Grundlegende Iptables Konfiguration
IPtables ist ein Werkzeug zu dem durchführt die Paketentstörung im Kern des Linuxes 2.4. Es ist ein Wiedereinbau für ipchains in den
vorhergehenden Versionen. Die gesamten Daten, die durch Netze geübertragen werden, sind in der Form der Pakete. Die Überschriften der Pakete geben uns die Informationen, die für das Treffen von Wegewahlentscheidungen und von anderen Verwaltungsdetails angefordert wird. Die tatsächlichen Daten, die geübertragen wird, gehören dem Körper. Um Pakete zu filtern, wird seine Überschrift überprüft und geeignete Schritte werden genommen.
Die Frage entsteht dann, warum wir müssen die Überschrift überprüfen und die Pakete filtern tun? Der wichtigste Grund würde erhöhen die Sicherheit des Netzes sein. Z.B. wir konnten unser System vor böswilligen Außenseitern schützen wünschen. Ein anderer Grund ist wir konnte den Verbrauch des Hilfsmittels einschränken oder steuern wünschen, das unserem Netz gehört. Z.B. wir konnten wünschen nur begrenztes ammount des Verkehrs durch überschreiten lassen.
Grundformat
Tabellen
Die erste Option ist Tabelle. Es gibt drei Arten nationale Tabellen nämlich, Mangel und Filter.
National: Diese Tabelle wird für Endsystemadresseübersetzung benutzt. Es gibt drei Ketten PREROUTING, OUTPUT und POSTROUTING. Prerouting Kette wird benutzt, um die Pakete zu ändern, sobald sie die Brandmauer kommen. Ausgangskette wird benutzt, um die am Ort erzeugten Pakete zu ändern. Und postrouting Kette wird benutzt, um die Pakete zu ändern, während sie die Brandmauer verlassen
Mangel: Diese Tabelle wird benutzt, um Pakete zu zerfleischen und zwei Rückstellungsketten hat. Diese Tabelle sollte zum Filterpaket benutzt werden entweder oder keine Adressenumwandlung tun. Die zwei Rückstellungsketten sind PREROUTING und OUTPUT. Wie mit dem Prerouting in der nationalen Tabelle hier auch sie wird verwendet, um Pakete zu zerfleischen, während sie die Brandmauer kommen. Und der Ausgang wird benutzt, um Pakete zu zerfleischen, die am Ort erzeugt werden. Diese Tabelle ändert verschiedene Pakete und wie ihre Überschriften erscheinen. Z.B. TTL oder TOS.
Filter: Dieses wird verwendet, um die Pakete wirklich zu filtern und wenn die Tabellenwahl nicht dann spezifiziert wird, wird der Befehl an diesem Tabellen angewendet. Es gibt drei Arten Ketten der EINGANG, das OUTPUT und das VORWÄRTS. Die Eingangskette wird auf den Paketen benutzt, die für lokalen Wirt bestimmt sind. Ausgang wie in den oben genannten Fällen wird auf den am Ort erzeugten Paketen benutzt. Und vorwärts wird auf allen weiteren Ketten verwendet. Die Maßnahmen, die ergriffen werden können, sind TROPFEN, MASCHINENBORDBUCH, NEHMEN an oder WEISEN auf jeder Kette zurück.
