IPTABLES: типи таблиць

Isaac

4 хвилин

Експлуатація Iptables

Якщо ви нічого не знаєте про IPTABLES, Я рекомендую вам прочитайте нашу першу вступну статтю до IPTABLES для того, щоб взяти основу перед початком пояснення теми таблиць у цьому фантастичному елементі ядра Linux, щоб відфільтрувати та виступити потужним та ефективним брандмауером або брандмауером. І це те, що безпека турбує і все більше і більше, але якщо ви Linux, вам пощастило, оскільки Linux реалізує один з найкращих інструментів, який ми можемо знайти для боротьби із загрозами.

IPTABLES, як ви вже знали, інтегрується в саме ядро ​​Linux, і є частиною проекту netfilter, який крім iptables складається з ip6tables, ebtables, arptables та ipset. Це висококонфігуруваний та гнучкий брандмауер, як і більшість елементів Linux, і, незважаючи на певні вразливості, він все ще особливо потужний. Перебуваючи всередині ядра, він починає роботу з системою і залишається активним весь час, перебуваючи на рівні ядра, він отримуватиме пакети, які будуть прийняті або відхилені за допомогою правил iptables.

Три типи таблиць:

перо iptables працює завдяки ряду типів таблиць що є основною темою цієї статті.

Таблиці MANGLE

The Дошки MANGLE Вони відповідають за модифікацію пакетів, і для цього у них є варіанти:

  • КАШЕЛЬ: Тип послуги використовується для визначення типу послуги для пакета і повинен використовуватися для визначення способу маршрутизації пакетів, а не для пакетів, що надходять в Інтернет. Більшість маршрутизаторів ігнорують значення цього поля або можуть діяти недосконало, якщо вони використовуються для їх виходу в Інтернет.

  • TTL: змінює поле терміну служби пакета. Його абревіатура розшифровується як Time To Live, і, наприклад, вона може використовуватися, коли ми не хочемо, щоб нас виявляли певні постачальники послуг Інтернету, які занадто підглядають.

  • МАРК: використовується для позначення пакетів конкретними значеннями, обмеження пропускної здатності та створення черг через CBQ (Клас на базі черг). Пізніше вони можуть бути розпізнані програмами, такими як iproute2, для виконання різних маршрутів залежно від марки, яку ці пакети мають чи ні.

Можливо, ці варіанти не здаються вам знайомими з першої статті, оскільки ми не торкаємось жодного з них.

NAT-таблиці: ПЕРЕДВИГРУВАННЯ, ПОРОГРУТАЦІЯ

The Таблиці NAT (Переклад мережевих адрес), тобто при перекладі мережевих адрес, буде проведена консультація, коли пакет створює нове з'єднання. Вони дозволяють загальнодоступну IP-адресу розподіляти між багатьма комп’ютерами, саме тому вони є важливими в протоколі IPv4. За допомогою них ми можемо додавати правила для модифікації IP-адрес пакетів, і вони містять два правила: SNAT (IP masquerading) для вихідної адреси та DNAT (Port Forwarding) для адрес призначення.

в Внесіть зміни, дозволяє нам три варіанти Деякі з них ми вже бачили в першій статті про iptables:

  • ПЕРЕДАГРАФІЯ: модифікувати пакети, як тільки вони надходять до комп’ютера.
  • ВИХІД: для виводу пакетів, які генеруються локально і будуть направлені на їх вихід.
  • ПОРОШТУВАННЯ: модифікувати пакети, які готові залишити комп'ютер.

Таблиці фільтрації:

The таблиці фільтрів вони використовуються за замовчуванням для управління пакетами даних. Вони найбільш часто використовуються і відповідають за фільтрацію пакетів, оскільки брандмауер або фільтр були налаштовані. Всі пакети проходять цю таблицю, і для модифікації у вас є три заздалегідь визначені опції, які ми також бачили у вступній статті:

  • ВХОД: для введення, тобто всі пакети, призначені для входу в нашу систему, повинні пройти цей ланцюжок.
  • ВИХІД: для виводу, всі ті пакети, створені системою і які збираються залишити це на іншому пристрої.
  • ВПЕРЕД: перенаправлення, як ви вже знаєте, просто перенаправляє їх до нового місця призначення, впливаючи на всі пакети, які проходять через цей ланцюжок.

Iptables таблиці

Наостанок я хотів би сказати, що кожен мережевий пакет, надісланий або отриманий в системі Linux, повинен підпорядковуватися одній із цих таблиць, принаймні одній з них або декільком одночасно. На нього також повинні поширюватися правила кількох таблиць. Наприклад, за допомогою ACCEPT дозволяється продовжувати свій шлях, за допомогою DROP доступ забороняється або не надсилається, а за допомогою REJECT він просто відкидається, не надсилаючи помилку на сервер або комп'ютер, що відправив пакет. Як бачиш, кожна таблиця має свої цілі або політики для кожного із згаданих вище варіантів або ланцюгів. І це ті, які тут згадуються як ACCEPT, DROP і REJECT, але є ще один, такий як QUEUE, останній, про який ви, можливо, не знаєте, використовується для обробки пакетів, які надходять через певний процес, незалежно від їх адреси.

Ну, як бачите, iptables трохи важко пояснити це в одній статті глибоко, я сподіваюся, що з першою статтею у вас буде основна ідея використання iptables з деякими прикладами, а тут ще теорія. Залиште свої коментарі, сумніви чи внески, вони будуть раді.


Залиште свій коментар

Ваша електронна адреса не буде опублікований. Обов'язкові для заповнення поля позначені *

*

*

  1. Відповідальний за дані: AB Internet Networks 2008 SL
  2. Призначення даних: Контроль спаму, управління коментарями.
  3. Легітимація: Ваша згода
  4. Передача даних: Дані не передаватимуться третім особам, за винятком юридичних зобов’язань.
  5. Зберігання даних: База даних, розміщена в мережі Occentus Networks (ЄС)
  6. Права: Ви можете будь-коли обмежити, відновити та видалити свою інформацію.