Iptables 기본적인 윤곽
IPtables는 리눅스 2.4 알갱이에서 그것에 공구 실행한다 패킷 여과법을이다. 이전 버전에 있는 ipchains를 위한
보충이다. 네트워크를 통해서 옮겨진 전체 자료는 소포의 모양에 있다. 소포의 우두머리는 저희에게 여정 결정과 다른 관리 세부사항을 만들기를 위해 요구되는 정보를 제공한다. 옮겨지고 있는 실제적인 자료는 몸에 속한다. 소포를 거르기 위하여는, 그것의 우두머리는 시험되고 적합한 행동은 취한다.
왜가 질문에 의하여 그 때 우리가 우두머리를 시험하고 소포를 거를 필요가 있는 지 발생하는가? 중요한 이유는 강화한다 네트워크의 안전을 일 것입니다. 예를 들면 우리는 악의 있는 제삼자에게서 우리의 체계를 보호하고 싶을지도 모르다. 또 다른 이유는 우리 우리의 네트워크에 속하는 자원의 사용법을 제한하거나 통제하고 싶을지도 모르다 이다. 예를 들면 우리는 소통량의 단지 한정된 ammount가 처음부터 끝까지 통과하는 것을 허용하고 싶을지도 모르다.
기본 형식
테이블
우선 선택권은 테이블이다. nat 테이블, 세탁용 압착 롤러 및 여과기의 즉 3개의 종류가 있다.
nat: 이 테이블은 네트웍 주소 변환을 위해 이용된다. 3개의 사슬 PREROUTING, 산출 및 POSTROUTING가 있다. Prerouting 사슬은 방호벽에 들어가자마자 소포를 바꾸기 위하여 이용된다. 산출 사슬은 국부적으로 생성된 소포를 바꾸기 위하여 이용된다. 그리고 postrouting 사슬은 방호벽을 떠나는 때 소포를 바꾸기 위하여 이용된다
세탁용 압착 롤러: 이 테이블에는 소포를 난도질하기 위하여 이용되고 2개의 과태 사슬이 있다. 이 테이블은 여과기 소포에 이용되거나 어떤 주소 변환든지 하면 안된다. 2개의 과태 사슬은 PREROUTING와 산출이다. 여기에서 nat 테이블에서 prerouting와 함께 것과 같이 또한 그것은 방호벽에 들어가는 때 소포를 난도질하기 위하여 이용된다. 그리고 산출은 국부적으로 생성되는 소포를 난도질하기 위하여 이용된다. 이 테이블은 그들의 우두머리가 나타나는 방법 다른 소포를 바꾸고. 예를 들면 TTL 또는 TOS.
여과기: 이것은 실제로 소포를 거르기 위하여 이용되고 테이블 선택권이 그 때 지정되지 않는 경우에 명령은 이것에 테이블 적용된다. 사슬의 3개의 종류가 입력, 산출 및 앞으로 있다. 입력 사슬은 국부적으로 주인을 위해 정해진 소포에 이용된다. 위 케이스에서 것과 같이 산출은 국부적으로 생성된 소포에 이용된다. 그리고 앞으로 다른 사슬 전부에 사용된다. 취할 수 있는 조치는 각 사슬에 하락, 통나무이거나, 받아들이거나 거절한다.
명령
| - A, - 추가하십시오 |
| iptables - 입력… |
| 이것 명령은 사슬의 끝에 추가한다. |
| - D - 감소 |
| iptables - D는 - dport 80 - j 하락을 입력했다 |
| iptables - D는 1개을 입력했다 |
| 거기 사슬에 있는 규칙을 삭제하는 2가지의 방법은 이다. 첫번째 지정하기 위한 것이다 첫번째 보기에서 것과 같이 삭제될 규칙. 또는 두번째에 있다 두번째 보기에서 것과 같이 규칙의 수를 지정하십시오. |
| - R - 대체하십시오 |
| iptables iptables - R 1개을 입력하십시오 - s 192.168.0.1 - j 하락 |
| 이것 특정한 선에 이전 입장을 대체하기 위하여 사용된다. |
| - I - 삽입 |
| iptables - I는 1개의 - dport 80 - j를 받아들인다 입력했다 |
| 이것 지정된 위치에 규칙을 삽입한다. |
| - L - 명부 |
| iptables - L 입력 |
| 이것 지정된 사슬 테이블에 있는 규칙을 목록으로 만드는 명령은 이용된다. |
| - F - 넘치는 |
| iptables - F 입력 |
| 이것 지정된 사슬 테이블에 있는 모든 규칙을 내뿜는다. 그것은 동등하다 모든 규칙 즉시 삭제에. |
| - N - 새롭 사슬 |
| iptables - N givenName |
| 이것 "givenName"를 가진 지정된 테이블에 있는 새로운 사슬을 추가한다. |
| - X - 삭제하 사슬 |
| iptables - X givenName |
| 이것 그것에 있는 규칙과 함께 전체 사슬을 삭제하기 위하여 사용된다. |
| - P - 정책 |
| iptables - P는 하락을 입력했다 |
| 이것 특정한 사슬을 위한 과태 정책을 놓는다. 이것은 모두에 적용한다 사슬에 있는 어떤 규칙도 일치하지 않는 소포. |
성냥
이것은 장시간 소포 어울리는 단위로 사용된다. 사용한 - 선택권 더에 선행되는 - m (- 성냥) 또는 p (- 의정서인) 2개의 선택권이 있다. 일치할 수 있는 의정서 선택권은 tcp, 사용자 데이터그램 프로토콜 및 icmp이다. 성냥 선택권은 표, 한계, 소유자, ttl, tos, 국가 등등이다. 중요한 3개는 한 번 ttl, tos 및 국가이다. ttl와 tos는 각자 explainatory이다. 국가 선택권은 소포의 어느 국가가 규칙과 일치할 것인지 말한다. , 설치해 부당한, 4개의 국가가 새롭고 그리고 관련되다 있다. 다음은 성냥의 사용법의 어떤 보기 이다:
iptables - 입력 - m 국가 - 관련된, 설치하는 진술하십시오
iptables - 산출 - m ttl - ttl 60
iptables - 입력 - p tcp - dport 22 표적 또는 점프
사슬에 있는 규칙이 exmained 때 표적 선택권이 활동으로 소포에 의하여 그 때 끼워넣는 일치하는 규칙 towhich가 없고. 허용되는 선택권은 받아들이거나, 떨어지거나, 열을 짓거나 돌려보낸다 이다. 표적은 - P와 함께 이용된다. 점프 선택권은 규칙이 소포에 의하여 일치하는 경우에 같은 표적이 그것 규칙의 표적을 지정하는 동일하.
구성 파일
구성 파일의 위치는 스타트업 스크립트 /etc/rc.d/init.d/iptables에서 지정된다. 이 구성 파일은 iptables에 의해 시작할 때 읽힌다. 따라서 변화 영구 불변에게 우리는 하기 위하여 이 파일을 편집해야 한다. 아무리 원본 시작에 있는 선택권이 '수동으로 그것을 편집할 필요없이 수정된에 이 파일 저장하는 save 있다. 따라서 놓기 후에 모든 규칙은 뒤에 오는 명령을 달린다:
이 파일의 실제적인 위치를 제외하고 /etc/rc.d/init.d/iptables는 /etc/sysconfig/iptables이다.
