ถ้าคุณไม่รู้อะไรเลย เกี่ยวกับ IPTABLESฉันแนะนำว่า อ่านบทความแนะนำแรกของเราเกี่ยวกับ IPTABLES เพื่อเป็นฐานก่อนที่จะเริ่มอธิบายเรื่องของตารางในองค์ประกอบที่ยอดเยี่ยมของเคอร์เนลลินุกซ์เพื่อกรองและทำหน้าที่เป็นไฟร์วอลล์หรือไฟร์วอลล์ที่ทรงพลังและมีประสิทธิภาพ และนั่นก็คือความปลอดภัยเป็นสิ่งที่น่ากังวลและมากขึ้นเรื่อย ๆ แต่ถ้าคุณเป็น Linux คุณก็โชคดีเนื่องจาก Linux ใช้เครื่องมือที่ดีที่สุดตัวหนึ่งที่เราสามารถพบเพื่อต่อสู้กับภัยคุกคาม
IPTABLES อย่างที่คุณควรทราบรวมอยู่ในเคอร์เนลของลินุกซ์เองและเป็นส่วนหนึ่งของโปรเจ็กต์ netfilter ซึ่งนอกจาก iptables แล้วยังประกอบด้วย ip6tables, ebtables, arptables และ ipset เป็นไฟร์วอลล์ที่กำหนดค่าได้สูงและมีความยืดหยุ่นเช่นเดียวกับองค์ประกอบของ Linux ส่วนใหญ่และแม้จะมีช่องโหว่อยู่บ้าง แต่ก็มีประสิทธิภาพโดยเฉพาะอย่างยิ่ง การอยู่ภายในเคอร์เนลจะเริ่มต้นด้วยระบบและยังคงทำงานอยู่ตลอดเวลาและอยู่ในระดับเคอร์เนลจะได้รับแพ็กเก็ตและสิ่งเหล่านี้จะได้รับการยอมรับหรือปฏิเสธโดยการปฏิบัติตามกฎ iptables
ตารางสามประเภท:
ลูกแพร์ iptables ทำงานได้เนื่องจากตารางหลายประเภท ซึ่งเป็นหัวข้อหลักของบทความนี้
ตาราง MANGLE
ลา บอร์ด MANGLE พวกเขารับผิดชอบในการแก้ไขแพ็คเกจและสำหรับสิ่งนี้พวกเขามีตัวเลือก:
-
ไอ: Type Of Service ใช้เพื่อกำหนดประเภทของบริการสำหรับแพ็กเก็ตและควรใช้เพื่อกำหนดวิธีการกำหนดเส้นทางแพ็กเก็ตไม่ใช่สำหรับแพ็กเก็ตที่ไปที่อินเทอร์เน็ต เราเตอร์ส่วนใหญ่ไม่สนใจค่าของฟิลด์นี้หรืออาจทำงานไม่สมบูรณ์หากใช้สำหรับเอาต์พุตอินเทอร์เน็ต
-
ทีทีแอล: เปลี่ยนฟิลด์อายุการใช้งานของแพ็คเกจ ตัวย่อย่อมาจาก Time To Live และตัวอย่างเช่นสามารถใช้เมื่อเราไม่ต้องการให้ผู้ให้บริการอินเทอร์เน็ต (ISP) บางรายถูกสอดแนมมากเกินไป
-
เครื่องหมาย: ใช้เพื่อทำเครื่องหมายแพ็กเก็ตด้วยค่าเฉพาะ จำกัด แบนด์วิดท์และสร้างคิวผ่าน CBQ (Class Based Queuing) หลังจากนั้นโปรแกรมต่างๆเช่น iproute2 สามารถรับรู้ได้เพื่อดำเนินการตามเส้นทางที่แตกต่างกันขึ้นอยู่กับยี่ห้อที่แพ็กเก็ตเหล่านี้มีหรือไม่
บางทีตัวเลือกเหล่านี้อาจไม่คุ้นเคยกับคุณจากบทความแรกเนื่องจากเราไม่ได้แตะต้องตัวเลือกใด ๆ
ตาราง NAT: PREROUTING, POSTROUTING