Befehl
| - A, - fügen Sie hinzu |
| iptables - EIN EINGANG… |
| Dieses Befehl fügt am Ende der Kette hinzu. |
| - D - Löschung |
| iptables - D EINGEGEBENER - dport 80 - J-TROPFEN |
| iptables - D GAB 1 EIN |
| Dort sind zwei Möglichkeiten, eine Richtlinie in einer Kette zu löschen. das erste ist zu spezifizieren die zu löschende Richtlinie wie im ersten Beispiel. Oder das zweite ist zu spezifizieren Sie die Zahl der Richtlinie wie im zweiten Beispiel. |
| - R - ersetzen Sie |
| iptables iptables - R GEBEN Sie 1 ein - s 192.168.0.1 - J-TROPFEN |
| Dieses wird verwendet, um die alten Eintragungen an einer spezifischen Linie zu ersetzen. |
| - I - Einsatz |
| iptables - I GAB 1 - dport 80 - J ANNEHMEN ein |
| Dieses setzt die Richtlinie an der spezifizierten Position ein. |
| - L - Liste |
| iptables - L EINGANG |
| Dieses Befehl wird, die Richtlinien in spezifizierter Kette oder in Tabelle zu verzeichnen verwendet. |
| - F - eben |
| iptables - F-EINGANG |
| Dieses spült alle Richtlinien in der spezifizierten Kette oder in der Tabelle. Er ist gleichwertig zu aller Richtlinien sofort löschen. |
| - N - Neukette |
| iptables - N givenName |
| Dieses fügt eine neue Kette in der spezifizierten Tabelle mit „givenName“ hinzu. |
| - X - Löschenkette |
| iptables - X givenName |
| Dieses wird verwendet, um die gesamte Kette zusammen mit den Richtlinien in ihr zu löschen. |
| - P - Politik |
| iptables - P-EINGANGS-TROPFEN |
| Dieses stellt die Rückstellungspolitik für die spezifische Kette ein. Dieses trifft auf alle zu die Pakete, die keine Richtlinie in der Kette zusammenbringen. |
Gleiches
Dieses ist an als Anpassungsgruppe des ausgedehnten Pakets gewöhnt. Es gibt zwei Wahlen, die verwendetes sind - p (- Protokoll) oder - m (- Gleiches) die von mehr Wahlen gefolgt werden. Die Protokolwahl, die zusammengebracht werden kann, sind TCP, UDP und ICMP. Die Gleichwahlen sind Markierung, Begrenzung, Inhaber, ttl, tos, Zustand etc. Die drei, die sind wichtig sind einmal, ttl, tos und Zustand. ttl und tos sind Selbst-explainatory. Die Zustandwahl erklärt, welcher Zustand des Pakets mit der Richtlinie zusammengepaßt werden soll. Es gibt vier Zustände, die UNZULÄSSIG sind, HERGESTELLT, NEU und IN VERBINDUNG STEHEND. Das Folgen sind irgendein Beispiel des Verbrauches des Gleichen:
iptables - EIN EINGANG - m-Zustand - geben Sie IN VERBINDUNG STEHENDES an, HERGESTELLT
iptables - EIN OUTPUT - m ttl - ttl 60
iptables - EIN EINGANG - p-TCP - dport 22 Ziel/Sprung
Wenn die Richtlinien in einer Kette exmained und es gibt kein Richtlinie towhich, welches das Paket dann die Zielwahl wird umgesetzt in die Tat zusammenbringt. Die Wahlen, die erlaubt werden, sind ANNEHMEN, FALLEN, ANSTEHEN oder ZURÜCKGEHEN. Ziel wird mit - P benutzt. Die Sprungwahl ist die selbe, der das Ziel es das Ziel der Richtlinie spezifiziert, wenn das Paket die Richtlinie zusammenbringt.
Konfigurations-Akte
Die Position der Konfigurationsakte wird im Startindex /etc/rc.d/init.d/iptables spezifiziert. Diese Konfigurationsakte wird durch iptables gelesen, wenn sie beginnt. , Änderungsdauerhaftes müssen uns so zu bilden diese Akte redigieren. Jedoch es gibt eine Wahl in starten Index 'save, das die Änderungen spart, die an dieser Akte vorgenommen werden, ohne es redigieren manuell zu müssen. So die Einstellung, laufen alle Richtlinien dem folgenden Befehl nach:
/etc/rc.d/init.d/iptables außer der tatsächlichen Position dieser Akte ist /etc/sysconfig/iptables.
