Configuração básica de Iptables
IPtables é uma ferramenta àquele executa a filtração de pacote na semente do linux 2.4. É uma recolocação para ipchains
nas versões anteriores. Os dados inteiros transferidos através das redes estão no formulário dos pacotes. Os encabeçamentos dos pacotes dão-nos a informação que é exigida fazendo decisões do roteamento e outros detalhes administrativos. Os dados reais que estão sendo transferidos pertencem ao corpo. Para filtrar pacotes, seu encabeçamento é examinado e a acção apropriada é tomada.
A pergunta levanta-se então porque fazemos nós precisamos de examinar o encabeçamento e de filtrar os pacotes? A razão a mais importante seria realça a segurança da rede. Por exemplo nós pudemos querer proteger nosso sistema dos estranhos maliciosos. Uma outra razão é nós pôde querer restringir ou controlar o uso do recurso que pertence a nossa rede. Por exemplo nós pudemos querer permitir que somente o ammount limitado do tráfego passe completamente.
Formato básico
Tabelas
A primeira opção é tabela. Há três tipos das tabelas a saber nat, do mangle e do filtro.
Nat: Esta tabela é usada para a tradução de endereço da rede. Há três correntes PREROUTING, SAÍDA e POSTROUTING. A corrente de Prerouting está usada para alterar os pacotes assim que entrarem no guarda-fogo. A corrente da saída é usada para alterar os pacotes gerados localmente. E a corrente postrouting é usada para alterar os pacotes enquanto estão saindo do guarda-fogo
Mangle: Esta tabela é usada para massacrar pacotes e tem duas correntes do defeito. Esta tabela não deve ser usada ao pacote do filtro ou fazer nenhuma tradução de endereço. As duas correntes do defeito são PREROUTING e SAÍDA. Como com prerouting na tabela Nat aqui está usado igualmente para massacrar pacotes enquanto entram no guarda-fogo. E a saída é usada para massacrar os pacotes que são gerados localmente. Esta tabela muda pacotes diferentes e como seus encabeçamentos aparecem. Por exemplo TTL ou TOS.
Filtro: Isto é usado para filtrar realmente os pacotes e se a opção das tabelas não é especific então o comando é a este tabelas. Havido três tipos das correntes a ENTRADA, a SAÍDA e o PARA DIANTE. A corrente da entrada é usada nos pacotes que são destinados para o anfitrião local. A saída como nos casos acima é usada nos pacotes localmente gerados. E é usado para a frente em todas correntes restantes. A ação que pode ser tomada é GOTA, REGISTRO, ACEITA ou REJEITA em cada corrente.
Comando
| - A, - adicione |
| iptables - UMA ENTRADA… |
| Isto o comando adiciona na extremidade da corrente. |
| - D - supressão |
| iptables - - Dport 80 - GOTA ENTRADA D de j |
| iptables - D ENTROU 1 |
| Lá são duas maneiras de suprimir de uma régua em uma corrente. o primeiro é especific a régua a ser suprimida como no primeiro exemplo. Ou o segundo está a especific o número da régua como no segundo exemplo. |
| - R - substitua |
| iptables iptables - R ENTRE 1 - s 192.168.0.1 - GOTA de j |
| Isto é usado para substituir as entradas velhas em uma linha específica. |
| - I - inserção |
| iptables - I ENTROU 1 - o dport 80 - j ACEITA |
| Isto introduz a régua na posição especific. |
| - L - lista |
| iptables - L ENTRADA |
| Isto o comando é usado alistar as réguas na corrente ou na tabela especific. |
| - F - nivelado |
| iptables - ENTRADA DE F |
| Isto nivela todas as réguas na corrente ou na tabela especific. É equivalente a suprimir todas as réguas imediatamente. |
| - N - novo-corrente |
| iptables - givenName de N |
| Isto adiciona uma corrente nova na tabela especific com “givenName”. |
| - X - suprimir-corrente |
| iptables - givenName de X |
| Isto é usado para suprimir da corrente inteira junto com as réguas nela. |
| - P - política |
| iptables - GOTA DA ENTRADA DE P |
| Isto ajusta a política do defeito para a corrente específica. Isto aplica-se a tudo os pacotes que não combinam nenhuma régua na corrente. |
Fósforo
Isto é usado como a módulo de harmonização prolongado do pacote. Há duas opções que são - p (- protocolo usado) ou - m (- fósforo) que são seguidos por mais opções. A opção do protocolo que pode ser combinada é tcp, UDP e ICMP. As opções do fósforo são a marca, o limite, o proprietário, o ttl, o tos, o estado etc. Os três importantes são uma vez ttl, tos e estado. o ttl e o tos são auto-explainatory. A opção do estado diz que estado do pacote deve ser combinada com a régua. Há quatro estados INVÁLIDOS, ESTABELECIDO, NOVO e RELACIONADO. Seguir é algum exemplo do uso do fósforo:
iptables - UMA ENTRADA - estado de m - indic RELACIONADO, ESTABELECIDO
iptables - UMA SAÍDA - m ttl - ttl 60
iptables - UMA ENTRADA - p tcp - alvo/salto do dport 22
Quando as réguas em uma corrente exmained e não há nenhum towhich que da régua o pacote combina a opção do alvo é põr então na ação. As opções que sãas sido ACEITAM, DEIXAM CAIR, ENFILEIRAM-SE ou RETORNAM-SE. O alvo é usado com - P. A opção do salto é a mesma como o alvo ele especific o alvo da régua se o pacote combina a régua.
Lima de configuração
A posição da lima de configuração é especific no certificado startup /etc/rc.d/init.d/iptables. Esta lima de configuração esta por iptables quando começado. Para fazer assim a permanent das mudanças nós temos que editar esta lima. De qualquer modo há uma opção no começo acima o save do certificado 'que conserva as mudanças feitas a esta lima sem ter que manualmente o editar. Assim após o ajuste todas as réguas funcionam o seguinte comando:
/etc/rc.d/init.d/iptables excepto a posição real desta lima é /etc/sysconfig/iptables.
