IPTABLES: các loại bảng

Isaac

4 phút

Hoạt động Iptables

Nếu bạn không biết gì về IPTABLES, Tôi khuyên bạn đọc bài viết giới thiệu đầu tiên của chúng tôi về IPTABLES để có cơ sở trước khi bắt đầu giải thích chủ đề của các bảng trong phần tử tuyệt vời này của nhân Linux để lọc và hoạt động như một bức tường lửa hoặc tường lửa mạnh mẽ và hiệu quả. Và đó là vấn đề bảo mật là điều đáng lo ngại và ngày càng nhiều hơn, nhưng nếu bạn là Linux thì bạn là người may mắn, vì Linux triển khai một trong những công cụ tốt nhất mà chúng ta có thể tìm thấy để chống lại các mối đe dọa.

IPTABLES, như bạn đã biết, tích hợp vào chính hạt nhân Linux, và là một phần của dự án netfilter, ngoài iptables, còn có ip6tables, ebtables, arptables và ipset. Nó là một tường lửa có cấu hình cao và linh hoạt giống như hầu hết các phần tử Linux, và mặc dù có một số lỗ hổng, nó vẫn đặc biệt mạnh mẽ. Ở bên trong hạt nhân, nó khởi động cùng hệ thống và luôn hoạt động và ở cấp độ hạt nhân, nó sẽ nhận các gói tin và chúng sẽ được chấp nhận hoặc bị từ chối bằng cách tham khảo các quy tắc iptables.

Ba loại bảng:

Nhưng iptables hoạt động nhờ một số loại bảng đó là chủ đề chính của bài viết này.

Bảng MANGLE

các Bảng MANGLE Họ chịu trách nhiệm sửa đổi các gói và đối với việc này, họ có các tùy chọn:

  • HO: Loại Dịch vụ được sử dụng để xác định loại dịch vụ cho một gói và nên được sử dụng để xác định cách các gói nên được định tuyến, không phải cho các gói đi đến Internet. Hầu hết các bộ định tuyến bỏ qua giá trị của trường này hoặc có thể hoạt động không hoàn hảo nếu được sử dụng cho đầu ra Internet của chúng.

  • TTL: thay đổi trường thời gian tồn tại của một gói. Ví dụ: từ viết tắt của nó là viết tắt của Time To Live và nó có thể được sử dụng khi chúng ta không muốn bị phát hiện bởi một số Nhà cung cấp dịch vụ Internet (ISP) quá rình mò.

  • DẤU: được sử dụng để đánh dấu các gói có giá trị cụ thể, giới hạn băng thông và tạo hàng đợi thông qua CBQ (Class Based Queuing). Sau đó, chúng có thể được các chương trình như iproute2 nhận dạng để thực hiện các định tuyến khác nhau tùy thuộc vào nhãn hiệu mà các gói này có hay không.

Có lẽ những tùy chọn này nghe có vẻ không quen thuộc với bạn từ bài viết đầu tiên, vì chúng tôi không đụng đến bất kỳ tùy chọn nào trong số đó.

Bảng NAT: PREROUTING, POSTROUTING

các Bảng NAT (Dịch địa chỉ mạng), nghĩa là, bản dịch địa chỉ mạng, sẽ được tham khảo khi một gói tin tạo ra một kết nối mới. Chúng cho phép một IP công cộng được chia sẻ giữa nhiều máy tính, đó là lý do tại sao chúng rất cần thiết trong giao thức IPv4. Với chúng, chúng ta có thể thêm các quy tắc để sửa đổi địa chỉ IP của các gói và chúng chứa hai quy tắc: SNAT (IP giả mạo) cho địa chỉ nguồn và DNAT (Chuyển tiếp cổng) cho các địa chỉ đích.

đến Thực hiện sửa đổi, cho phép chúng tôi ba lựa chọn Chúng tôi đã thấy một số trong số chúng trong bài viết iptables đầu tiên:

  • ĐỊNH TUYẾN TRƯỚC: để sửa đổi các gói ngay khi chúng đến máy tính.
  • ĐẦU RA: cho đầu ra của các gói được tạo cục bộ và sẽ được định tuyến cho đầu ra của chúng.
  • ĐĂNG KÝ: sửa đổi các gói sẵn sàng rời khỏi máy tính.

Bảng lọc:

các lọc bảng chúng được sử dụng theo mặc định để quản lý các gói dữ liệu. Đây là những thứ được sử dụng nhiều nhất và chịu trách nhiệm lọc các gói khi tường lửa hoặc bộ lọc đã được cấu hình. Tất cả các gói đều đi qua bảng này và để sửa đổi, bạn có ba tùy chọn được xác định trước mà chúng ta cũng đã thấy trong bài viết giới thiệu:

  • ĐẦU VÀO: đối với đầu vào, nghĩa là, tất cả các gói được đưa vào hệ thống của chúng tôi phải đi qua chuỗi này.
  • ĐẦU RA: đối với đầu ra, tất cả các gói đó được tạo bởi hệ thống và sẽ chuyển nó sang một thiết bị khác.
  • Ở ĐẰNG TRƯỚC: chuyển hướng, như bạn có thể đã biết, chỉ cần chuyển hướng chúng đến đích mới, ảnh hưởng đến tất cả các gói đi qua chuỗi này.

Bảng Iptables

Cuối cùng, tôi muốn nói rằng mỗi gói mạng được gửi hoặc nhận trên hệ thống Linux phải tuân theo một trong các bảng này, ít nhất một trong số chúng hoặc một số bảng cùng một lúc. Nó cũng phải tuân theo nhiều quy tắc bảng. Ví dụ: với ACCEPT, nó được phép tiếp tục trên đường đi của nó, với DROP quyền truy cập bị từ chối hoặc không được gửi và với REJECT, nó chỉ bị loại bỏ mà không gửi lỗi đến máy chủ hoặc máy tính đã gửi gói. Như bạn thấy đấy, mỗi bảng có các mục tiêu hoặc chính sách của nó cho mỗi tùy chọn hoặc chuỗi được đề cập ở trên. Và đây là những cái được đề cập ở đây là CHẤP NHẬN, DROP và TỪ CHỐI, nhưng có một cái khác như QUEUE, cái sau mà bạn có thể chưa biết, được sử dụng để xử lý các gói đến thông qua một quá trình nhất định, bất kể địa chỉ của chúng.

Như bạn có thể thấy, iptables có một chút khó khăn để giải thích nó trong một bài viết một cách sâu sắc, tôi hy vọng rằng với bài viết đầu tiên, bạn sẽ có ý tưởng cơ bản về việc sử dụng iptables với một số ví dụ và đây là một số khác học thuyết. Để lại bình luận, nghi ngờ hoặc đóng góp của bạn, họ sẽ được chào đón.


Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu bằng *

*

*

  1. Chịu trách nhiệm về dữ liệu: AB Internet Networks 2008 SL
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.