Linux. От новичка к профессионалу. 6-е изд

Download 63,9 Mb.

Pdf ko'rish

bet	383/519
Sana	27.03.2022
Hajmi	63,9 Mb.
	#513339

1 ... 379 380 381 382 383 384 385 386 ... 519

Bog'liq
Linux. От новичка к профессионалу ( PDFDrive )

б р а н д м а у э р е

n f t a b l e s
Прежде, чем мы перейдем к изучению брандмауэра iptables, нужно сказать пару слов
о брандмауэре nftables, — он призван стать заменой для iptables. Поддержка nftables
была добавлена в ядро еще в версии 3.13 в 2014 году. Вот только незадача — разра
ботчики дистрибутивов не спешат на него переходить. Запускаю Ubuntu 15.04 — в ней
старый, добрый iptables, а когда вводишь команду nft (основная команда nftables) сис
тема предлагает сначала установить пакет nftables. Полагаю, это из-за того, что ядро
у Ubuntu пока старое, — 3.19 (этому я, честно, удивился, поскольку обычно в Ubuntu
все самое новое, — видимо, начали заботиться о стабильности). Что ж, запускаю
Fedora Server 22, в котором используется ядро версии 4.0.4, — но и там тоже iptables...
Если вы надумаете-таки использовать брандмауэре nftables, тогда выбирайте дистри
бутив с самой новой версией ядра, — чем выше, тем больше ошибок в nftables будет
исправлено. Впрочем, пока я бы не рекомендовал переходить на nftables, но вполне
возможно, что его описание появится в следующем издании этой книги.

486
Часть VI. Linux на сервере
всевозможных атак, а можно настраивать шлюз сети, предоставляющий всем ос-
тальным компьютерам сети доступ к Интернету. В последнем случае нужно вклю-
чить IP-переадресацию (IPv4-forwarding). О том, как это сделать, было сказано ра-
нее. В большинстве случаев хватит вот такой команды:
sudo sysctl -w net.ipv4.ip_forward="l"
sudo echo 1 > /proc/sys/net/ipv4/ip_forward
Для изменения правил брандмауэра нужны полномочия root, поэтому все команды
iptables следует вводить или через команду
sudo
(для этого ваш пользователь дол-
жен иметь право использовать
sudo
),
или с предварительно полученными полномо-
чиями root (команда
su).
Для добавления правила в цепочку служит команда:
sudo iptables -А цепочка правило
Например:
sudo iptables -A INPUT правило
Эта команда добавит правило в цепочку
input
таблицы
filter
(это таблица по
умолчанию). Если вы желаете добавить правило в другую таблицу, нужно указать
ее в параметре
-t:
sudo iptables -t таблица -А цепочка правило
Например, для таблицы nat:
sudo iptables -t nat -A INPUT правило
Действие по умолчанию задается ключом
-
р
:
sudo iptables -Р INPUT DROP
Обычно по умолчанию устанавливаются вот такие действия:
sudo iptables -Р INPUT DROP
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT DROP
Параметры фильтрации пакетов сведены в табл. 31.3, но прежде, чем обратиться
к ней, рассмотрим этапы (фазы) установки TCP-соединения. Соединение устанав-
ливается в три этапа:
□ сначала первый компьютер отправляет второму компьютеру
SYN-пакет
,
запра-
шивая открытие соединения;
□ второй компьютер отправляет ему подтверждение
SYN-пакета
—
АСК-пакет;
□ после этого соединение считается установленным
(
established
).
Открытое, но не установленное соединение (когда компьютеры обмениваются па-
кетами
syn
-
ack
)
называется новым
(
new
).
Разобраться с материалом табл. 31.3, где при описании параметров указываются не
полные команды iptables, а только их фрагменты, имеющие отношения к тому или
иному параметру, помогут пояснения, проведенные в скобках.

Download 63,9 Mb.

Do'stlaringiz bilan baham:

1 ... 379 380 381 382 383 384 385 386 ... 519