Configuration de base d'Iptables
IPtables est un outil à celui effectue le filtrage de paquet au grain du Linux 2.4. C'est un remplacement pour des ipchains dans
les versions préalables. Les données entières transférées par des réseaux sont sous la forme de paquets. Les en-têtes des paquets nous fournissent l'information qui est exigée pour faire des décisions de cheminement et d'autres détails administratifs. Les données réelles qui sont transférées appartiennent au corps. Pour filtrer des paquets, son en-tête est examiné et une mesure appropriée est prise.
La question se pose alors pourquoi faisons nous devons examiner l'en-tête et filtrer les paquets ? Le motif le plus important serait augmentent la sécurité du réseau. Par exemple nous pourrions vouloir protéger notre système contre les étrangers malveillants. Une autre raison est nous pourrait vouloir limiter ou commander l'utilisation de la ressource qui appartient à notre réseau. Par exemple nous pourrions vouloir permettre seulement à l'ammount limité du trafic de passer à travers.
Format de base
Tableaux
La première option est table. Il y a trois genres de tables à savoir nationales, d'essoreuse et de filtre.
National : Cette table est employée pour la traduction d'adresse réseau. Il y a trois chaînes PREROUTING, RENDEMENT et de POSTROUTING. La chaîne de Prerouting est employée pour changer les paquets dès qu'ils entreront dans le mur à l'épreuve du feu. La chaîne de rendement est employée pour changer les paquets localement produits. Et la chaîne postrouting est employée pour changer les paquets pendant qu'ils partent du mur à l'épreuve du feu
Essoreuse : Cette table est employée pour mutiler des paquets et a deux chaînes de défaut. Cette table ne devrait être employée au paquet de filtre ou faire aucune traduction d'adresse. Les deux chaînes de défaut sont PREROUTING et RENDEMENT. Comme avec prerouting dans la table nationale ici également il est employé pour mutiler des paquets pendant qu'ils entrent dans le mur à l'épreuve du feu. Et le rendement est employé pour mutiler les paquets qui sont produits localement. Cette table change différents paquets et comment leurs en-têtes apparaissent. Par exemple TTL ou TOS.
Filtre : Ceci est employé pour filtrer réellement les paquets et si l'option de tables n'est pas spécifiée alors la commande est appliquée à ceci des tables. Il y a trois genres de chaînes l'ENTRÉE, le RENDEMENT et le VERS L'AVANT. La chaîne d'entrée est employée sur les paquets qui sont destinés au centre serveur local. Le rendement comme dans les cas ci-dessus est employé sur les paquets localement produits. Et en avant est employé sur toutes autres chaînes. La mesure qui peut être prise est BAISSE, NOTATION, ACCEPTE ou REJETTE sur chaque chaîne.
Commande
| - A, - apposez |
| iptables - UNE ENTRÉE… |
| Ceci la commande appose à l'extrémité de la chaîne. |
| - D - suppression |
| iptables - - Dport 80 - BAISSE de j ENTRÉE PAR D |
| iptables - D A ENTRÉ 1 |
| Là sont deux manières de supprimer une règle dans une chaîne. le premier est de spécifier la règle à supprimer comme dans le premier exemple. Ou le deuxième est à spécifiez le nombre de la règle comme dans le deuxième exemple. |
| - R - remplacez |
| iptables iptables - R ENTREZ 1 - s 192.168.0.1 - BAISSE de j |
| Ceci est employé pour remplacer les entrées anciennes à une ligne spécifique. |
| - I - insertion |
| iptables - I A ENTRÉ 1 - le dport 80 - j ACCEPTENT |
| Ceci insère la règle à l'endroit spécifique. |
| - L - liste |
| iptables - L ENTRÉE |
| Ceci la commande est utilisée comme moyen d'énumérer les règles dans la chaîne ou la table spécifique. |
| - F - affleurant |
| iptables - ENTRÉE DE F |
| Ceci rince toutes les règles dans la chaîne ou la table spécifique. Elle est équivalente à supprimer toutes les règles immédiatement. |
| - N - nouveau-chaîne |
| iptables - givenName de N |
| Ceci ajoute une nouvelle chaîne dans la table spécifique avec le « givenName ». |
| - X - supprimer-chaîne |
| iptables - givenName de X |
| Ceci est employé pour supprimer la chaîne entière avec les règles dans elle. |
| - P - politique |
| iptables - BAISSE D'ENTRÉE DE P |
| Ceci place la politique de défaut pour la chaîne spécifique. Ceci s'applique à tous les paquets qui n'assortissent aucune règle dans la chaîne. |
Allumette
Ceci est employé à en tant que module d'assortiment prolongé de paquet. Il y a deux options qui sont - p (- protocole utilisé) ou - m (- allumette) qui sont suivis de plus d'options. L'option de protocole qui peut être assortie sont tcp, UDP et ICMP. Les options d'allumette sont la marque, la limite, le propriétaire, la TTL, le TOS, l'état etc. Les trois importants sont une fois TTL, TOS et état. TTL et le TOS sont individu-explainatory. L'option d'état indique quel état du paquet doit être assorti avec la règle. Il y a quatre états INADMISSIBLES, ÉTABLI, NOUVEAU et CONNEXE. Être suivent un certain exemple de l'utilisation de l'allumette :
des iptables - UNE ENTRÉE - état de m - énoncez CONNEXE, ÉTABLI
iptables - UN RÉSULTAT - m TTL - TTL 60
iptables - UNE ENTRÉE - p tcp - cible/saut du dport 22
Quand les règles dans une chaîne exmained et il n'y a aucun towhich de règle que le paquet assortit alors l'option de cible est mis dans l'action. Les options qui sont permises sont ACCEPTENT, SE LAISSENT TOMBER, S'ALIGNENT ou RETOURNENT. La cible est employée avec - P. L'option de saut est identique que la cible il spécifie la cible de la règle si le paquet assortit la règle.
Fichier de configuration
L'endroit du fichier de configuration est spécifié dans le manuscrit de démarrage /etc/rc.d/init.d/iptables. Ce fichier de configuration est lu par des iptables quand il commence. Nous faire ainsi à constante de changements devons éditer ce dossier. De quelque manière qu'il y a une option dans le début save vers le haut de manuscrit le 'qui sauve les modifications apportées à ce dossier sans devoir manuellement l'éditer. Ainsi après établissement toutes les règles courent la commande suivante :
/etc/rc.d/init.d/iptables sauf l'endroit réel de ce dossier est /etc/sysconfig/iptables.
