Временами возникает необходимость заблокировать нежелательные узлы или даже всю не желательную сеть. Для этого лучше всего подходит цель DROP. Надо помнить, что цепочка INPUT содержит пакеты, предназначенные только для машины брандмауэра. Следовательно, нужно контролировать обе цепоч ки – INPUT и FORWARD, если нужно заблокировать прием данных от нежелательного узла:
Целью правил IPTables называется действие, которое выполняется над пакетом, если его заголовок соответствует совпадению правила. Обычно используются 15 стандартных целей. Также можно указать в качестве цели пользовательскую це почку, которой передается управление. Если ни одно из правил в пользовательской цепочке не совпало, выполнение передается назад в вызывающую цепочку.
Следующие совпадения можно применять только к определенному протоколу: специальные совпадения TCP к TCP-пакетам, UDP к UDP-пакетам и ICMP к ICMP-пакетам соответственно. Из-за этого их выделили в отдельную группу компонент правил IPTables. Их так и называют – специальные совпадения протокола(TCP, UDP или ICMP).
В документе Iptables Tutorial эти совпадения называют неявными критериями выделения пакета. Под этим там понимаются те критерии, которые явно не выражены и становятся доступны только после указания критерия, например -p tcp.
Эти критерии можно подгрузить и явным образом, указав ключа -m (-match), к примеру -m tcp.
Рассмотрим эти специальные совпадения.
В разных документах и руководствах по iptables используются разные обозначения для тех или иных описаний правил iptables. Например, в IPTables Tutorial компоненты правил называют критерием выделения пакетов.
Мы будем называть обозначение компонентов правил совпадением.
SNAT.
SNAT использует такой синтаксис:
# iptables -t nat -A POSTROUTING –out-interface <интерфейс> -j MASQUERADE
Для изменения правил цепочек используется команда iptables. Детальное описание опций этой команды можно найти в соответствующем руководстве из справочной системы Linux (команда man iptables).
Iptables можно запускать просто из командной строки, рекомендуется создать bash-сценарий, содержащий команды ipta bles. Преимущества: во-первых, упрощается управление правилами, а во-вторых, правила применяются немедленно – одно за другим. Это удобно при удаленном управлении брандмауэ ром.
Рассмотрим путь прохождения пакета через определенные таблицы и цепочки IPTables, так называемый жизненный цикл пакета.
Входящий или исходящий пакеты проходят обязательную обработку брандмауэром и только потом они направляются конечному приложению или дальше по таблице маршрутизации, или отбрасываются(уничтожаются).
IPTables входит в состав практически всех современных дистрибутивов Linux и устанавливается по умолчанию. Ядро Linux в таких дистрибутивах обычно скомпилировано с поддержкой IPTables. Если в дистрибутиве нет IPTables, его можно загрузить с сайта www.netfilter.org.
IPTables непрерывно развивается, следовательно, немало новых функций не включено в состав обычного ядра Linux, так как они еще не протестированы на надежность. Такие расширения дают админис тратору много полезных функций. Эти функции IPTables распространяются в виде серии патчей ядра, которая называется Patch-O-Matic (pOm).
Современный компьютер невозможно представить без сети. В каждом новом компьютере, как правило уже есть сетевая плата. Она нужна для выхода в локальную или глобальную сеть. Но при выходе в сеть компьютер подвергается опасности быть взломанным. Чтобы этого избежать и придумали различные способы фильтрации пакетов.
Фильтрация пакетов подразумевает под собой анализ заголовка пакета, его последующего сравнения с набором некоторых правил, и выполнения действия над пакетом в зависимости от правил, которые заданы для него.
День системного администратора (также известен как День сисадмина) — праздник, отмечаемый в последнюю пятницу июля с целью выражения признательности сотрудникам, выполняющим обязанности системных администраторов.
Особый день, раз в году, для того, чтобы признать ценность и важность того, кто занимает это место, особенно потому, что это зачастую человек, благодаря которому колеса компании продолжают вращаться.
Continue reading…
