Самоучитель системного администратора. 5-е издание

Download 19,93 Mb.

Pdf ko'rish

bet	53/141
Sana	27.06.2022
Hajmi	19,93 Mb.
	#710588

1 ... 49 50 51 52 53 54 55 56 ... 141

Bog'liq
Samouchitel-sistemnogo-administratora RuLit Me 610071

Глава 5
таблиц
mangle
,
nat
и
filter
. Далее пакет отправляется на цепочку
POSTROUTING
и обрабатывается правилами таблиц
mangle
и
nat
.
Если пакет нужно передать другому компьютеру, то он обрабатывается правилами
цепочки
FORWARD
таблиц
mangle
и
filter
, а после этого к нему применяются
правила цепочки
POSTROUTING
. На этом этапе используется подмена источника
пакета (этот вид NAT называется Source NAT, SNAT).
Рис. 5.9.
Схема обработки пакета
После всех правил пакет «выжил»? Тогда он становится исходящим пакетом (на
схеме
ПАКЕТ OUT
) и отправляется в сеть.
Задание правил брандмауэра
Теперь, когда мы разобрались с правилами и цепочками, самое время научиться
использовать брандмауэр iptables. Для себя сразу определитесь, что вы настраивае-
те. Можно настраивать просто брандмауэр, защищающий локальный компьютер от
всевозможных атак. А можно настраивать шлюз сети, предоставляющий всем
остальным компьютерам сети доступ к Интернету. В последнем случае нужно
включить IP-переадресацию (IPv4-forwarding). О том, как это сделать, было сказано
ранее. В большинстве случаев хватит вот такой команды:
sudo sysctl -w net.ipv4.ip_forward=«1»
sudo echo 1 > /proc/sys/net/ipv4/ip_forward
Для изменения правил брандмауэра нужны полномочия root, поэтому все команды
iptables следует вводить или через команду
sudo
(для этого ваш пользователь дол-
жен иметь право использовать
sudo
), или с предварительно полученными полномо-
чиями root (команда
su
).
Для добавления правила в цепочку служит команда:
sudo iptables -A цепочка правило
Например:
sudo iptables -A INPUT правило

Работа в глобальной сети
209
Такая команда добавит правило в цепочку
INPUT
таблицы
filter
— это таблица по
умолчанию (см. рис. 5.9). Если вы желаете добавить правило в другую таблицу,
нужно указать ее в параметре
-t
:
sudo iptables -t таблица -A цепочка правило
Например:
sudo iptables -t nat -A INPUT правило
Действие по умолчанию задается ключом
-P
:
sudo iptables -P INPUT DROP
Обычно устанавливаются вот такие действия по умолчанию:
sudo iptables -P INPUT DROP
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT DROP
Обратимся к данным табл. 5.4, но предварительно рассмотрим фазы установки
TCP-соединения. Соединение устанавливается в три этапа (фазы). Сначала первый
компьютер отправляет второму компьютеру SYN-пакет, запрашивая открытие со-
единения. Второй компьютер отправляет ему подтверждение SYN-пакета — ACK-
пакет. После этого соединение считается установленным (ESTABLISHED). Откры-
тое, но не установленное соединение (когда компьютеры обмениваются пакетами
SYN-ACK), называется новым (NEW). Уточнения, приведенные здесь в скобках,
помогут разобраться с материалом табл. 5.5, где при описании параметров указы-
ваются не полные команды iptables, а только их фрагменты, имеющие отношения
к тому или иному параметру.
Таблица 5.5.
Параметры фильтрации пакетов
Параметр
Описание
--source
Позволяет указать источник пакета. Можно указывать как доменное
имя компьютера (напр.,
den.dkws.org.ua
), так и его IP-адрес
(
192.156.1.1
) и даже набор адресов
(
192.168.1.0/255.255.255.0
).
Пример:
iptables -A FORWARD --source 192.168.1.11 ...
--destination
Задает назначение (адрес получателя) пакета. Синтаксис такой же,
как и у
--source
-protocol
(или
-p
)
Задает протокол. Чаще всего работают с tcp, icmp или udp, но можно
указать любой протокол, определенный в файле
/etc/protocols
. Также
можно указать
all
, что означает все протоколы.
Примеры:
iptables -A FORWARD -protocol tcp ...
iptables -A FORWARD -p tcp ...

210

Download 19,93 Mb.

Do'stlaringiz bilan baham:

1 ... 49 50 51 52 53 54 55 56 ... 141