Основная конфигурация Iptables
IPtables инструмент к тому выполняет фильтровать пакета в стержене Линукс 2.4. Замена для ipchains в
предыдущих версиях. Все данные возвращенные через сети в форме пакетов. Коллекторы пакетов дают нам информацию которая необходимо для делать решения трассы и другие административние детали. Фактические данные которые возвращаются принадлежат к телу. Для того чтобы фильтровать пакеты, свой коллектор расмотрен и принимают правильное действие.
Вопрос после этого возникает почему делаем нам нужно рассмотреть коллектор и фильтровать пакеты? Большинств веская причина была бы увеличивает обеспеченность сети. Например мы могли хотеть защитить нашу систему от злостых аутсайдеров. Другая причина мы могла хотеть ограничить или проконтролировать использование ресурса который принадлежит к нашей сети. Например мы могли хотеть позволить только лимитированному ammount движения пройти до конца.
Основная форма
Таблицы
Первый вариант таблица. 3 вида таблиц именно nat, мангля и фильтра.
Nat: Эта таблица использована для перевода адреса сети. 3 цепи PREROUTING, ВЫХОД и POSTROUTING. Цепь Prerouting использована для того чтобы изменить пакеты как только они входят брандмауэр. Цепь выхода использована для того чтобы изменить по месту произведенные пакеты. И postrouting цепь использована для того чтобы изменить пакеты по мере того как они выходят брандмауэр
Мангль: Эта таблица использована для того чтобы mangle пакеты и имеет 2 цепи значения по умолчанию. Эта таблица не должна быть использована к или пакету фильтра или сделать любой перевод адреса. 2 цепи значения по умолчанию PREROUTING и ВЫХОД. Как с prerouting в Nat таблице здесь также оно использован для того чтобы mangle пакеты по мере того как они входят брандмауэр. И выход использован для того чтобы mangle пакеты которые произведены по месту. Эта таблица изменяет различные пакеты и как их коллекторы появляются. Например TTL или TOS.
Фильтр: Это использовано фактически для того чтобы фильтровать пакеты и если вариант таблиц не определен после этого, то команда прикладной к этому таблицы. 3 вида цепей ВХОДНОЙ СИГНАЛ, ВЫХОД и ПЕРЕДНЕЕ. Цепь входного сигнала использована на пакетах которые которому сужденно для местного хозяина. Выход как в вышеуказанных случаях использован на по месту произведенных пакетах. И вперед использует на всех других цепях. Действие которое можно принять ПАДЕНИЕ, ЖУРНАЛ, ПРИНИМАЕТ или ИЗЛУЧАЕТ на каждой цепи.
Команда
| - A, - приложите |
| iptables - ВХОДНОЙ СИГНАЛ… |
| Это команда прилагает в конце цепи. |
| - D - delete |
| iptables - INPUT D - dport 80 - ПАДЕНИЕ j |
| iptables - D INPUT 1 |
| Там 2 путя уничтожить правило в цепи. первое определить правило, котор нужно уничтожить как в первом примере. Или второе к определите номер правила как в втором примере. |
| - R - замените |
| iptables iptables - R INPUT 1 - s 192.168.0.1 - ПАДЕНИЕ j |
| Это использует для того чтобы заменить старые входы на специфической линии. |
| - I - вставка |
| iptables - I INPUT 1 - dport 80 - j ПРИНИМАЕТ |
| Это вводит правило на определенное положение. |
| - L - список |
| iptables - L ВХОДНОЙ СИГНАЛ |
| Это использована команда перечислить правила в определенных цепи или таблице. |
| - F - полно |
| iptables - ВХОДНОЙ СИГНАЛ F |
| Это топит все правила в определенных цепи или таблице. Он соответствующ к уничтожать все правила сразу verb. |
| - N - нов-цепь |
| iptables - givenName n |
| Это добавляет новую цепь в определенной таблице с «givenName». |
| - X - уничтожать-цепь |
| iptables - givenName x |
| Это использует для того чтобы уничтожить всю цепь вместе с правилами в ей. |
| - P - политика |
| iptables - ПАДЕНИЕ ВХОДНОГО СИГНАЛА P |
| Это устанавливает политику значения по умолчанию для специфической цепи. Это применяется к всем пакеты которые не сопрягают никакое правило в цепи. |
Спичка
Это использовано к как модулю выдвинутого пакета сопрягая. 2 варианта который используемый - p (- протокол) или - m (- спичка) который последованы за больше вариантов. Вариант протокола который можно сопрягать tcp, udp и icmp. Варианты спички метка, предел, предприниматель, ttl, tos, положение etc. 3 важное раз ttl, tos и положение. ttl и tos собственная личность-explainatory. Вариант положения говорит которое положение пакета быть сопряганным с правилом. 4 положения ИНВАЛИДНОГО, УСТАНОВЛЕНО, НОВО и РОДСТВЕНО. Следовать за некоторый пример использования спички:
iptables - ВХОДНОЙ СИГНАЛ - положение m - заявите РОДСТВЕННОЕ, УСТАНОВЛЕНО
iptables - ВЫХОД - m ttl - ttl 60
iptables - ВХОДНОЙ СИГНАЛ - p tcp - цель/скачка dport 22
Когда правила в цепи exmained и никакое towhich правила пакет сопрягает после этого вариант цели положен в действие. Варианты которые позволены ПРИНИМАЮТ, ПАДАЮТ, QUEUE или ВОЗВРАЩАЮТ. Цель использована с - p. Вариант скачки это же какому цель оно определяет цель правила если пакет сопрягает правило.
Архив конфигурации
Положение архива конфигурации определено в startup сценарии /etc/rc.d/init.d/iptables. Этот архив конфигурации прочитан iptables когда он начинает. Так сделать перманентностью изменений мы должны редактировать этот архив. Как бы вариант в старте вверх по save сценарию 'которое сохраняет изменения сделанные к этому архиву без вручную редактировать его. Так после устанавливать все правила бегут следующая команда:
/etc/rc.d/init.d/iptables за исключением фактического положения этого архива /etc/sysconfig/iptables.
