Configurazione di base di Iptables
IPtables è un attrezzo a quello realizza la filtrazione di pacchetto nel nocciolo di Linux 2.4. È un rimontaggio per i ipchains
nelle versioni precedenti. Gli interi dati trasferiti attraverso le reti sono nella forma di pacchetti. Le intestazioni dei pacchetti ci forniscono le informazioni che sono richieste per la fabbricazione le decisioni di percorso e degli altri particolari amministrativi. I dati reali che stanno trasferendi appartengono al corpo. Per filtrare i pacchetti, la relativa intestazione è esaminata e l'azione appropriata è intrapresa.
La domanda allora si pone perché facciamo dobbiamo esaminare l'intestazione e filtrare i pacchetti? La motivazione più importante sarebbe aumenta la sicurezza della rete. Per esempio potremmo volere proteggere il nostro sistema dagli stranieri cattivi. Un altro motivo è noi potrebbe volere limitare o controllare l'uso della risorsa che appartiene alla nostra rete. Per esempio potremmo volere permettere che soltanto il ammount limitato di traffico passi attraverso.
Disposizione di base
Tabelle
La prima opzione è tabella. Ci sono tre generi di tabelle cioè nazionali, di mangano e di filtro.
Nazionale: Questa tabella è usata per la traduzione di indirizzo della rete. Ci sono tre catene PREROUTING, USCITA e POSTROUTING. La catena di Prerouting è usata per alterare i pacchetti non appena entrano nella parete refrattaria. La catena dell'uscita è usata per alterare i pacchetti localmente generati. E la catena postrouting è usata per alterare i pacchetti mentre stanno lasciando la parete refrattaria
Mangano: Questa tabella è usata per maciullare i pacchetti ed ha due catene di difetto. Questa tabella non dovrebbe essere usata al pacchetto del filtrante o fare alcuna traduzione di indirizzo. Le due catene di difetto sono PREROUTING ed USCITA. Come con prerouting in tabella nazionale qui inoltre è usato per maciullare i pacchetti mentre entrano nella parete refrattaria. E l'uscita è usata per maciullare i pacchetti che sono generati localmente. Questa tabella cambia i pacchetti differenti e come le loro intestazioni compaiono. Per esempio TTL o TOS.
Filtro: Ciò è usata realmente per filtrare i pacchetti e se l'opzione delle tabelle allora non è specificata l'ordine si applica a questo tabelle. Ci sono tre generi di catene l'INPUT, l'USCITA ed il DI ANDATA. La catena dell'input è usata sui pacchetti che sono destinati all'ospite locale. L'uscita come nei casi di cui sopra è usata sui pacchetti localmente generati. Ed in avanti è usato su tutte le altre catene. I provvedimenti che possono essere presi sono GOCCIA, CEPPO, ACCETTANO o RIFIUTANO su ogni catena.
Ordine
| - A, - aggiunga |
| iptables - UN INPUT… |
| Ciò l'ordine aggiunge all'estremità della catena. |
| - D - cancellazione |
| iptables - - Dport 80 - GOCCIA di J IMMESSA D |
| iptables - LA D HA IMMESSO 1 |
| Là sono due sensi cancellare una regola in una catena. il primo è di specificare regola da cancellare come nel primo esempio. O il secondo è a specifichi il numero della regola come nel secondo esempio. |
| - R - sostituisca |
| iptables iptables - R IMMETTA 1 - s 192.168.0.1 - GOCCIA di J |
| Ciò è usato per sostituire le entrate vecchie ad una linea specifica. |
| - I - inserto |
| iptables - la I HA IMMESSO 1 - dport 80 - J ACCETTA |
| Ciò inserisce la regola alla posizione specificata. |
| - L - lista |
| iptables - L INPUT |
| Ciò l'ordine è usato elencare le regole in catena o tabella specificata. |
| - F - a livello |
| iptables - INPUT DI F |
| Ciò irriga tutte le regole nella catena o nella tabella specificata. È equivalente a cancellare tutte le regole immediatamente. |
| - N - nuovo-catena |
| iptables - givenName di N |
| Ciò aggiunge una nuova catena nella tabella specificata con “givenName„. |
| - X - cancellare-catena |
| iptables - givenName di X |
| Ciò è usato per cancellare l'intera catena con le regole in esso. |
| - P - politica |
| iptables - GOCCIA DELL'INPUT DI P |
| Ciò fissa la politica di difetto per la catena specifica. Ciò si applica a tutti i pacchetti che non abbinano alcuna regola nella catena. |
Fiammifero
Ciò è usata come a modulo esteso di corrispondenza del pacchetto. Ci sono due opzioni che sono - p (- protocollo usato) o - m. (- fiammifero) che sono seguiti da più opzioni. L'opzione di protocollo che può essere abbinata è tcp, UDP ed ICMP. Le opzioni del fiammifero sono contrassegno, limite, proprietario, TTL, TOS, condizione ecc. I tre importanti sono una volta TTL, TOS e condizione. la TTL ed il TOS sono auto-explainatory. L'opzione della condizione dice quale condizione del pacchetto deve essere abbinata con la regola. Ci sono quattro condizioni NON VALIDE, STABILITO, NUOVO e RELATIVO. Segue un certo esempio dell'uso del fiammifero:
iptables - UN INPUT - condizione di m. - dichiari RELATIVO, STABILITO
iptables - UN'USCITA - m. TTL - TTL 60
iptables - UN INPUT - p tcp - obiettivo/salto del dport 22
Quando le regole in una catena exmained e non ci è towhich che di regola il pacchetto abbina allora l'opzione dell'obiettivo è messo in azione. Le opzioni che sono permesse sono ACCETTANO, CADONO, FANNO LA CODA o RINVIANO. L'obiettivo è usato con - la P. L'opzione di salto è la stessa come l'obiettivo esso specifichi l'obiettivo della regola se il pacchetto abbina la regola.
Lima di configurazione
La posizione della lima di configurazione è specificata nello scritto startup /etc/rc.d/init.d/iptables. Questa lima di configurazione è letta dai iptables quando comincia. Così per rendere a permanent dei cambiamenti dobbiamo pubblicare questa lima. Per quanto ci è un'opzione nell'inizio save sullo scritto 'che conserva i cambiamenti fatti a questa lima senza manualmente dovere pubblicarlo. Così dopo la regolazione tutte le regole fanno funzionare il seguente ordine:
/etc/rc.d/init.d/iptables salvo la posizione reale di questa lima è /etc/sysconfig/iptables.
