Брандмауэр
Подписаться на эту рубрику по RSS
Общий синтаксис команды IPTables.
Рубрика: Безопасность | БрандмауэрМетки: IPTables | iptables-restore | iptables-save
Дата: 12/02/2009 12:48:53
Для изменения правил цепочек используется команда iptables. Детальное описание опций этой команды можно найти в соответствующем руководстве из справочной системы Linux (команда man iptables).
Iptables можно запускать просто из командной строки, рекомендуется создать bash-сценарий, содержащий команды iptables. Преимущества: во-первых, упрощается управление правилами, а во-вторых, правила применяются немедленно - одно за другим. Это удобно при удаленном управлении брандмауэром.
Рассмотрим путь прохождения пакета через определенные таблицы и цепочки IPTables, так называемый жизненный цикл пакета.
Входящий или исходящий пакеты проходят обязательную обработку брандмауэром и только потом они направляются конечному приложению или дальше по таблице маршрутизации, или отбрасываются(уничтожаются).
Основные понятия IPTables
Рубрика: Безопасность | БрандмауэрМетки: DNAT | forwarding | IPTables | NAT | pOm
Дата: 11/02/2009 10:23:09
IPTables входит в состав практически всех современных дистрибутивов Linux и устанавливается по умолчанию. Ядро Linux в таких дистрибутивах обычно скомпилировано с поддержкой IPTables. Если в дистрибутиве нет IPTables, его можно загрузить с сайта www.netfilter.org.
IPTables непрерывно развивается, следовательно, немало новых функций не включено в состав обычного ядра Linux, так как они еще не протестированы на надежность. Такие расширения дают администратору много полезных функций. Эти функции IPTables распространяются в виде серии патчей ядра, которая называется Patch-O-Matic (pOm).
Современный компьютер невозможно представить без сети. В каждом новом компьютере, как правило уже есть сетевая плата. Она нужна для выхода в локальную или глобальную сеть. Но при выходе в сеть компьютер подвергается опасности быть взломанным. Чтобы этого избежать и придумали различные способы фильтрации пакетов.
Фильтрация пакетов подразумевает под собой анализ заголовка пакета, его последующего сравнения с набором некоторых правил, и выполнения действия над пакетом в зависимости от правил, которые заданы для него.
IPTables - это встроенный в ядро фильтр пакетов в Linux, основанного на последних ядрах 2.4 и 2.6. Раньше в ядре 2.2 использовался фильтр пакетов ipchains. Тем , кто работал с ipchains, будет легко разобраться с IPTables. Они отличаются только синтаксисом команд, да в IPTables прибавилось очень много дополнительных возможностей фильтрации пакетов. Также в IPTables появились функции DNAT/SNAT и продвижения портов (port forwarding).