Kung wala kang alam tungkol sa mga IPTABLES, Pinapayo ko kayo basahin ang aming unang pambungad na artikulo sa IPTABLES upang kumuha ng isang batayan bago simulang ipaliwanag ang paksa ng mga talahanayan sa kamangha-manghang sangkap ng Linux kernel upang mag-filter at kumilos bilang isang malakas at mabisang firewall o firewall. At ito ay ang seguridad ay isang bagay na nag-aalala at higit pa at higit pa, ngunit kung ikaw ay Linux ikaw ay swerte, dahil ang Linux ay nagpapatupad ng isa sa mga pinakamahusay na tool na mahahanap namin upang labanan laban sa mga banta.
Ang mga IPTABLES, tulad ng dapat mong malaman, ay isinasama sa mismong kernel ng Linux, at bahagi ng proyekto ng netfilter, na bilang karagdagan sa iptables ay binubuo ng ip6tables, ebtables, arptables at ipset. Ito ay isang lubos na mai-configure at nababaluktot na firewall tulad ng karamihan sa mga elemento ng Linux, at sa kabila ng pagkakaroon ng ilang kahinaan, napakalakas pa rin nito. Ang pagiging nasa loob ng kernel, nagsisimula ito sa system at nananatiling aktibo sa lahat ng oras at nasa antas ng kernel, tatanggap ito ng mga packet at tatanggapin o tatanggihan ito sa pamamagitan ng pagkonsulta sa mga patakaran ng iptables.
Ang tatlong uri ng mga talahanayan:
Peras gumagana ang iptables salamat sa isang bilang ng mga uri ng talahanayan alin ang pangunahing paksa ng artikulong ito.
MANGLE tables
ang MANGLE tables Sila ang namamahala sa pagbabago ng mga package, at para dito mayroon silang mga pagpipilian:
-
BAGO: Ginagamit ang Uri Ng Serbisyo upang tukuyin ang uri ng serbisyo para sa isang packet at dapat gamitin upang tukuyin kung paano dapat mapaandar ang mga packet, hindi para sa mga packet na papunta sa Internet. Karamihan sa mga router ay hindi pinapansin ang halaga ng patlang na ito o maaaring kumilos nang hindi perpekto kung ginamit para sa kanilang output sa Internet.
-
TTL: binabago ang larangan ng panghabambuhay ng isang pakete. Ang acronym nito ay nangangahulugang Time To Live at, halimbawa, maaari itong magamit kung hindi namin nais na matuklasan ng ilang mga service provider ng Internet (ISP) na masyadong sumisinghot.
-
MARKA: ginamit upang markahan ang mga packet na may tukoy na mga halaga, pamamahala upang limitahan ang bandwidth at makabuo ng mga pila sa pamamagitan ng CBQ (Class Base Queue). Sa paglaon maaari silang makilala ng mga programa tulad ng iproute2 upang maisakatuparan ang iba't ibang mga pagruruta depende sa tatak na mayroon o wala ang mga packet na ito.
Marahil ang mga pagpipiliang ito ay hindi pamilyar sa iyo mula sa unang artikulo, dahil hindi namin hinawakan ang alinman sa mga ito.
Mga talahanayan ng NAT: PREROUTING, POSTROUTING
ang Mga talahanayan ng NAT (Network Address Translation), iyon ay, pagsasalin ng network address, ay konsulta kapag ang isang packet ay lumilikha ng isang bagong koneksyon. Pinapayagan nila ang isang pampublikong IP na maibahagi sa maraming mga computer, na ang dahilan kung bakit mahalaga ang mga ito sa IPv4 protocol. Sa kanila maaari kaming magdagdag ng mga panuntunan upang mabago ang mga IP address ng mga packet, at naglalaman ang mga ito ng dalawang mga patakaran: SNAT (IP masquerading) para sa source address at DNAT (Port Forwarding) para sa mga patutunguhang address.
Sa Gumawa ng mga pagbabago, Pinapayagan kaming tatlong pagpipilian nakita na natin ang ilan sa mga ito sa unang artikulo ng iptables:
- PRE-ROUTING: upang baguhin ang mga pakete sa sandaling makarating sila sa computer.
- OUTPUT: para sa output ng mga packet na nabuo nang lokal at ililipat para sa kanilang output.
- POST-ROUTING: baguhin ang mga pakete na handa nang umalis sa computer.
Mga Talaan ng Pag-filter:
ang mga talahanayan ng pansala ginagamit ang mga ito bilang default upang pamahalaan ang mga packet ng data. Ito ang pinaka ginagamit at responsable para sa pag-filter ng mga packet dahil ang firewall o filter ay na-configure. Ang lahat ng mga pakete ay dumaan sa talahanayan na ito, at para sa pagbabago mayroon kang tatlong mga paunang natukoy na pagpipilian na nakita rin namin sa panimulang artikulo:
- INPUT: para sa pag-input, iyon ay, lahat ng mga packet na nakalaan upang ipasok ang aming system ay dapat dumaan sa kadena na ito.
- OUTPUT: para sa output, lahat ng mga pakete na nilikha ng system at iiwan ito sa ibang aparato.
- PAASA: pag-redirect, tulad ng nalalaman mo na, simpleng pag-redirect sa kanila sa kanilang bagong patutunguhan, na nakakaapekto sa lahat ng mga packet na dumaan sa kadena na ito.
Sa wakas nais kong sabihin na ang bawat packet ng network na ipinadala o natanggap sa isang sistema ng Linux ay dapat na napapailalim sa isa sa mga talahanayan na ito, hindi bababa sa isa sa kanila o marami nang sabay. Dapat din itong mapailalim sa maraming mga panuntunan sa talahanayan. Halimbawa Tulad ng nakikita mo, ang bawat talahanayan ay may mga target o patakaran para sa bawat isa sa mga pagpipilian o kadena na nabanggit sa itaas. At ito ang mga nabanggit dito bilang ACCEPT, DROP at REJECT, ngunit may isa pa tulad ng QUEUE, ang huli, na maaaring hindi mo alam, ay ginagamit upang maproseso ang mga packet na dumarating sa isang tiyak na proseso, anuman ang kanilang address.
Kaya, tulad ng nakikita mo, ang mga iptables ay medyo mahirap magpaliwanag nito sa isang solong artikulo sa isang malalim na paraan, inaasahan kong sa unang artikulo ay magkakaroon ka ng pangunahing ideya ng paggamit ng mga iptable na may ilang mga halimbawa, at narito pa teorya. Iwanan ang iyong mga komento, pagdududa o kontribusyon, malugod silang tatanggapin.