iptables edbox wiki

Потребителски инструменти

Инструменти за сайта

Съдържание

Архитектура

Основни понятия

Ключовите концепции на iptables са:

conntrack

Критерии за състояние на връзката

conntrack

Маската съдържа разделен със запетаи списък с възможни състояния на връзка. Счита се, че пакетът отговаря на критерия, ако връзката, през която преминава, е в едно от изброените състояния.

Възможни състояния:

nat маса

филтърна маса

Таблицафилтър съдържа следните вериги:

Валидни действия във филтърната таблица са:

Също така от известен интерес са действията, предоставени от модулите xtables-addons (този проект в момента е включен в тестването на Debian). Някои от тях:

Правилното използване означава предотвратяване на подсистемата conntrack от обработка на такива връзки, в противен случай системните ресурси на самия атакуван хост ще бъдат консумирани. Например, преди да добавите правило за блокиране на порт

не забравяйте да добавите подходящото правило към необработената таблица

предотвратяване на обработката на блокирани връзки от подсистемата conntrack.

сурова маса

Проектиран да извършва действия с пакети, преди те да бъдат обработени от систематаconntrack.

Моля, обърнете внимание, че тази таблица няма да работи с критерии, които изискват conntrack да работи правилно (това са критериите conntrack, connmark, connlimit, connbytes).

докато за една и съща операция при използване на "сурови" трансформации са необходими поне две правила

rawpost маса

Подобно на таблицатаraw,rawpost няма способността даизвиквания на conntrack, така че критериите, използващи тази подсистема (conntrack, connmark, connlimit, connbytes), няма да работят в тази таблица.

Тази таблица е внедрена в рамките на проектаxtables-addons и не е включена в стандартния пакет iptables/netfilter.

За сравнение, при използване на трансформация със състояние е достатъчно едно правило

Като напомняне, критерият е булев израз, който определя дали даден пакет или връзка отговарят на това конкретно правило.

Можете да посочите множество критерии в едно правило. За да може един пакет да бъде обработен от правило, трябва да бъдат изпълнени всички критерии, тоест критериите са имплицитно комбинирани с логическо И.

Освен това много критерии и параметри на критерии могат да бъдат обърнати, като се постави удивителен знак пред тях.

Универсални критерии

Този термин се отнася до критериите, които се прилагат за всички пакети и връзки, независимо от протокола на транспортния слой, и не изискват свързване на външни модули (-m).

Позволява ви да посочите протокола на транспортния слой. Най-често използваните са tcp, udp, icmp и всички останали. Протоколът може също да бъде указан с номер или име, както е посочено в /etc/protocols. Стойността "всеки протокол" може да бъде посочена с помощта на думата всички или числото 0. Ако не е посочен протокол, се приема "всеки протокол".

Чрез указване на протокол става възможно използването на специфични за протокола критерии. Например, критериите --sport и --dport са налични за TCP и UDP и --icmp-type за ICMP.

Указва входящия мрежов интерфейс. Ако указаното име на интерфейс завършва със знак "+" (например tun+), тогава всички интерфейси, чиито имена започват с указаното име, отговарят на критерия.(за нашия пример tun0, tun1, …). Този критерий може да се използва във веригите PREROUTING, INPUT и FORWARD.

Указва изходящия мрежов интерфейс. Синтаксисът е същият като -i. Критерият може да се използва във веригите FORWARD, OUTPUT и POSTROUTING.