ลา ตาราง NAT (Network Address Translation)นั่นคือการแปลที่อยู่เครือข่ายจะได้รับการปรึกษาหารือเมื่อแพ็กเก็ตสร้างการเชื่อมต่อใหม่ อนุญาตให้แชร์ IP สาธารณะระหว่างคอมพิวเตอร์หลายเครื่องซึ่งเป็นเหตุผลว่าทำไมจึงมีความสำคัญในโปรโตคอล IPv4 ด้วยวิธีนี้เราสามารถเพิ่มกฎเพื่อแก้ไขที่อยู่ IP ของแพ็กเก็ตและมีกฎสองข้อ: SNAT (การปลอมแปลง IP) สำหรับที่อยู่ต้นทางและ DNAT (การส่งต่อพอร์ต) สำหรับที่อยู่ปลายทาง
ไปยัง ทำการปรับเปลี่ยน, ช่วยให้เรามีสามทางเลือก เราได้เห็นบางส่วนแล้วในบทความ iptables แรก:
- การเตรียมการ: เพื่อแก้ไขแพ็คเกจทันทีที่มาถึงคอมพิวเตอร์
- เอาท์พุท: สำหรับเอาต์พุตของแพ็กเก็ตที่สร้างขึ้นภายในเครื่องและจะถูกกำหนดเส้นทางสำหรับเอาต์พุต
- โพสต์: แก้ไขแพ็คเกจที่พร้อมออกจากคอมพิวเตอร์
ตารางการกรอง:
ลา ตารางกรอง โดยค่าเริ่มต้นจะใช้เพื่อจัดการแพ็กเก็ตข้อมูล สิ่งเหล่านี้ถูกใช้มากที่สุดและรับผิดชอบในการกรองแพ็กเก็ตเนื่องจากมีการกำหนดค่าไฟร์วอลล์หรือตัวกรอง แพ็กเกจทั้งหมดจะอยู่ในตารางนี้และสำหรับการปรับเปลี่ยนคุณมีตัวเลือกที่กำหนดไว้ล่วงหน้าสามแบบที่เราเห็นในบทความแนะนำ:
- อินพุต: สำหรับการป้อนข้อมูลนั่นคือแพ็กเก็ตทั้งหมดที่ถูกกำหนดให้เข้าสู่ระบบของเราจะต้องผ่านห่วงโซ่นี้
- เอาท์พุท: สำหรับเอาต์พุตแพ็กเกจทั้งหมดที่ระบบสร้างขึ้นและจะปล่อยให้กับอุปกรณ์อื่น
- ไปข้างหน้า: ดังที่คุณอาจทราบอยู่แล้วเพียงแค่เปลี่ยนเส้นทางไปยังปลายทางใหม่ซึ่งส่งผลต่อแพ็กเก็ตทั้งหมดที่ผ่านห่วงโซ่นี้
สุดท้ายนี้ฉันอยากจะบอกว่าแต่ละแพ็กเก็ตเครือข่ายที่ส่งหรือรับบนระบบ Linux จะต้องอยู่ภายใต้ตารางเหล่านี้อย่างน้อยหนึ่งตารางหรือหลายตารางในเวลาเดียวกัน นอกจากนี้ยังต้องอยู่ภายใต้กฎของตารางหลายรายการ ตัวอย่างเช่นด้วย ACCEPT จะได้รับอนุญาตให้ดำเนินการต่อโดยที่การเข้าถึง DROP ถูกปฏิเสธหรือไม่ถูกส่งและด้วย REJECT จะถูกละทิ้งโดยไม่ส่งข้อผิดพลาดไปยังเซิร์ฟเวอร์หรือคอมพิวเตอร์ที่ส่งแพ็กเก็ต อย่างที่คุณเห็น, แต่ละตารางมีเป้าหมายหรือนโยบาย สำหรับตัวเลือกหรือโซ่แต่ละตัวที่กล่าวถึงข้างต้น และนี่คือสิ่งที่กล่าวถึงในที่นี้ว่า ACCEPT, DROP และ REJECT แต่มีอีกแบบหนึ่งเช่น QUEUE ซึ่งคุณอาจไม่ทราบใช้เพื่อประมวลผลแพ็กเก็ตที่มาถึงผ่านกระบวนการหนึ่งโดยไม่คำนึงถึงที่อยู่
อย่างที่คุณเห็น iptables นั้นยากที่จะอธิบายในบทความเดียวในเชิงลึกฉันหวังว่าในบทความแรกคุณจะมีแนวคิดพื้นฐานในการใช้ iptables พร้อมกับตัวอย่างบางส่วนและต่อไปนี้เป็นทฤษฎีเพิ่มเติม . แสดงความคิดเห็นข้อสงสัยหรือการมีส่วนร่วมของคุณพวกเขายินดีต้อนรับ.