definiera typ av tjänst för ett paket och bör användas för att definiera hur paket ska dirigeras, inte för paket som går till Internet. De flesta routrar ignorerar värdet på det här fältet eller kan agera ofullständigt om de används för deras internetutmatning.

  • TTL: ändrar livstidsfältet för ett paket. Dess akronym står för Time To Live och kan till exempel användas för när vi inte vill bli upptäckta av vissa Internetleverantörer (ISP) som är för snooping.

  • MÄRKE: används för att markera paket med specifika värden, begränsa bandbredd och generera köer genom CBQ (Class Based Queuing). Senare kan de kännas igen av program som iproute2 för att utföra olika routningar beroende på varumärket som dessa paket har eller inte.

Kanske dessa alternativ låter inte bekant för dig från den första artikeln, eftersom vi inte rör någon av dem.

NAT-tabeller: FÖRHANDLING, FÖRSTÄLLNING

den NAT-tabeller (Network Address Translation), dvs. nätverksadressöversättning, kommer att konsulteras när ett paket skapar en ny anslutning. De tillåter att en offentlig IP delas mellan många datorer, varför de är väsentliga i IPv4-protokollet. Med dem kan vi lägga till regler för att ändra IP-adresserna för paketen, och de innehåller två regler: SNAT (IP-maskering) för källadressen och DNAT (Port Forwarding) för destinationsadresserna.

till Gör ändringar, tillåter oss tre alternativ vi såg redan några av dem i den första iptables-artikeln:

  • FÖRHANDLING: att ändra paket så snart de anländer till datorn.
  • PRODUKTION: för utdata från paket som genereras lokalt och dirigeras för deras utdata.
  • POST-ROUTING: ändra paket som är redo att lämna datorn.

Filtreringstabeller:

den filtertabeller de används som standard för att hantera datapaket. Dessa är de mest använda och ansvarar för att filtrera paketen eftersom brandväggen eller filtret har konfigurerats. Alla paket går igenom denna tabell, och för modifiering har du tre fördefinierade alternativ som vi också såg i den inledande artikeln:

  • INMATNING: för inmatning, det vill säga alla paket som är avsedda att komma in i vårt system måste gå igenom denna kedja.
  • PRODUKTION: för utdata, alla de paket som skapats av systemet och som kommer att lämna det till en annan enhet.
  • FRAM: omdirigering, som du kanske redan vet, omdirigerar dem helt enkelt till deras nya destination, vilket påverkar alla paket som går igenom denna kedja.

Iptables-tabeller

Slutligen vill jag säga att varje nätverkspaket som skickas eller tas emot på ett Linux-system måste omfattas av en av dessa tabeller, åtminstone en av dem eller flera samtidigt. Det måste också omfattas av flera bordsregler. Till exempel, med ACCEPT är det tillåtet att fortsätta på väg, med DROP-åtkomst nekas eller inte skickas, och med REJECT kasseras det helt enkelt utan att skicka ett fel till servern eller datorn som skickade paketet. Som du ser, varje tabell har sina mål eller policyer för var och en av alternativen eller kedjorna som nämns ovan. Och det är de som nämns här som ACCEPT, DROP och REJECT, men det finns en annan som QUEUE, den senare, som du kanske inte vet, används för att bearbeta paketen som kommer fram genom en viss process, oavsett adress.

Som du kan se är iptables lite svårt att förklara det i en enda artikel på ett djupt sätt, jag hoppas att du med den första artikeln kommer att ha en grundläggande idé om att använda iptables med några exempel, och här några mer teori. Lämna dina kommentarer, tvivel eller bidrag, de kommer att vara välkomna.


Lämna din kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade med *

*

*

  1. Ansvarig för data: AB Internet Networks 2008 SL
  2. Syftet med uppgifterna: Kontrollera skräppost, kommentarhantering.
  3. Legitimering: Ditt samtycke
  4. Kommunikation av uppgifterna: Uppgifterna kommer inte att kommuniceras till tredje part förutom enligt laglig skyldighet.
  5. Datalagring: databas värd för Occentus Networks (EU)
  6. Rättigheter: När som helst kan du begränsa, återställa och radera din information.