Deci, mai întâi, nu face rău să înveți principiul firewall-ului Iptables: Când un pachet sosește pe paravanul nostru, acesta întâlnește mai întâi dispozitivul de rețea, este interceptat de driverul corespunzător și apoi trecut la kernel. Apoi, pachetul trece o serie de tabele și apoi este trecut la aplicația locală sau trimis la altă mașină.
Iptables folosește trei tipuri de tabele:
În consecință, suntem interesați de al treilea tabel de filtre. În acest tabel există trei lanțuri încorporate:
- INPUT # 151; pentru pachetele primite.
- FORWARD # 151; pentru a trece prin această mașină la alta.
- IEȘIRE # 151; pentru ieșire.
Un pachet care trece prin aceste lanțuri, bazat pe regulă, poate fi omis (ACCEPT) sau aruncat (DROP).
Iptables poate fi configurat în mai multe moduri:
Ultimul pe care îl vom folosi.
Programul Iptables vă permite să editați reguli prin terminal introducând comenzi.
Puțin despre scrierea regulilor:
Fiecare regulă # 151; acesta este un șir care conține criteriile care determină dacă pachetul intră sub o anumită regulă și acțiunea care trebuie efectuată dacă criteriul este îndeplinit. În general, regulile sunt scrise aproximativ în felul următor:
Nicăieri nu se menționează că descrierea acțiunii (țintă / salt) ar trebui să fie ultima în linie, totuși această notație este mai ușor de citit. Fie ca atare, dar, de cele mai multe ori, veți găsi acest mod de a scrie reguli.
Dacă specificatorul de tabel -t nu este inclus în regulă. implicit este utilizarea tabelului de filtrare. Dacă intenționați să utilizați un alt tabel, trebuie să specificați acest lucru în mod explicit. Specificatorul de tabelă poate fi specificat și oriunde în linia de reguli, dar mai mult sau mai puțin standard este indicația tabelului de la începutul regulii.
Apoi, imediat după numele mesei, ar trebui să existe o comandă. Dacă nu există specificator de tabelă, atunci comanda trebuie să fie întotdeauna prima. Comanda definește acțiunea iptables. de exemplu: introduceți o regulă sau adăugați o regulă la sfârșitul lanțului sau ștergeți regula etc.
În final, obiectivul indică ce măsuri trebuie luate dacă criteriile din regulă sunt îndeplinite. Aici puteți forța kernelul să transfere pachetul într-un alt lanț de reguli, să "reseteze" pachetul și să uite de el, să emită un mesaj de eroare sursei și așa mai departe.
Și am trecut direct la scrierea regulilor. Poate că unele distribuții au deja reguli pregătite, dar nu sunt întotdeauna corect scrise. Și în unele nu au.
Dacă distribuția dvs. are deja reguli de filtrare, acestea ar trebui să fie în directorul /etc/init.d/ și să fie numite rc.firewall sau rc.fw. În principiu, puteți să le eliminați, deoarece mai jos vă publică rc.firewal l și încercați să descrieți în detaliu fiecare regulă.
Ei bine, asta e tot. Cele de mai sus este configurația Iptables pentru mașina de acasă. Salvați acest script, faceți-l executabil și puneți-l în /etc/init.d/; dacă există deja un fișier rc.firewall. eliminați-l executând comanda din acest director:
Apoi, executați un nou script de inițializare la data încărcării:
Regulile Iptables se aplică în momentul încărcării. Dacă doriți să opriți Iptables:
Pentru a salva regulile în / etc / rules-save
Pentru o nouă pornire a Iptables:
Trimiteți-le prietenilor: