Iptables kimsingi inawajibika kwa uchujaji wa pakiti. Kusanidi Iptables kwa mikono ni sawa si kazi rahisi. Usitarajie kubaini hili "haraka." Kwa bahati nzuri, kuna zana nyingi ambazo zinaweza kukusaidia ikiwa bado haujafikiria iptables, lakini unahitaji haraka kuimarisha mfumo: fwbuilder, firestarter, guarddog, arno firewall - kimsingi hii ni GUI kwa iptables. Hakuna jibu wazi ambalo ni bora zaidi. Chaguo ni lako. Hata hivyo, makala ya leo imejitolea hasa kwa iptables na imegawanywa katika sehemu mbili: nadharia na mazoezi. Wale wasio na subira wanaweza kumaliza mara moja sehemu ya vitendo, ingawa njia hii haifai.
Makini! Vitendo vyote vilivyo na iptables vinafanywa kwa niaba ya mtumiaji aliyebahatika!
Nadharia
iptables za umbizo la iptables [-t table] [amri] [kitendo] Mfano: iptables -t filter -A INPUT KUBALIVitendo
- KUBALI - Kubali kifurushi
- DROP - Dondosha pakiti
- DNAT - Badilisha Anwani Lengwa
- SNAT - Badilisha anwani ya IP inayotoka kwenye kichwa cha pakiti
- LOG - Kuingia kwa pakiti na matukio
- MARK - Weka alama kwenye kifurushi
- MASQUERADE - Badilisha anwani ya IP inayotoka kwenye kichwa cha pakiti (tofauti na SNAT - kufanya kazi na IPs zinazobadilika)
- FOLENI - Weka foleni kwa pakiti ili kuchakatwa
- REDIRECT - Elekeza upya pakiti/mtiririko kwenye mlango mwingine
- KATAA - Dondosha pakiti + arifa mfumo wa mbali Kuhusu. kwamba kifurushi chake kilikataliwa
- RUDISHA - Zuia pakiti kusogea kando ya mnyororo wa sasa na uirejeshe kwenye mnyororo wa kupiga simu
Timu
- -A - Ongeza sheria kwenye mnyororo
- -D - Ondoa sheria kutoka kwa mnyororo
- -R - Badilisha sheria moja na nyingine
- -I - Weka sheria mpya
- -L - Orodhesha sheria zilizopo
- -F - Weka upya sheria
- -Z - Weka upya vihesabio katika mlolongo fulani
- -N - Unda msururu mpya kwa jina ulilopewa
- -X - Futa mnyororo
- -P - Weka sera chaguo-msingi kwa msururu uliochaguliwa
- -E - Badilisha jina la mnyororo wa mtumiaji
Vigezo (jumla)
- -p - Bainisha aina ya itifaki
- -s - anwani ya IP ya chanzo cha pakiti
- -d - Anwani ya IP ya mpokeaji wa pakiti
- -j - Bainisha kitendo cha sheria
- -i - Kiolesura ambacho pakiti ilipokelewa
- -o - Bainisha jina la kiolesura cha pato
- -f - Kueneza sheria kwa vipande vyote vya pakiti
Vigezo vya TCP:
- -tcp-bendera - Bainisha kinyago na bendera
Vigezo vya UDP:
- -sport - Bandari ambayo pakiti ilitumwa
- -dport - Bandari ambayo pakiti inashughulikiwa
Maelezo zaidi katika man iptables
Fanya mazoezi
Tazama usanidi wa sasa
$ sudo iptables -L INPUT Chain (sera KUBALI) lengwa la kuchagua mnyororo wa chanzo lengwa Mnyororo FORWARD (sera KUBALI) lengwa chaguo la chanzo lengwa la Mnyororo OUTPUT (sera KUBALI) lengwa la chaguo la chanzo lengwa
Ukiona kitu kama hiki, inamaanisha kuwa ngome yako bado haijasanidiwa na inaruhusu kila kitu. Wacha turekebishe hali hiyo.
Kuweka Sera Chaguomsingi
- iptables -P INPUT DROP - kuzuia pakiti zinazoingia
- iptables -P OUTPUT KUBALI - ruhusu pakiti zinazotoka
- iptables -P FORWARD DROP - usindikaji wa pakiti ambazo zimefikia seva kutoka kwa mashine nyingine na zinasubiri kusambaza zaidi. Katika mfano imefungwa. Katika kesi hii, italazimika kuongeza sheria kwa mashine zinazoaminika.
Kwa kuwa pakiti zinazoingia za INPUT zimezuiwa, tutaandika sheria ifuatayo:
$ sudo iptables -A INPUT -m jimbo --jimbo INAYOHUSIANA, IMEANZISHWA -j KUBALI
Hii itaruhusu kukubali pakiti kutoka kwa muunganisho ulioanzishwa hapo awali na kukubali pakiti mpya zinazozalishwa na muunganisho huu.
Au kuonyesha aina ya itifaki:
$ sudo iptables -A INPUT -p TCP -m hali --hali IMEANZISHWA,INAYOHUSIANA -j KUBALI $ sudo iptables -A INPUT -p UDP -m state --state IMEANZISHWA,INAHUSIANA -j KUBALI
Sasa kiolesura cha ndani:
$ sudo iptables -A INPUT -i lo -j KUBALI
- MPYA - data inayoanzisha muunganisho mpya.
- IMEANZISHWA - pakiti inayotoka kwa muunganisho ambao tayari umeanzishwa.
- INAYOHUSIANA - pakiti mpya ya data, lakini inayotokana na muunganisho wa zamani ulioanzishwa
- BATILI - kwa hivyo ni wazi
$ sudo iptables-save > /etc/iptables.up.rules
Wezesha sheria hizi:
$sudo iptables-rejesha< /etc/iptables.up.rules
Na tazama tofauti:
$sudo iptables -L
Zindua iptables wakati wa kuanzisha mfumo:
Katika saraka ya /etc/init.d, unda faili inayoitwa iptables
$ sudo touch /etc/init.d/iptables
Tunaandika yafuatayo ndani yake:
#!/bin/sh /sbin/iptables-restore< /etc/iptables.up.rules
Kufanya faili ya iptables kutekelezwa:
$ sudo chmod +x /etc/init.d/iptables
Iongeze kwa autorun
$ sudo update-rc.d -n iptables chaguo-msingi
Zindua iptables wakati umeunganishwa kwenye mtandao:
$ sudo echo "#! /sbin/iptables-restore" > /etc/network/if-up.d/iptables.up.rules $ sudo iptables-save >> /etc/network/if-up.d/iptables. up.rules $ sudo chmod +x /etc/network/if-up.d/iptables.up.rules
Kumbuka: wakati wowote unaweza kuangalia ikiwa sheria zako zimepakiwa kwa kuingiza tu iptables-save kama mzizi
Kwa archlinux, kuokoa sheria za iptables hufanywa kwa amri:
$ sudo rc.d hifadhi iptables
Kanuni ya kuweka
Syntax ya jumla ya kutumia iptables ni:
iptables -t<таблица> <команда> <цепочка>[nambari]<условие> <действие>
<таблица>
sheria za netfilter zinasambazwa katika majedwali 4, ambayo kila moja ina madhumuni yake (maelezo zaidi hapa chini). Imeelezwa na -t kubadili, lakini ikiwa parameter hii haijainishwa, hatua itafanyika kwa meza ya default - chujio.
<команда>
Amri zinaonyesha ni aina gani ya hatua tunayofanya kwenye netfilter, kwa mfano, kuunda au kufuta sheria.
<цепочка>
Kila meza ina minyororo, kwa kila ambayo sheria wenyewe huundwa. Kwa mfano, kwa jedwali la kichungi hapo juu kuna minyororo mitatu iliyoainishwa - INPUT (pakiti zinazoingia), OUTPUT (pakiti zinazotoka) na FORWARD (pakiti za usafirishaji).
[nambari]
Amri zingine zinahitaji kubainisha nambari ya sheria, kwa mfano, kufuta au kuhariri.
<условие>
Hali inaelezea vigezo vya kutekeleza sheria fulani.
<действие>
Kweli, kwa kweli, tunafanya nini na kifurushi ikiwa kinakidhi vigezo vya hali hiyo?
* kwa haki, inafaa kuzingatia kwamba ufunguo wa hatua sio lazima ufike mwisho. Tu umbizo hili mara nyingi hupatikana katika maagizo na hufanya sheria iwe rahisi kusoma.
funguo za iptables na mifano ya matumizi yao
Kufanya kazi na meza (iptables -t)
Acha nikukumbushe kwamba sheria zote kwenye netfilter zinasambazwa kwenye jedwali. Kufanya kazi na meza maalum, lazima utumie -t kubadili.
Timu
Vifunguo vifuatavyo huamua vitendo ambavyo shirika la iptables hufanya.
Ufunguo | Maelezo na mifano |
---|---|
-A | Kuongeza sheria hadi mwisho wa orodha: iptables -A INPUT -s 192.168.0.15 -j DROP kukataa ujumbe unaoingia kutoka 192.168.0.15. |
-D | Kufuta sheria: iptables -D INPUT 10 futa sheria kwenye mnyororo wa INPUT na nambari 10. |
-I | Kuingiza sheria katika sehemu maalum ya orodha: iptables -INPUT 5 -s 192.168.0.15 -j DROP ingiza kanuni ya 5 kwenye orodha. |
-R | Kubadilisha kanuni. iptables -R OUTPUT 5 -s 192.168.0.15 -j KUBALI badilisha sheria yetu ya 5 kutoka kwa kukataza hadi kuruhusiwa. |
-F | Kuweka upya sheria katika mlolongo. iptables -F INPUT |
-Z | Inaweka upya takwimu. iptables -Z INPUT |
-N | Kuunda mnyororo. iptables -N CHAINNEW |
-X | Kufuta mnyororo. iptables -X CHAINNEW |
-P | Bainisha kanuni ya msingi. iptables -P INPUT DROP |
-E | Badilisha jina la mnyororo. iptables -E CHAINNEW CHAINOLD |
Masharti
Funguo hizi hufafanua masharti ya utawala.
Ufunguo | Maelezo na mifano |
---|---|
-p | Itifaki ya mtandao. Chaguo halali ni TCP, UDP, ICMP, au ZOTE. iptables -A INPUT -p tcp -j KUBALI ruhusu miunganisho yote ya tcp inayoingia. |
-s | Anwani ya chanzo - jina la mwenyeji, anwani ya IP, au subnet katika nukuu ya CIDR. iptables -A INPUT -s 192.168.0.50 -j DROP kukataa ujumbe unaoingia kutoka nodi 192.168.0.50 |
-d | Anwani lengwa. Kanuni ya matumizi ni sawa na ufunguo uliopita -s. iptables -A OUTPUT -d 192.168.0.50 -j DROP kukataa zinazotoka kwa nodi 192.168.0.50 |
-i | Adapta ya mtandao ambayo pakiti hufika (INPUT). iptables -A INPUT -i eth2 -j DROP zima trafiki inayoingia ya kiolesura cha Ethernet eth2. |
-o | Adapta ya mtandao ambayo pakiti hutumwa (OUTPUT). iptables -A OUTPUT -o eth3 -j KUBALI Ruhusu ujumbe unaotoka kutoka kwa kiolesura cha Ethaneti cha eth3. |
--dport | Bandari ya marudio. iptables -A INPUT -p tcp --dport 80 -j KUBALI Ruhusu simu zinazoingia kwenye port 80. |
--michezo | Chanzo bandari. iptables -A INPUT -p tcp --sport 1023 -j DROP kataza ujumbe unaoingia kutoka bandari 1023. |
Vifunguo vilivyoorodheshwa pia vinasaidia ujenzi kwa kutumia ishara !
. Inabadilisha hali, kwa mfano,
iptables -A INPUT -s ! 192.168.0.50 -j DROP
itakataa muunganisho kwa wapangishi wote isipokuwa 192.168.0.50.
Vitendo
Vitendo ambavyo vitafanywa kwenye kifurushi kinacholingana na vigezo vya hali hiyo. Kila jedwali lina seti yake ya vitendo vinavyoruhusiwa. Imebainishwa kwa kutumia ufunguo -j.
Jedwali | Kitendo | Maelezo |
---|---|---|
chujio | KUBALI | Inaruhusu kifurushi. |
DONDOSHA | Inakataa kifurushi. | |
KATAA | Inakataza kutuma ujumbe kwa chanzo. | |
nat | MASQUERADE | Kwa pakiti zinazotoka, hubadilisha anwani ya IP ya chanzo na anwani ya kiolesura ambacho pakiti inatoka. |
SNAT | Sawa na MASQUERADE, lakini ikionyesha kiolesura mahususi cha mtandao ambacho anwani yake itatumika kwa ulaghai. | |
DNAT | Ubadilishaji wa anwani kwa vifurushi vinavyoingia. | |
RUDISHA | Huelekeza ombi kwenye mlango mwingine kwenye mfumo huo huo. | |
manyoya | T.O.S. | Marekebisho ya uga wa TOS (vipaumbele vya trafiki). |
DSCP | Kubadilisha DSCP (pia vipaumbele vya trafiki). | |
TTL | Badilisha TTL (maisha ya pakiti). | |
H.L. | Sawa na TTL, lakini kwa IPv6. | |
MARK | Kuashiria kwa kifurushi. Inatumika kwa uchujaji au uundaji unaofuata. | |
CONNMARK | Kuashiria muunganisho. | |
TCPMSS | Kubadilisha thamani ya MTU |
Mifano ya amri za iptables zinazotumiwa sana
Amri za jumla
Angalia sheria na nambari zao:
iptables -L --line-nambari
Kwa kila meza unahitaji kuangalia sheria tofauti:
nambari za iptables -t nat -L --line-nambari
Ondoa sheria zote:
Weka kanuni za msingi:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
* katika mifano hii, kwa chaguo-msingi, sheria ya kukataa (DROP) itafanya kazi kwa pakiti zote zinazoingia (INPUT) na zinazotoka (OUTPUT).
Ruhusu yote
Njia ya 1: Kwa kuongeza sheria:
iptables -NA PEMBEJEO 1 -j KUBALI
iptables -I OUTPUT 1 -j KUBALI
iptables -NILIPELEKA 1 -j NAKUBALI
* amri hizi tatu zitaunda sheria zinazoruhusu pakiti zote zinazoingia, zinazotoka na za usafiri.
Njia ya 2. Kusafisha sheria:
* hapa kwanza tunaondoa sheria zote (-F), kisha kuweka sera chaguo-msingi ili kuruhusu zinazoingia, zinazotoka na za usafiri (-S).
Njia ya 3. Kuzima huduma (ni rahisi kuzima ngome kwa muda ili kutambua matatizo):
huduma iptables kuacha
Kufanya kazi na sheria
Ongeza sheria hadi mwisho wa orodha:
iptables -A INPUT -p tcp --dport 25 -j KUBALI
iptables -A INPUT -p tcp -s ! 192.168.0.25 --dport 993 -i eth0 -j KUBALI
Ongeza safu ya mlango:
iptables -A INPUT -p tcp --dport 3000:4000 -j KUBALI
*V kwa kesi hii, kutoka 3000 hadi 4000.
Weka kanuni:
iptables -I FORWARD 15 -p udp -d 8.8.8.8 --dport 53 -i eth1 -j KUBALI
Zuia anwani maalum ya IP kwa unganisho kwenye bandari 25:
iptables -INPUT 1 -s 1.1.1.1 -p tcp --dport 25 -j DROP
Usambazaji wa bandari
Kuna njia mbili za kuanzisha.
1. UTANGULIZI + sheria za UTANGULIZI:
iptables -t nat -A PREROUTING -p tcp -m tcp -d 19.8.232.80 --dport 22 -j DNAT --kwenda-lengwa 192.168.1.15:2222
iptables -t nat -A POSTROUTING -p tcp -m tcp -s 192.168.1.15 --sport 2222 -j SNAT --to-source 19.8.232.80:22
* Wapi 19.8.232.80 - anwani ambayo tunasikiliza maombi ya uunganisho; 22 - bandari kwa usambazaji; 192.168.1.15 - anwani ya IP ya ndani ambayo tunahamisha maombi yote; 2222 - bandari ya ndani.
2. KUTAWALA + kanuni za KUPELEKA:
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 22 -j DNAT --kwenda-lengwa 192.168.1.15:2222
iptables -A FORWARD -p tcp -d 192.168.1.15 --dport 22 -m hali --state MPYA, IMEANZISHWA, INAYOHUSIANA -j KUBALI
Ufafanuzi iptables- matumizi mstari wa amri, ni kiolesura cha kawaida cha kusimamia utendakazi wa ngome (firewall) kichujio cha mtandao kwa cores Matoleo ya Linux 2.4, 2.6, 3.x, 4.x. Kwa matumizi huduma za iptables Mapendeleo ya Superuser (mizizi) yanahitajika.
Tutashughulikia iptables na hatuwezi kufanya bila utangulizi mdogo wa kinadharia.
Ili kuteka kwa usahihi sheria za firewall, unahitaji kuelewa jinsi pakiti zinapita kwa ujumla na kile kinachotokea kwao.
Utaratibu wa harakati za vifurushi vya usafiri
Hatua | Jedwali | Mnyororo | Kumbuka |
---|---|---|---|
1 | |||
2 | manyoya | PREROUTING | Kwa kawaida msururu huu hutumiwa kufanya mabadiliko kwenye kichwa cha pakiti, kama vile kubadilisha biti T.O.S. na kadhalika.. |
3 | nat | PREROUTING | Mnyororo huu hutumiwa kwa utangazaji anwani za mtandao (). inatekelezwa baadaye, katika mlolongo mwingine. |
4 | Kuamua juu ya uelekezaji zaidi, i.e. kwa hatua hii imeamuliwa atakwenda wapi mfuko wa plastiki - maombi ya ndani au kwa nodi nyingine ya mtandao. | ||
5 | manyoya | MBELE | Pakiti kisha huingia kwenye mnyororo MBELE meza za malenge. |
6 | Chuja | MBELE | Katika mnyororo MBELE Zile tu pakiti zinazoenda kwa seva pangishi nyingine ndizo zinazopokelewa. Uchujaji wote wa trafiki ya usafiri unapaswa kufanywa hapa. Usisahau kwamba trafiki hupitia mlolongo huu kwa pande zote mbili; hakikisha kuzingatia hili wakati wa kuandika sheria za kuchuja. |
7 | manyoya | KUACHA | Mlolongo huu unakusudiwa kufanya mabadiliko kwenye kichwa cha pakiti baada ya uamuzi wa mwisho wa uelekezaji kufanywa. |
9 | nat | KUACHA | Mlolongo huu unakusudiwa hasa Tafsiri ya Anwani ya Chanzo ya Mtandao. Kujifanya pia kunafanyika hapa ( Kujifanya). |
9 | Kiolesura cha mtandao wa pato (kwa mfano, eth1). |
Kwa programu ya ndani (vifurushi vinavyoingia)
Hatua | Jedwali | Mnyororo | Kumbuka |
---|---|---|---|
1 | Ingiza kiolesura cha mtandao (kwa mfano, eth0) | ||
2 | manyoya | PREROUTING | Kawaida hutumika kufanya mabadiliko kwa kichwa cha pakiti, kama vile kuweka biti T.O.S. na kadhalika. |
3 | nat | PREROUTING | Tafsiri ya anwani ( Tafsiri ya Anwani ya Mtandao Lengwa). |
4 | Kufanya maamuzi ya njia. | ||
5 | manyoya | PEMBEJEO | Pakiti huingia kwenye mnyororo PEMBEJEO meza za malenge. Hapa ndipo mabadiliko yanafanywa kwa kichwa cha pakiti kabla ya kupitishwa kwa programu ya ndani. |
6 | chujio | PEMBEJEO | Trafiki inayoingia inachujwa hapa. Kumbuka kwamba pakiti zote zinazoingia zinazoelekezwa kwetu hupitia msururu huu, bila kujali zimetoka kiolesura gani. |
7 | Mchakato/matumizi ya ndani (yaani, programu ya seva au programu ya mteja) |
Kutoka kwa michakato ya ndani (pakiti zinazotoka)
Hatua | Jedwali | Mnyororo | Kumbuka |
---|---|---|---|
1 | Mchakato wa ndani (yaani, programu ya seva au programu ya mteja). | ||
2 | Kufanya maamuzi ya njia. Hapa imeamua ambapo pakiti itaenda karibu - kwa anwani gani, kwa njia ya interface ya mtandao, nk. | ||
3 | manyoya | PATO | Hapa ndipo mabadiliko yanafanywa kwa kichwa cha pakiti. Kufanya uchujaji kwenye mnyororo huu kunaweza kuwa na matokeo mabaya. |
4 | nat | PATO | Msururu huu hutumiwa kwa tafsiri ya anwani ya mtandao (NAT) katika pakiti zinazotoka kwa michakato ya ndani ya ngome. |
5 | Chuja | PATO | Trafiki inayotoka inachujwa hapa. |
6 | manyoya | KUACHA | Mnyororo KUACHA Jedwali la mangle hutumiwa hasa kwa sheria zinazohitaji kufanya mabadiliko kwenye kichwa cha pakiti kabla ya kuondoka kwenye ngome, lakini baada ya uamuzi wa uelekezaji kufanywa. Pakiti zote, za kupita na iliyoundwa na michakato ya ndani ya ngome, huanguka kwenye msururu huu. |
7 | nat | KUACHA | Hukimbia hapa Tafsiri ya Anwani ya Chanzo ya Mtandao. Haupaswi kuchuja pakiti katika mnyororo huu ili kuepuka zisizohitajika madhara. Hata hivyo, hapa pia unaweza kusimamisha pakiti kwa kutumia sera chaguo-msingi DONDOSHA. |
8 | Kiolesura cha mtandao (km eth0) |
Kama tunavyoelewa, kuna meza kuu tatu:
- manyoya — Jedwali hili imekusudiwa kwa shughuli za uainishaji na kuashiria pakiti na viunganisho, pamoja na urekebishaji wa vichwa vya pakiti (mashamba ya TTL na TOS).
- chujio— jedwali kuu la kuchuja pakiti, linalotumiwa na chaguo-msingi. Kweli, ni katika meza hii kwamba kuchuja pakiti hutokea.
- nat- hutoa utendakazi wa nat ikiwa unataka kutumia kompyuta yako kama kipanga njia. Sheria za uelekezaji zimewekwa hapa.
Kwa meza nat Vitendo vinatumika:
- MASQUERADE
Kitendo DNAT(Tafsiri ya Anwani ya Mtandao Lengwa) hubadilisha anwani lengwa katika vichwa vya pakiti. Kwa maneno mengine, kitendo hiki huelekeza pakiti kwenye anwani zingine isipokuwa zile zilizoainishwa kwenye vichwa vya pakiti.
SNAT(Tafsiri ya Anwani ya Chanzo ya Mtandao) hutumiwa kubadilisha anwani za chanzo za pakiti. Kwa kitendo hiki, shiriki anwani moja ya nje ya IP kati ya kompyuta kwenye mtandao wa ndani ili kufikia Mtandao. Katika kesi hiyo, firewall, kwa kutumia SNAT, hufanya kiotomatiki tafsiri ya anwani ya mbele na ya nyuma, na hivyo kufanya uwezekano wa kuunganisha kwenye seva kwenye mtandao kutoka kwa kompyuta kwenye mtandao wa ndani.
Kujificha ( MASQUERADE) hutumiwa kwa madhumuni sawa na SNAT, lakini tofauti na ile ya mwisho, MASQUERADE inatoa zaidi mzigo mzito kwenye mfumo. Hii hutokea kwa sababu kila wakati hatua hii inapohitajika, anwani ya IP inaombwa kwa ajili ya kiolesura cha mtandao kilichobainishwa katika kitendo, wakati kwa SNAT Anwani ya IP imeelezwa moja kwa moja. Hata hivyo, kutokana na tofauti hii, MASQUERADE inaweza kufanya kazi katika kesi na anwani ya IP yenye nguvu, i.e. unapounganisha kwenye Mtandao, sema kupitia PPP, SLIP au DHCP.
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
Tekeleza MASQUERADE kwa pakiti zote zinazotoka kwa mtandao 10.8.0.0 hadi interface eth0. Kwa uwazi, hebu sema tuna kadi mbili za mtandao na mitandao miwili. Tunahitaji mtandao 10.8.0.0/24 (kadi ya kwanza ya mtandao) inaweza kufikia, tuseme, mtandao kupitia eth0( kadi ya pili ya mtandao)
- mbichi- Imeundwa kutekeleza vitendo na vifurushi kabla ya kuchakatwa na mfumo.
Jedwali la msingi lenyewe chujio.
- PEMBEJEO- huchakata trafiki inayokuja moja kwa moja kwa mwenyeji yenyewe.
- MBELE- inakuwezesha kuchuja trafiki ya usafiri.
- PATO- hukuruhusu kuchuja trafiki inayotoka kwa mwenyeji yenyewe.
Hatua na kifurushi.
- KUBALI- kuruka pakiti. Pakiti huacha mlolongo wa msingi wa sasa na kuendelea.
- KATAA- kuzuia kifurushi na ujulishe chanzo chake juu ya kukataa.
- DONDOSHA- kuzuia kifurushi bila kujulisha chanzo kuhusu kukataa. Inapendekezwa zaidi wakati wa kuchuja trafiki kwenye violesura vilivyounganishwa kwenye Mtandao, kwani inapunguza maudhui ya habari ya kuchanganua milango ya wapangishaji na washambuliaji.
- LOG— weka rekodi kuhusu kifurushi kwenye faili ya kumbukumbu.
Inabadilika kuwa tuna mnyororo [meza - kichujio] - [trafiki - INPUT] - [kitendo - DROP] mantiki ya vitendo inaonekana kuwa ngumu. Nadhani tutazingatia kwa mifano na kila kitu kitakuwa rahisi.
amri ya iptables:
- -A ongeza kanuni hadi mwisho wa mnyororo.
- -D futa kanuni.
- -I ingiza sheria na nambari inayotaka.
- -L onyesha sheria zote katika mlolongo wa sasa.
- -S onyesha sheria zote.
- -F wazi sheria zote.
- -N tengeneza mnyororo.
- -X futa mnyororo.
- -P weka kitendo chaguo-msingi.
Hebu tuanze na mifano maalum.
iptables -A INPUT -p tcp --dport 80 -j KUBALI
-A ongeza sheria mpya, PEMBEJEO
kwa vifurushi vinavyoingia, -p itifaki, moja ya tcp, udp, udplite, icmp, icmpv6, esp, ah, sctp,
mh, - - bandari
bandari ya 80 (chaguo la itifaki pekee), -j
chagua kitendo ikiwa sheria inalingana, KUBALI
kuruhusu. Hiyo ni, kuruhusu trafiki inayoingia kupitia itifaki ya TCP kwenye bandari 80.
Vifunguo vilivyoorodheshwa pia vinasaidia ujenzi kwa kutumia ishara ! . Inabadilisha hali, kwa mfano:
iptables -A INPUT -s ! 192.168.0.50 -j DROP
-s anwani ya chanzo - jina la mwenyeji (www.help.com), anwani ya IP au subnet katika nukuu ya CIDR (192.168.0.1/16), ! ubadilishaji, DONDOSHA kataza. Kataa trafiki yote inayoingia isipokuwa chanzo 192.168.0.50 (kama sivyo ! , kisha piga marufuku tu kutoka 192.168.0.50)
iptables -A INPUT -s 192.168.0.50 -j DROP
Kataa trafiki inayoingia kutoka kwa ip - 192.168.0.50 .
Orodha ya vigezo vya kanuni:
- -p Itifaki, Itifaki pia inaweza kubainishwa kwa nambari au jina kama ilivyoorodheshwa katika /etc/protocols. Thamani "itifaki yoyote" inaweza kubainishwa kwa kutumia neno yote au nambari 0. Pia kwa rekodi kuna Chaguzi za ziada : --michezo(--chanzo-bandari) Inakuruhusu kubainisha mlango unaotoka (au masafa yake). --dport(--bandari-mwisho) Inakuruhusu kubainisha lango lengwa (au masafa yake).
- -s Inabainisha anwani ya mtumaji. Anwani inaweza kuwa anwani ya IP (labda na mask), Jina la kikoa(katika kesi mbili za mwisho, kabla ya kuongeza sheria kwenye mlolongo, jina linatatuliwa kwenye anwani ya IP).
- -i Inafafanua kiolesura cha mtandao unaoingia. Kama jina maalum kiolesura huisha kwa ishara ya “+” (kwa mfano, eth +), kisha kigezo kinalingana na violesura vyote ambavyo majina yao huanza na jina lililobainishwa (etho,eth1).
- -d Hubainisha anwani ya mpokeaji. Sintaksia inafanana -s .
- -o Inafafanua kiolesura cha mtandao kinachotoka. Sintaksia inafanana -i.
Vigezo vinaweza pia kuunganishwa.
iptables -A INPUT -i eth0 -s 192 .168.0.0 -j DROP
Kataa pakiti zinazoingia kutoka kwa kiolesura eth0 Na ip 192.168.0.0. Na kwa interface eth1 vifurushi vitapitia.
Nini kama hujui mapema ufungue bandari gani, kwa mfano, unataka seva ya FTP ifanye kazi ndani hali ya passiv. Moduli contrack Hali ya uunganisho itasaidia, na zaidi hasa, kigezo - ctstate. Moduli imeunganishwa na lebo -m.
iptables -A PEMBEJEO -m conntrack --ctstate IMESTAWISHWA,INAHUSIANA -j KUBALI
iptables -A INPUT -m conntrack --ctstate MPYA -p tcp --dport 21 -j KUBALI # Ruhusu kufungua miunganisho kwa bandari 21 za TCP.
Majimbo yanayowezekana:
- MPYA- uunganisho haujafunguliwa, yaani, pakiti ni ya kwanza katika uunganisho.
- IMEANZISHWA- pakiti inahusu uunganisho ulioanzishwa tayari. Kwa kawaida, pakiti kama hizo zinakubaliwa bila kuchuja zaidi, kama ilivyo kwa RELATED.
- INAYOHUSIANA- pakiti inafungua muunganisho mpya, uliounganishwa kimantiki na zile zilizowekwa tayari, kwa mfano, kufungua chaneli ya data kwa njia ya kupita. Njia ya FTP. Muunganisho hupokea hali INAYOHUSIANA ikiwa imeunganishwa na kiwanja kingine ambacho kina sifa IMEANZISHWA.
- SI SAHIHI- Ishara BATILI inaonyesha kwamba pakiti haiwezi kutambuliwa na kwa hiyo haiwezi kuwa na hali maalum.
iptables -A INPUT -m state -hali IMEANZISHWA,INAHUSIANA -j KUBALI
S nchi na mtangulizi wa kiitikadi wa conntrack, ana chaguo moja --state, sawa na --ctstate chaguo la moduli ya conntrack (lakini, tofauti na hilo, haiauni DNAT na majimbo ya SNAT).
Hebu tuangalie kwa haraka jedwali la dereva teksi, ambalo linaweza kupatikana kwenye faili ya /proc/net/ip_contrack. Hii ina orodha ya miunganisho yote inayotumika.
Tcp 6 300 IMEANZISHWA src=128.*.*.* dst=194.*.*.* sport=52524 dport=2223 src=194.*.*.* dst=128.*.*.* sport=2223 dport =52524 alama=0 matumizi=2
Ya kwanza, kama ilivyo wazi, ni itifaki, kisha nambari ya desimali (sijui inamaanisha nini), basi kuna maisha ya unganisho. Ifuatayo, hali IMEANZISHWA, yaani, muunganisho tayari umeanzishwa; pia HAKUNA KUJIBIWA, ambayo ina maana kwamba hakujakuwa na trafiki ya majibu bado. Inayofuata ni anwani za mtumaji na mpokeaji, bandari za mtumaji na mpokeaji. Zaidi ya hayo, kila kitu ni kinyume chake, mtawalia, UHAKIKISHO bendera hii inaonyesha kuwa muunganisho umeanzishwa kwa ujasiri na rekodi hii haitafutwa mara tu idadi ya juu zaidi ya miunganisho iliyofuatiliwa imefikiwa.
Baadhi ya vipengele vya itifaki.
Muunganisho wa TCP daima huanzishwa kwa kusambaza pakiti tatu, ambazo huanzisha na kuanzisha muunganisho ambao data itasambazwa baadaye. Kikao huanza na maambukizi SYN pakiti, kwa kukabiliana na ambayo hupitishwa SYN/ACK pakiti na inathibitisha pakiti ya uanzishaji wa muunganisho ACK .
Mara tu mfuatiliaji alipoona ya kwanza ( SYN) kifurushi, kisha huikabidhi hali hiyo MPYA. Mara tu pakiti ya pili inapita kwenye kifuatiliaji ( SYN/ACK), basi unganisho hupewa hali IMEANZISHWA.
Kwa itifaki ya UDP, kila kitu ni tofauti kidogo; itifaki hii haitoi kuanzisha na kufunga muunganisho, lakini shida kubwa ni ukosefu wa habari juu ya mpangilio ambao pakiti hufika. Lakini kutoka kwa mtazamo wa mfuatiliaji, kila kitu ni sawa na TCP. Pakiti ya kwanza kuwasili imepewa hali MPYA. Mara tu unapotuma kifurushi cha jibu, hali imetolewa IMEANZISHWA. Tofauti pekee ni kwamba sheria ya KUHAKIKIWA inatolewa tu wakati pakiti kadhaa tayari zimebadilishwa.
Maombi ya sheria za ukataji miti.
iptables hufanya iwezekane kuweka kumbukumbu za pakiti na matukio ya mtu binafsi. Ili kufanya hivyo, tumia hatua LOG.
iptables -A INPUT -p tcp —syn -j LOG —maelezo ya kiwango cha logi —kiambishi awali cha logi “Pakiti za INPUT”
--kiwango-logi Inatumika kuweka kiwango cha kumbukumbu. Kwa orodha kamili ya viwango, angalia ukurasa wa mtu wa syslog.conf. Kwa kawaida unaweza kuweka ngazi zinazofuata: utatuzi, habari, taarifa, onyo, onya, kosa, kosa, crit, tahadhari, kuibuka Na wasiwasi. Kumbukumbu zimeandikwa kwa faili syslog.
--logi-kiambishi awali Kitufe kinabainisha maandishi (kiambishi awali) ambacho kitatangulia ujumbe wote iptables. Ujumbe wenye kiambishi awali maalum unaweza kupatikana kwa urahisi kwa kutumia, kwa mfano, grep. Kiambishi awali kinaweza kuwa na hadi herufi 29, ikijumuisha nafasi.
Jun 1 17:12:20 debi kernel: INPUT pakiti IN=eth0 OUT= MAC=02:1e:6d:00:e2:1c:00:01:e8:11:73:69:08:00 SRC=125.94. 12.95 DST=194.87.239.104 LEN=40 TOS=0x00 PREC=0x00 TTL=52 ID=38690 PROTO=TCP SPT=12557 DPT=23 WINDOW=1460$ RES=0x00 SYN URGP=
Amri maarufu za usimamizi wa iptables.
iptables -L -n --line-nambariTazama orodha ya sheria.
-n idadi ya bandari na ip katika fomu ya dijiti.
--line-nambari nambari ya mstari.
iptables -F Weka upya sheria kabisa.
iptables -P INPUT KUBALI Sheria chaguomsingi za jedwali la INPUT.
iptables -P OUTPUT KUBALI Sheria chaguo-msingi za jedwali la OUTPUT.
iptables -P FORWARD DROP Sheria chaguomsingi za jedwali la FORWARD.
iptables -D PEMBEJEO 1Kufuta sheria kwa nambari yake kwenye mnyororo.
iptables -D INPUT -s 123.45.67.89 -j DROP Ondoa sheria kulingana na kile kinachofanya.
iptables -I pembejeo ... Ingiza sheria mwanzoni mwa mnyororo.
iptables -I pembejeo 3 ... Au unaweza kutaja nafasi maalum.
RUDISHA
Kitendo cha REDIRECT kimeundwa kuelekeza pakiti kutoka seti moja ya bandari hadi nyingine ndani ya mfumo huo. bila kumuacha mwenyeji.
REDIRECT hufanya kazi tu katika misururu ya PREROUTING na OUTPUT ya jedwali nat. Kwa hivyo, upeo wa maombi hupunguzwa kwa uelekezaji upya tu. Mara nyingi hii hutumiwa kwa proksi ya uwazi, wakati mteja kutoka mtandao wa ndani anaunganisha kwenye bandari 80, na lango linaelekeza pakiti kwenye mlango wa wakala wa ndani:
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-bandari 3128
Sheria mpya hazihifadhiwi kiotomatiki na hazitaanza kutumika baada ya seva kuwasha upya. Kwa hiyo, baada ya kubadilisha iptables, tunahitaji kuokoa mabadiliko.
iptables - kurejesha > /etc/iptablesPakia sheria kutoka kwa faili.
Njia ya kuokoa na kupakia sheria ni juu yako. Tulifahamiana tu na misingi ya nadharia ya iptables; kwa kweli, kuna chaguzi nyingi zaidi za ubinafsishaji. Tutazungumza juu yao kwa undani zaidi mwingine makala.
Ufunguo dhana ya iptables ni:
Kigezo - kujieleza kwa mantiki, ambayo huchanganua sifa za pakiti na/au muunganisho na kuamua ikiwa pakiti hiyo iko chini ya sheria ya sasa. Vigezo vinaunganishwa na "AND" ya kimantiki.
Kitendo - maelezo ya kitendo kinachohitajika kufanywa na pakiti na/au muunganisho ikiwa zitaangukia ndani ya mawanda ya sheria hii. Vitendo vitaelezewa kwa undani zaidi hapa chini.
Kaunta ni sehemu ya sheria ambayo hutoa uhasibu wa idadi ya pakiti zinazoanguka chini ya vigezo vya sheria fulani. Kaunta pia inazingatia kiasi cha jumla cha pakiti kama hizo kwa ka.
Mlolongo wa msingi ni mnyororo ulioundwa na chaguo-msingi wakati jedwali linapoanzishwa. Kila pakiti, kulingana na ikiwa imekusudiwa kwa mwenyeji yenyewe, inayotokana nayo au ni ya kupita, lazima ipitie seti ya minyororo ya msingi ya meza anuwai iliyopewa. Kwa kuongeza, mlolongo wa msingi hutofautiana na mlolongo wa mtumiaji mbele ya "sera ya chaguo-msingi". Kitendo hiki kinatumika kwa pakiti hizo ambazo hazijachakatwa na sheria zingine kwenye mlolongo huu na minyororo inayoitwa kutoka kwake. Majina ya minyororo ya msingi kila wakati huandikwa kwa herufi kubwa (PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING).
Mlolongo wa mtumiaji - mnyororo iliyoundwa na mtumiaji. Inaweza kutumika tu ndani ya meza yake mwenyewe. Inashauriwa kutotumia majina ya juu kwa minyororo hiyo ili kuepuka kuchanganyikiwa na minyororo ya msingi na vitendo vya kujengwa.
Kanuni - inajumuisha kigezo, kitendo na kihesabu. Ikiwa pakiti inakidhi vigezo, hatua inachukuliwa juu yake na inahesabiwa kwenye counter. Huenda kusiwe na kigezo - basi kigezo "pakiti zote" kinachukuliwa kwa uwazi. Pia sio lazima kutaja kitendo - kwa kukosekana kwa hatua, sheria itafanya kazi tu kama kihesabu. Sheria za kila mlolongo husababishwa kwa utaratibu wa kuonekana, hivyo utaratibu ni muhimu.
Mlolongo ni mlolongo ulioamriwa wa sheria. Minyororo inaweza kugawanywa katika desturi na msingi.
Jedwali - seti ya minyororo ya msingi na ya mtumiaji iliyounganishwa na kawaida madhumuni ya kazi. Majina ya jedwali (pamoja na moduli za vigezo) yameandikwa herufi ndogo, kwani kwa kanuni hawawezi kupingana na majina ya minyororo ya watumiaji. Wakati wa kupiga amri ya iptables, meza imeainishwa katika muundo -t table_name. Ikiwa haijabainishwa wazi, jedwali la kichujio linatumika.
Kuchanganua:
# Tupa sheria za jedwali la vichungi$ sudo iptables-save -c -t chujio # Kichujio cha Jedwali * kichujio # PEMBEJEO, MBELE, Msururu wa PATO, sera zao na vihesabio:PENDO KUBALI [ 19302 :9473669 ] :KUBALI MBELE [ 0:0] : KUBALI PATO [ 5462736 :4247599532 ] # Kanuni: "" - kaunta ya sheria, "-PEMBEJEO" - mnyororo, "-i em1 -p tcp -m tcp --dport 22" - vigezo, "-j KUBALI" - kitendo[ 17 :1020 ] -PEMBEJEO -i em1 -p tcp -m tcp --dport 22 -j KUBALI THAMANIUsanifu
Katika mfumo wa netfilter, pakiti hupitishwa kupitia minyororo. Mlolongo ni orodha iliyoagizwa ya sheria, na kila kanuni inaweza kuwa na vigezo na kitendo au mpito. Wakati pakiti inapita kwenye mlolongo, mfumo wa netfilter huangalia moja kwa moja ikiwa pakiti inakidhi vigezo vyote vya sheria inayofuata, na ikiwa ni hivyo, hufanya kitendo (ikiwa hakuna vigezo katika sheria, basi hatua inafanywa. kwa pakiti zote zinazopitia sheria). Kuna vigezo vingi vinavyowezekana. Kwa mfano, pakiti inalingana na kigezo cha -source 192.168.1.1 ikiwa kichwa cha pakiti kinaonyesha kuwa chanzo ni 192.168.1.1. Aina rahisi zaidi ya kuruka, -kuruka, inapeleka mbele pakiti hadi mwanzo wa msururu mwingine. Unaweza pia kubainisha kitendo kwa kutumia -kuruka. Vitendo vya kawaida vinavyopatikana katika minyororo yote - ACCEPT (ruka), DROP (futa), QUEUE (tuma kwa uchambuzi programu ya nje), na KURUDI (kurudi kwenye mlolongo uliopita kwa uchambuzi). Kwa mfano, amri
Iptables -A INPUT --source 192.168.1.1 --ruka KUBALI iptables -A INPUT --ruka mnyororo_nyingine
inamaanisha "ongeza hadi mwisho wa mnyororo wa INPUT sheria zifuatazo: ruka pakiti kutoka 192.168.1.1, na yote yaliyosalia hutumwa kwa uchambuzi kwa mnyororo_nyingine."
Minyororo
Kuna aina 5 za minyororo ya kawaida iliyojengwa kwenye mfumo:
PREROUTING - kwa usindikaji wa awali wa pakiti zinazoingia.
INPUT - kwa pakiti zinazoingia zinazoshughulikiwa moja kwa moja mchakato wa ndani(mteja au seva).
MBELE - kwa pakiti zinazoingia zinazotumwa kwa pato (kumbuka kuwa pakiti zilizotumwa kwanza hupitia msururu wa PREROUTING, kisha FORWARD na POSTROUTING).
OUTPUT - kwa pakiti zinazozalishwa na michakato ya ndani.
POSTROUTING - kwa usindikaji wa mwisho wa pakiti zinazotoka.
Unaweza pia kuunda na kuharibu minyororo yako mwenyewe kwa kutumia matumizi ya iptables.
Majedwali
Minyororo imepangwa katika meza 4:
Mbichi - hutazamwa kabla ya kusambaza pakiti kwenye mfumo wa kutambua hali. Hutumika mara chache, kwa mfano kuweka alama kwenye pakiti ambazo HAZIFAI KUCHARIKA na mfumo wa kutambua hali. Ili kufanya hivyo, sheria inabainisha kitendo cha NOTRACK. Ina minyororo ya PREROUTING na OUTPUT.
Mangle - ina sheria za kurekebisha (kawaida kichwa) pakiti za IP. Miongoni mwa mambo mengine, inasaidia TTL (Muda wa kuishi), TOS (Aina ya Huduma), na vitendo vya MARK (kwa kubadilisha sehemu za TTL na TOS, na kwa kubadilisha alama za pakiti). Ni mara chache muhimu na inaweza kuwa hatari. Ina minyororo yote mitano ya kawaida.
Nat - Huangalia tu pakiti zinazounda muunganisho mpya (kulingana na mfumo wa kutambua hali). Inaauni DNAT, SNAT, MASQUERADE, REDIRECT vitendo. Ina minyororo ya PREROUTING, OUTPUT, na POSTROUTING.
Kichujio - meza kuu, inayotumiwa na chaguo-msingi ikiwa jina la meza halijainishwa. Ina minyororo ya INPUT, FORWARD, na OUTPUT.
Minyororo yenye jina moja, lakini katika meza tofauti, ni vitu vya kujitegemea kabisa. Kwa mfano, PREROUTING ghafi na mangle PREROUTING huwa na seti tofauti kanuni; pakiti kwanza hupitia mnyororo mbichi wa PREROUTING, na kisha kupitia mnyororo wa PREROUTING wa mangle.
Mataifa
Katika mfumo wa netfilter, kila pakiti inayopita kwenye utaratibu wa kutambua hali inaweza kuwa na moja ya nne iwezekanavyo inasema:
MPYA - kifurushi hufungua kipindi kipya. Mfano wa kawaida ni pakiti ya TCP iliyo na bendera ya SYN.
IMEANZISHWA - Kifurushi ni sehemu ya kipindi kilichopo tayari.
INAYOHUSIANA - Kifurushi hufungua kipindi kipya kinachohusishwa na kipindi ambacho tayari kimefunguliwa. Kwa mfano, wakati wa kikao FTP tu, mteja huunganisha kwenye bandari 21 ya seva, seva inamwambia mteja namba ya pili, iliyochaguliwa kwa nasibu, baada ya hapo mteja huunganisha kwenye bandari ya pili ili kuhamisha faili. Katika kesi hii, kikao cha pili (uhamisho wa faili kwenye bandari ya pili) inahusishwa na kikao kilichopo tayari (uunganisho wa awali kwenye bandari 21).
BATILI - vifurushi vingine vyote.
Mchoro wa kifungu cha meza na minyororo
Mchoro uliorahisishwa wa kifungu cha meza na minyororo:
Mchoro wa kina:
Usanidi wa kimsingi
Chini ni mfano wa usanidi wa msingi wa iptables tuli. Wakati wa kuhifadhi na kupakia usanidi huo, lazima uzingatie uwezekano wa mabadiliko kutoka kwa huduma zingine, kwa mfano Fail2ban. Zaidi ya hayo, unapotumia anwani ya IPv6, usanidi wa IPv6 unapaswa kufanywa bila IPv4.
IPv4
sudo iptables-saveUnda hati na utupaji wa sheria za iptables:
sudo nano / etc/ network/ if-up.d/ iptables-rulesNakili msimbo ufuatao:
#!/sbin/iptables-rejesha -PEMBEJEO -p icmp -j KUBALI -PEMBEJEO -i lo -j KUBALI -PEMBEJEO -j KATAA --kataa-na icmp-host-katazwa -A FORWARD -m contrack -- ctstate INAYOHUSIANA, IMEANZISHWA -j KUBALI -A MBELE -p icmp -j KUBALI -A MBELE -j KATAA --kata-na icmp-host-imepigwa marufuku #-A OUTPUT -p icmp -j KUBALI #-TOTO -o tazama - j KUBALI #-PATO -j KATAA --kataa-na icmp-mwenyeji-imepigwa marufuku JITOETunaongeza na sheria zinazohitajika kwa kuzingatia iptables-save.
sudo chmod +x / etc/ network/ if-up.d/ iptables-rules sudo / etc/ network/ if-up.d/ iptables-rulesIPv6
Tazama usanidi wa sasa:
sudo ip6tables-saveUnda hati na utupaji wa sheria za ip6tables:
sudo nano / etc/ network/ if-up.d/ ip6tables-rulesNakili msimbo ufuatao:
#!/sbin/ip6tables-rejesha # Jedwali la chujio na minyororo yake* kichujio:PEMBEJEO KUBALI [ 0 :0 ] :KUBALI MBELE [ 0 :0 ] :TOE KUBALI [ 0 :0 ] # Ruhusu miunganisho iliyounganishwa na imara-A PEMBEJEO -m conntrack --ctstate INAYOHUSIANA,IMEANZISHWA -j KUBALI # Ruhusu trafiki ya icmp ya huduma-PEMBEJEO -p ipv6-icmp -j KUBALI # Ruhusu trafiki inayoaminika kwenye kiolesura cha kurudi nyuma-PEMBEJEO -i lo -j KUBALI # Unaweza kuingiza hapa sheria za ziada kwa mnyororo wa PEMBEJEO # Zima kila kitu kingine kwa INPUT-PEMBEJEO -j KATAA --kataliwa-na icmp6-adm-imepigwa marufuku # Mpangilio na maana ya kanuni za Mnyororo wa MBELE na PATO ni sawa na PEMBEJEO-A FORWARD -m contrack --ctstate INAHUSIANA,IMEANZISHWA -j KUBALI -A MBELE -p ipv6-icmp -j KUBALI -A MBELE -j KATAA --kataa-na icmp6-adm-imepigwa marufuku # Kuchuja mnyororo wa OUTPUT umekatishwa tamaa sana #-A OUTPUT -m contrack --ctstate RELATED, IMEANZISHWA -j KUBALI #-TOTO -p ipv6-icmp -j KUBALI#-PATO -o lo -j KUBALI #-PATO -j KATAA --kataa-na icmp6-adm-imepigwa marufuku JITOETunaongeza na sheria zinazohitajika kwa kuzingatia ip6tables-save.
Hifadhi na ufunge: Ctrl + O, Ingiza, Ctrl + X
Fanya hati itekelezwe na upakie sheria za iptables:
sudo chmod +x / etc/ network/ if-up.d/ ip6tables-rules sudo / etc/ network/ if-up.d/ ip6tables-rulesSheria za ziada
Chini ni baadhi ya sheria zinazotumiwa kwa kawaida. Minyororo ya INPUT/OUTPUT hutumiwa kuchuja trafiki ya ndani. Kwa trafiki ya usafiri, lazima utumie mnyororo wa FORWARD.
Ufikiaji wa mbali
# remote.ssh -A PEMBEJEO -p tcp -m contrack --ctstate MPYA -m tcp --dport 22 -j KUBALI # remote.rdp -A INPUT -p tcp -m contrack --ctstate NEW -m tcp --dport 3389 -j KUBALI # remote.vnc -A INPUT -p tcp -m contrack --ctstate MPYA -m tcp --dport 5900 -j KUBALI
Huduma za wavuti na faili
# mtandao.http, mtandao.https -A INPUT -p tcp -m contrack --ctstate MPYA -m multiport -A INPUT -p tcp -m contrack --ctstate MPYA -m tcp --dport 21 -j KUBALI
Barua na ujumbe wa papo hapo
# mail.pop3, mail.pop3s -A PEMBEJEO -p tcp -m contrack --ctstate NEW -m multiport --dports 110,995 -j KUBALI # mail.imap, mail.imaps -A INPUT -p tcp -m contrack -- ctstate MPYA -m multiport --dports 143 ,993 -j KUBALI # mail.smtp, mail.smtps -A INPUT -p tcp -m contrack --ctstate MPYA -m multiport --dports 25 ,465 -j KUBALI # im. xmpp -PEMBEJEO -p tcp -m contrack --ctstate MPYA -m multiport --dports 5222 ,5223 -j KUBALI # im.icq.oscar -A INPUT -p tcp -m contrack --ctstate MPYA -m tcp -- dport 5190 -j KUBALI
Huduma za Mtandao
# network.openvpn.vpn -PEMBEJEO -p udp -m contrack --ctstate MPYA -m udp --dport 1194 -j KUBALI # network.squid.proksi -A PEMBEJEO -p udp -m contrack --ctstate MPYA -m udp --dport 3128 -j KUBALI # network.dns -A PEMBEJEO -p tcp -m contrack --ctstate MPYA -m tcp --dport 53 -j KUBALI -A INPUT -p udp -m contrack --ctstate MPYA -m udp --dport 53 -j KUBALI # network.ntp -A INPUT -p udp -m contrack --ctstate MPYA -A INPUT -p udp -m contrack --ctstate NEW -m udp --dport 69 -j KUBALI # network.dhserver.dhcp.discover-request-A PEMBEJEO -p udp -m contrack --ctstate MPYA -m udp --sport 68 --dport 67 -j KUBALI # network.dhclient.dhcp.discover-request #-A OUTPUT -p udp -m contrack --ctstate MPYA -m udp --sport 68 --dport 67 -j KUBALI # network.dhserver.dhcp.offer-ack #-A OUTPUT -p udp -m contrack --ctstate MPYA -m udp --sport 67 --dport 68 -j KUBALI
Upimaji na Utatuzi
Tazama usanidi wa sasa wa IPv4 na IPv6:
sudo iptables-save sudo ip6tables-saveKuweka magogo
Kufuatilia
Moduli za Kernel
Tazama moduli zilizopakiwa:
lsmod | grep -E "^ip|^nf" | ainaIli kupakia moduli za ziada ni rahisi kutumia ukamilishaji kiotomatiki: 2x Tab
sudo modprobe nf sudo modprobe modules-load.dUtangulizi na historia
Kichujio cha mtandao- ngome (yajulikanayo kama firewall, aka firewall, aka firewall...) imejengwa kwenye kinu cha Linux tangu toleo la 2.4. Netfilter inadhibitiwa na shirika iptables(Kwa IPv6 - ip6tables). Kabla netfilter/iptables ilikuwa Ipchains, ambayo ilijumuishwa kwenye kokwa za Linux 2.2. Kabla ya ipchains katika Linux kulikuwa na kinachojulikana ipfw (IPV4 firewall), iliyosafirishwa kutoka BSD. Huduma ya usimamizi - ipfwadm. Mradi wa netfilter/iptables ulianzishwa mwaka wa 1998. Mwandishi ni Rusty Russell (pia aliongoza maendeleo ya zamani). Mnamo 1999, Timu ya Netfilter Core (iliyofupishwa kama coreteam) iliundwa. Firewall iliyotengenezwa ilipewa jina rasmi la netfilter. Mnamo Agosti 2003, Harald Welte alikua mkuu wa coreteam.
Miradi ipchains Na ipfwadm ilibadilisha utendakazi wa safu ya itifaki Kernels za Linux, kwa sababu kabla ya kuonekana kichujio cha mtandao Hakukuwa na utoaji katika usanifu wa kernel wa kuongeza moduli za usimamizi wa kifurushi. iptables alishika wazo kuu ipfwadm- orodha ya sheria inayojumuisha vigezo na hatua ambayo inafanywa ikiwa pakiti inakidhi vigezo. KATIKA ipchains dhana mpya ilianzishwa - uwezo wa kuunda minyororo mpya ya sheria na pakiti za uhamisho kati ya minyororo, na katika iptables dhana hiyo ilipanuliwa kwa meza nne (katika netfilter ya kisasa - zaidi ya nne), kuweka mipaka ya minyororo ya sheria kwa kazi: kuchuja, NAT, na urekebishaji wa pakiti. Pia, iptables imepanua uwezo wa kutambua hali ya Linux, ikiruhusu uundaji wa ngome zinazofanya kazi katika kiwango cha kipindi.
Usanifu wa Netfilter/iptables
Mahitaji ()
Kama ilivyoelezwa hapo juu, ili Netfilter ifanye kazi, unahitaji toleo la kernel 2.6 (au angalau 2.3.15). Kwa kuongeza, ikiwa ni lazima, mipangilio CONFIG_NETFILTER, CONFIG_IP_NF_IPTABLES, CONFIG_IP_NF_FILTER (jedwali la kichujio), CONFIG_IP_NF_NAT (jedwali la nat), CONFIG_BRIDGE_NETFILTER, pamoja na moduli nyingi za ziada: CONFIG_IP_NF_FILTER ya ziada (CONFIG_IP_NFFI_IP_NFIFILTER). moduli ya kufuatilia Viunganisho vya FTP), CONFIG_IP_NF_MATCH_* ( aina za ziada ruwaza zinazolingana za pakiti: LIMIT, MAC, MARK, MULTIPORT, TOS, TCPMSS, STATE, UNCLEAN, OWNER), CONFIG_IP_NF_TARGET_* (hatua za ziada katika sheria: REJECT, MASQUERADE, REDIRECT, LOG, TCPMSS), CONFIGT_pati_IPID_NFID_COMFIGT_CONFIGTs_NFID_COMFIGT_IPID _EBT ABLES na CONFIG_BRIDGE_EBT_* za kufanya kazi katika hali ya daraja, zingine CONFIG_IP_NF_* na CONFIG_IP6_NF_*. Pia ni muhimu kubainisha CONFIG_PACKET.
Kama inavyoonekana, nat meza Na manyoya inaweza kurekebisha mpokeaji au mtumaji kifurushi cha mtandao. Hii ndiyo sababu pakiti ya mtandao inaangaliwa mara kadhaa dhidi ya jedwali la uelekezaji.
Utaratibu wa kutambua hali (udhibiti)
Hapo juu katika maandishi, wazo la "ufafanuzi wa majimbo" lilitajwa mara kadhaa; inastahili mada tofauti ya majadiliano, lakini hata hivyo, nitagusa kwa ufupi suala hili katika chapisho la sasa. Kwa ujumla, utaratibu wa kuamua majimbo (aka mashine ya serikali, aka conn kipengele wimbo hii, aka contrack) ni sehemu ya kichujio cha pakiti na hukuruhusu kubainisha ni muunganisho/kao gani pakiti ni ya. Contrack huchanganua hali ya vifurushi vyote isipokuwa vile vilivyowekwa alama kama NOTRACK ndani meza mbichi . Kulingana na hali hii, kifurushi ni cha imedhamiriwa mpya uhusiano (jimbo MPYA), tayari imara uhusiano (jimbo IMEANZISHWA), ziada kwa ile iliyopo tayari ( INAYOHUSIANA), au kwa" kwa mwingine" (isiyoonekana) muunganisho (jimbo SI SAHIHI) Hali ya pakiti imedhamiriwa kwa kuchambua vichwa vya pakiti iliyopitishwa ya TCP. moduli ya kuingiliana hukuruhusu kutekeleza firewall ya kiwango cha kikao (cha tano). Ili kudhibiti utaratibu huu, tumia matumizi contrack, na parameta ya matumizi ya iptables: -m kinyume au -m jimbo(ya kizamani). Mataifa miunganisho ya sasa contrack ni kuhifadhiwa katika kernel. Zinaweza kutazamwa kwenye faili /proc/net/nf_contrack (au /proc/net/ip_conntrack) .
Ili mawazo yangu yasigeuke kuwa mush, nadhani hii habari fupi nyenzo zaidi itakuwa ya kutosha kuelewa.
Kusimamia sheria za uchujaji wa mtandao wa Netfilter (kwa kutumia amri ya iptables)
matumizi ya iptables ni kiolesura cha kudhibiti firewall kichujio cha mtandao. Amri hii hukuruhusu kuhariri sheria za jedwali, meza na minyororo. Kama nilivyosema tayari - kila kanuni ni rekodi/kamba iliyo na uteuzi wa pakiti za mtandao na pakiti zinazolingana na sheria fulani. amri ya iptables Inahitaji haki za mizizi kufanya kazi.
Kwa ujumla, muundo wa amri ni kama ifuatavyo:
Iptables [-t ]
Vigezo vyote katika mabano ya mraba - hiari. Chaguo-msingi ni jedwali la kichujio, ikiwa unahitaji kutaja meza nyingine, basi unapaswa kutumia ufunguo -t ikionyesha jina. Baada ya jina la jedwali kuonyeshwa ambalo linafafanua kitendo ( Kwa mfano: ingiza sheria, au ongeza sheria hadi mwisho wa mlolongo, au futa sheria). huweka vigezo vya uteuzi. inaonyesha ni hatua gani inapaswa kufanywa ikiwa vigezo vya uteuzi katika kanuni zinalingana ( Kwa mfano: kupitisha pakiti kwenye mlolongo mwingine wa sheria, "dondosha" pakiti, toa ujumbe wa kosa kwa chanzo ...).
Chini ni amri na vigezo vya matumizi ya iptables:
Kigezo | Maelezo | Mfano |
---|---|---|
Timu | ||
--ongeza (-A) | Ongeza sheria iliyoainishwa kwenye MWISHO wa orodha kwenye mlolongo ulioainishwa na jedwali maalum. | iptables -A kigezo cha MBELE -j kitendo |
--futa (-D) | Huondoa sheria iliyobainishwa na nambari au sheria. Mfano wa kwanza unafuta sheria zote na nambari 10,12 katika minyororo yote, katika meza za chujio, mfano wa pili unafuta sheria maalum kutoka kwa meza ya mangle katika mlolongo wa PREROUTING. | iptables -D 10.12 iptables -t mangle -D PREROUTING vigezo -j kitendo |
--badilisha jina-mnyororo (-E) | Badilisha jina la mnyororo. | iptables -E OLD_CHAIN NEW_CHAIN |
--futa (-F) | Hufuta sheria zote za jedwali la sasa. Kwa pakiti zote zinazohusiana na viunganisho vilivyoanzishwa tayari, tumia kitendo cha mwisho KUBALI - ruka | iptables -F |
--ingiza (-I) | Huweka kanuni iliyobainishwa katika eneo lililobainishwa na nambari. | iptables -NIMEPELEKA 5 vigezo -j kitendo |
--orodha (kifupi -L) | Tazama sheria zilizopo (bila kutaja wazi meza - meza ya chujio ya minyororo yote inaonyeshwa). | iptables -L |
--sera (-P) | Huweka sera chaguo-msingi kwa msururu uliotolewa. | iptables -t mangle -P PREROUTING DROP |
--badilisha (-R) | Hubadilisha kanuni iliyobainishwa na nambari na ile iliyoainishwa katika vigezo. | iptables -R POSROUTING 7 | vigezo -j kitendo |
--futa-mnyororo (-X) | Ondoa minyororo ZOTE zilizoundwa kwa mikono (weka tu INPUT, OUTPUT, FORWARD, PREROUTING na POSTROUTING ya kawaida pekee). | iptables -X |
--sifuri (-Z) | Huweka upya vihesabio vya data inayotumwa kwenye mnyororo. | iptables -Z INPUT |
Chaguo | ||
--nambari (-n) | Haisuluhishi anwani na itifaki wakati wa kutoa. | |
--line-nambari | Bainisha nambari za sheria katika pato (inaweza kutumika kwa kushirikiana na -L). | iptables -L --line-nambari |
--msaada (-h) | tungekuwa wapi bila yeye? | |
-t meza | Hubainisha jina la jedwali ambalo kitendo kinahitaji kutekelezwa. Mfano huweka upya jedwali la nat katika minyororo yote. | iptables -t nat -F |
--kitenzi (-v) | Hitimisho la kina. | iptables -L -v |
Vigezo (vigezo) vya kuchagua pakiti za mtandao za amri ya iptables
Vigezo vya kuchagua pakiti za mtandao zimegawanywa kwa siri katika vikundi kadhaa: Vigezo vya jumla, vigezo vilivyo wazi, vigezo wazi. inaweza kutumika katika sheria yoyote, hazitegemei aina ya itifaki na hazihitaji kupakia moduli za ugani. (Ningeiita yasiyo ya jumla), vigezo hivyo ambavyo vimepakiwa kwa njia isiyo wazi na kupatikana, kwa mfano, wakati wa kubainisha kigezo cha jumla. --protocol tcp|udp|icmp. Kabla ya matumizi, unahitaji kuunganisha upanuzi wa ziada(hizi ni za kipekee programu-jalizi kwa kichungi cha mtandao). Viendelezi vya ziada kubeba kwa kutumia kigezo -m au --mechi. Kwa hivyo kwa mfano, ikiwa tutatumia vigezo jimbo, basi lazima tueleze wazi hii katika mstari wa sheria: -m jimbo upande wa kushoto wa kigezo kilichotumiwa. Tofauti kati ya dhahiri Na isiyo ya jumla Vigezo ni kwamba zile zilizo wazi zinahitaji kupakiwa kwa uwazi, na zile zisizo wazi hupakiwa kiotomatiki.
Inaweza kutumika katika vigezo vyote ishara! kabla ya thamani ya kigezo. Hii itamaanisha kuwa sheria hii inashughulikia pakiti zote ambazo hailingani na parameter hii. Kwa mfano: kigezo --itifaki! tcp itamaanisha kwamba pakiti zote hizo Sivyo itifaki za TCP ziko chini ya sheria. Hata hivyo, matoleo ya hivi punde zaidi ya iptables (hasa, 1.4.3.2 na matoleo mapya zaidi) hayatumiki tena na sintaksia hii na yanahitaji matumizi ya --itifaki! tcp, A ! --itifaki tcp, kutoa makosa yafuatayo:
Kutumia ukanushaji uliowekwa ndani (`--chaguo ! this`) umeacha kutumika kwa ajili ya kuongezwa nafasi (`! --chaguo hili`).
Chini hutolewa kwa fomu ya meza Vigezo vya kawaida vya uteuzi wa pakiti:
Kigezo | Maelezo | Mfano |
---|---|---|
Vigezo vya kawaida | ||
--itifaki (kifupi -p) |
Inafafanua itifaki. Chaguzi tcp, udp, icmp, itifaki yote au nyingine yoyote iliyofafanuliwa katika /etc/protocols | iptables -A INPUT -p tcp |
--chanzo (-s, --src) |
Anwani ya IP ya chanzo cha pakiti. Inaweza kufafanuliwa kwa njia kadhaa:
Inapendekezwa sana kutotumia majina ya vikoa ambayo yanahitaji hoja za DNS kwa utatuzi, kwa kuwa netfilter DNS inaweza isifanye kazi ipasavyo wakati wa hatua ya usanidi. Pia, kumbuka kuwa majina yanatatuliwa mara moja tu - wakati wa kuongeza sheria kwenye mnyororo. Baadaye, anwani ya IP inayolingana na jina hili inaweza kubadilika, lakini hii haitaathiri sheria zilizorekodiwa kwa njia yoyote (zitabaki. anwani ya zamani) Ukitaja jina la kikoa ambalo linatatua kwa anwani kadhaa za IP, sheria tofauti itaongezwa kwa kila anwani. |
iptables -A PEMBEJEO -s 10.10.10.3 |
--marudio (-d) |
Anwani ya IP ya marudio ya pakiti. Inaweza kufafanuliwa kwa njia kadhaa (tazama --source). | iptables -A INPUT --lengwa 192.168.1.0/24 |
--katika-kiolesura (-i) |
Inabainisha kiolesura ambacho pakiti ilifika. Inafaa kwa NAT na mashine zilizo na miingiliano mingi ya mtandao. Inatumika katika minyororo ya INPUT, FORWARD na PREROUTING. Inawezekana kutumia ishara "+", basi inamaanisha matumizi ya miingiliano yote kuanzia na jina + (kwa mfano, eth+ - miingiliano yote ya eth). | iptables -t nat -A PREROUTING --in-interface eth0 |
--nje-interface (-o) |
Inafafanua kiolesura ambacho pakiti itaondoka. Inafaa kwa NAT na mashine zilizo na miingiliano mingi ya mtandao. Inatumika katika minyororo ya OUTPUT, FORWARD na POSTROUTING. Inawezekana kutumia ishara "+". | iptables -t nat -A POSTROUTING --in-interface eth1 |
Vigezo dhahiri (visivyoshirikiwa). | ||
-p proto -h | kuonyesha usaidizi kwenye vigezo dhabiti vya itifaki ya proto. | iptables -p icmp -h |
--chanzo-bandari (--michezo) |
Chanzo cha bandari, inawezekana tu kwa itifaki --itifaki tcp, au --protocol udp | iptables -A INPUT --protocol tcp --source-port 25 |
--bandari-mwisho (--dport) |
Mlango wa kulengwa, inawezekana tu kwa --protocol tcp, au --protemocol udp itifaki | iptables -A INPUT --protocol udp --lengo-bandari 67 |
Vigezo vya Wazi | ||
-m jimbo --state (iliyoacha kutumika) aka -m contrack --ctstate |
Hali ya muunganisho. Chaguzi zinazopatikana:
|
iptables -A INPUT -m state --state MPYA,ESTABLISHEDiptables -A INPUT -m contrack --ctstate MPYA,IMESUMBULIWA |
-m mac --mac-source | Inaweka Anwani ya MAC nodi ya mtandao ambayo ilituma pakiti. Anwani ya MAC lazima ibainishwe katika fomu XX:XX:XX:XX:XX:XX. | -m mac --mac-source 00:00:00:00:00:0 |
Vitendo kwenye vifurushi
Kichwa hiki kingefafanuliwa kwa usahihi zaidi kama " Vitendo kwenye vifurushi vinavyolingana na vigezo vya uteuzi". Kwa hivyo, kukamilisha yoyote vitendo kwenye vifurushi, unahitaji kutaja ufunguo -j (--ruka) na kuonyesha ni hatua gani mahususi za kuchukua.
Vitendo kwenye vifurushi vinaweza kuchukua maadili yafuatayo:
- KUBALI- pakiti huacha mlolongo huu na kuhamishiwa kwa ijayo (literally - KUBALI).
- DONDOSHA- Tupa pakiti ambayo inakidhi hali hiyo, wakati pakiti haijapitishwa kwa meza / minyororo mingine.
- KATAA- Tupa pakiti kwa kutuma ujumbe wa ICMP kwa mtumaji, wakati pakiti haijasambazwa kwa jedwali/minyororo mingine.
- RUDISHA- rudisha pakiti kwenye mlolongo uliopita na uendelee kifungu chake kuanzia sheria inayofuata.
- SNAT chanzo kwenye kifurushi. Inaweza kutumika tu katika minyororo POSTROUTING na OUTPUT katika meza za nat.
- DNAT- tumia tafsiri ya anwani miadi kwenye kifurushi. Inaweza kutumika katika mnyororo PREROUTING kwenye meza ya nat. (katika hali za kipekee - kwenye mnyororo wa OUTPUT)
- LOG- ingia pakiti (iliyotumwa kwa daemon) na uifanye na sheria zingine.
- MASQUERADE- kutumika badala yake SNAT ikiwa kuna uhusiano na IP yenye nguvu (inaruhusiwa kuonyesha tu kwenye mlolongo KUACHA nat meza).
- MARK- kutumika kuweka lebo kwenye pakiti na kupitishwa kwa sheria zaidi za usindikaji.
- na nk.
Mbali na vitendo hivi, kuna vingine vinavyoweza kupatikana katika nyaraka (labda hivi karibuni nitaongeza makala ninapoendeleza mada). Vitendo vingine vina vigezo vya ziada.
Jedwali hapa chini linatoa mifano na maelezo ya vigezo vya ziada:
Kigezo | Maelezo | Mfano |
---|---|---|
DNAT (Tafsiri ya Anwani Lengwa ya Mtandao) | ||
--kwenye-lengwa | inabainisha ni anwani ipi ya IP inapaswa kubadilishwa kuwa anwani lengwa. Katika mfano katika vifurushi vyote itifaki ya tcp, ambaye alikuja kushughulikia 1.2.3.4, anwani iliyopewa itabadilishwa na 4.3.2.1. | iptables -t nat -A PREROUTING -p tcp -d 1.2.3.4 -j DNAT --kwenda-lengwa 4.3.2.1 |
LOG | ||
--kiwango-logi | Inatumika kuweka kiwango cha ukataji miti (). Katika mfano, kiwango cha juu cha ukataji miti kimewekwa kwa pakiti zote za tcp kwenye jedwali la kichujio cha mnyororo wa FORWARD. | iptables -A FORWARD -p tcp -j LOG --log-level utatuzi |
--logi-kiambishi awali | Hubainisha maandishi (kiambishi awali) ambayo yatatangulia ujumbe wote iptables. (inafaa sana baadaye) kiambishi awali kinaweza kuwa na hadi herufi 29, ikijumuisha nafasi. Katika mfano, kila kitu kinatumwa kwa syslog pakiti za tcp katika jedwali la kichujio cha msururu wa INPUT yenye kiambishi awali cha kichujio cha INRUT. | iptables -A INPUT -p tcp -j LOG --log-kiambishi awali "INRUT-filter" |
--logi-ip-chaguo | Inakuruhusu kuingia habari mbalimbali kutoka kwa kichwa cha pakiti ya IP. | iptables -A FORWARD -p tcp -j LOG --log-ip-chaguzi |
na nk... |
Hii inahitimisha nadharia kuhusu kichujio cha mtandao cha netfilter/iptables. Katika makala inayofuata nitatoa mifano ya vitendo ya kuimili nadharia hii.
Muhtasari
Katika makala hii tulichunguza kwa ufupi sana dhana za kimsingi mlinzi wa kuongezeka katika Linux. Kwa hivyo, mfumo mdogo wa netfilter/iptables ni sehemu ya kinu cha Linux na hutumika kupanga. miradi mbalimbali kuchuja na kudanganywa kwa pakiti za mtandao. Katika kesi hii, kila pakiti hupita kutoka kwa interface ya mtandao ambayo ilifika na zaidi kwa njia fulani ya mlolongo, kulingana na ikiwa imekusudiwa kwa mfumo wa ndani au "isiyo ya ndani" moja. Kila mlolongo una seti ya meza zilizo na seti ya sheria zinazofuatana. Kila sheria ina kigezo/vigezo fulani vya kuchagua pakiti ya mtandao na kitendo fulani na kifurushi kinachotimiza vigezo hivi. Kwa mujibu wa sheria zilizotolewa, hatua yoyote inaweza kufanywa kwenye pakiti (Kwa mfano, uhamisho kwenye mlolongo unaofuata / mwingine, upya wa pakiti, urekebishaji wa yaliyomo au vichwa, nk). Kila mlolongo na kila meza ina madhumuni yake mwenyewe, utendaji na mahali katika njia ya mfuko. Kwa mfano, kuchuja pakiti, meza ya chujio hutumiwa, ambayo iko katika minyororo mitatu ya kawaida na inaweza kuwa katika minyororo iliyotajwa na mtumiaji. Njia ya pakiti huishia kwenye kiolesura cha mtandao unaotoka au kwa kuwasilisha kwa mchakato/programu ya ndani.
Fasihi
Kidogo kabisa habari ya kuvutia kwa Kirusi iko hapa:
- http://www.opennet.ru/docs/RUS/iptables/
- http://ru.wikibooks.org/wiki/Iptables
Nyenzo za kina zaidi zinapatikana katika lugha ya ubepari hapa:
- http://www.frozentux.net/documents/ipsysctl-tutorial/
- http://www.netfilter.org/documentation/index.html
Hongera sana, McSim!