Компютри » Преглед на IPTables, добавяне или изтриване на правила

Преглед на IPTables, добавяне или изтриване на правила

Компютри

IPTables е програма, която управлява контрола на защитната стена в Linux. Това е мощен и удобен инструмент за защита на мрежата и нежелани връзки. Целият процес се прави в правилата на iptables, които могат да се редактират и разглеждат. По-подробна информация е предоставена в статията.

История

IPTables в Linux системата използваха защитната стена на IPFW, заета от BSD. След това, от версията на ядрото на Linux 2.4, той дойде с защитната стена на Netfilter и помощната програма IPTables, за да я управляват. В метода на неговата работа са спасени всички аспекти и леко разширени функционално.


IPTables на структурата и устройството

Пакетът влиза в защитната стена, претърпява няколко проверки. Това може да е контролна сума или друг анализ на ниво ядро. Тогава е време да преминем през веригата PREROUTING. След това се проверява маршрутизиращата таблица, съгласно която се извършва препращането към следващата верига. Ако адресът в пакета липсва, например TCP, тогава има посока във веригата FORWARD. В случаите, когато има конкретен адрес, веригата трябва да бъде INPUT, а след това на тези демони или услуги, за които е предназначена. Отговорът от тях също трябва да бъде няколко вериги, като изход. Последната връзка в този процес е веригата POSTROUTING. Сега малко за веригите. Всяка от тях съдържа няколко таблици. Техните имена могат да бъдат повторени, но това не се отразява на работата, тъй като те не са взаимосвързани. Таблици на свой редсъдържа няколко правила. По същество правилото е условие че провереният пакет трябва да съвпада. В зависимост от резултата се извършва определено действие върху пакета.


По този начин, преминавайки през всички фази на мрежата, пакетът се посещава последователно от всички вериги и всеки се проверява за съответствие с правилото на определено правило. Ако таблицата не е форматирана от потребителя, действието по подразбиране е основно ACCEPT, което ви позволява да продължите да се движите по-нататък или DROP, спира пакета. Предварително настроените вериги се предлагат в следните категории:
  • ПРЕДВАРИТЕЛНО. Първоначална обработка на всички коридорни пакети.
  • ВХОД. Те попадат в тези пакети, които се изпращат директно на локален компютър.
  • НАПРЕД. Отнася се за "транзитни пакети", които следват таблиците за маршрутизация.
  • ИЗХОД. Използва се за изходящи пакети.
  • ПОСТРУТИРАНЕ. Последният етап от преминаването на изходящия пакет от всички вериги.
    • В допълнение към вградените разговори, потребителите могат да създават или изтриват свои собствени.

    Преглед и управление на правилата на IPTables

    Както вече споменахме, всички вериги съдържат определени условия за пакети. За да преглеждате и управлявате IPTables и да използвате помощната програма IPTables. Всяко отделно правило е низ с набор от условия за пакети, както и действия срещу тях, в зависимост от резултата. Форматът на командата изглежда така: iptables [-t име на таблицата, която се обработва] се нарича команда [criteria] [action action].
    Всичко, което е затворено в квадратни скоби? мощпропуснати. Ако това е параметър, който указва таблица, тогава филтърът ще се използва. За да използвате конкретно име, трябва да добавите ключа -t. Извиканата команда ви позволява да извикате необходимото действие, например, за да добавите IPTables правило или да го изтриете. "Критериите" определят параметрите, за които ще се извършва подборът. И "действие" прилага действието, което трябва да се извърши, ако условието е изпълнено.

    Екипи за създаване и преглед на правила IPTables

    Ето някои помощни команди:
  • Append (-A). Когато използвате команда, указвате веригата и таблицата, в която искате да добавите изискваното правило. Стойността на екипа е, че прави това в края на списъка.
  • Изтриване (-D). Както може да се разбира от заглавието, произвежда правило за премахване. Като параметри можете да посочите пълното име и номерата им.
  • Преименуване на веригата (-E). Променя името на веригата. Командата показва старото, а след това новото име.
    • Flush (F). Изчистете абсолютно всички правила на дадена таблица.
  • Вмъкване (-I). Тази команда вмъква определеното място в номера, правилото е задължително.
  • Списък (- L). Вижте правилата на Iptables. Ако таблицата не е зададена, ще се използва филтърът по подразбиране.
  • Политика (-P). Използва се стандартната политика за посочената верига.
  • Замяна (-R). Променя правилото при посочения номер, ако е необходимо.
  • Изтриване на верига (-X). Тази команда изчиства всички създадени вериги. Остава само предварително.
  • Нула (-Z). Броячите на предадените данни в посочената верига се изпускат.

    • Малко за параметрите за избор на пакет

    Те могат да бъдат условно разделени на три разновидности:
  • Общи критерии. Те могат да бъдат определени за всякакви правила. Те не изискват свързване на специални разширения и модули, нито зависят от протокола, който ще се използва.
  • Не общи критерии. Те стават достъпни, когато се използват общи критерии.
  • Изрично. За да използвате този тип, трябва да свържете специални приставки за netfilter. Освен това, командата трябва да използва ключа -m.
    • Струва си да се каже малко за честите параметри, използвани при анализа на пакети:
  • Протокол (-p). Задава протокола.
  • Източник (и). Този параметър указва IP адреса на източника, от който е получен пакета. Можете да го посочите по няколко начина. Специфичен хост, адрес или цялата подмрежа.
  • Дестинация (и). Адрес на целевия пакет. Също така, както и в предишната, тя може да бъде описана по няколко начина.
  • Вътрешни интерфейси. Указва входящия интерфейс на пакета. Тя се използва главно за NAT или за системи с множество интерфейси.
  • Изходен интерфейс (и). Изходен интерфейс.

    • Няколко примера

    За да се преразгледат правилата на IPTables nat? трябва да използвате командата "iptables -l -t nat". Намерете общото състояние на защитната стена - "iptables -L -n -v". В допълнение, тази команда ви позволява да преглеждате правилата на IPTables, които са налични в цялата система. Поставете правилото в определено място на масата, например между първата и втората линия - "iptables -I INPUT 2 -s 202541.2 -j DROP". След това, за да го видите, добавя - "iptables -L INPUT -n-line номера".
    За да се блокира конкретен адрес, например 121212.12 -"Iptables-IN INPUT-121212.12-j DROP". Помощ за iptables - "i itables". Ако се изисква информация за конкретен екип - iptables -j DROP -h.
    ​​

    В крайна сметка

    Използвайте командите IPTables с повишено внимание, тъй като неправилната настройка (поради незнание) може да доведе до откази на мрежата напълно или не. Затова си струва да се проучат подробно ръководствата и инструкциите преди конфигурирането. Интелигентните ръце IPTables могат да бъдат трансформирани в надежден защитник на мрежовите връзки. Системните администратори активно използват помощната програма за създаване на връзки, изолирани от неоторизиран достъп.

    Свързани публикации