Zobrazit pravidla IPTables, přidat nebo odebrat

IPTables je nástroj, který se používá pro správu firewallu v systému Linux. Jedná se o výkonný a pohodlný nástroj pro ochrana sítě

Dějiny stvoření

Předtím IPTables systém Linux používal firewall IPFW, který byl vypůjčen od BSD. Potom s verzí 2.4 jádra Linuxu začala dodávat bránu firewall Netfilter a nástroj IPTables k jeho správě. V metodice své práce byly všechny aspekty zachovány a mírně rozšířeny funkčně.

Struktura a zařízení IPTables

Při vstupu do brány firewall paket předá několik kontrol. Může to být kontrolní součet nebo jakákoli jiná analýza úrovně jádra. Pak je čas projít řetězem PREROUTING. Dále se kontroluje směrovací tabulka, podle kterých je přesměrování do dalšího řetězce. Pokud adresa paketu chybí, jako například v protokolu TCP, pak je ve směru řetězce FORWARD směr. V těch případech, kde existuje určitá adresa, následuje řetězec INPUT a pak démoni nebo služby, pro které je určen. Odpověď od nich musí projít i několika řetězci, například OUTPUT. Posledním článkem v tomto procesu je řetězec POSTROUTING.

Teď trochu o řetězech. Každá z nich obsahuje několik tabulek. Jejich jména mohou být opakována, ale to nemá vliv na práci, protože nejsou vzájemně propojeny.

Tabulky obsahují několik pravidel. Ve skutečnosti je pravidlem jistá podmínka, že testovaný balík musí odpovídat. V závislosti na výsledku je na obalu provedena určitá akce.

Tím, že předá všechny fáze sítě, paket navštíví všechny řetězce postupně a v každém z nich je zkontrolováno, zda splňuje podmínku určitého pravidla. Není-li tabulka generována uživatelem, provede se výchozí akce, v podstatě je ACCEPT, což umožňuje pokračovat v pohybu nebo DROP zastavení paketu.

Přednastavené řetězce patří do následujících kategorií:

• PREROUTING. Počáteční zpracování všech příchozích paketů.
• INPUT. Jedná se o balíčky, které jsou odesílány přímo do místního počítače.
• PŘEDCHOZÍ. Platí pro "tranzitní pakety", které se řídí směrovací tabulkou.
• VÝSTUP. Používá se pro odchozí pakety.
• POSTROUTING. Posledním krokem při předávání odchozího paketu všech řetězců.

Kromě zabudovaných řetězců mohou uživatelé vytvářet nebo mazat své vlastní.

Zobrazení a správa pravidel protokolu IPTables

Jak již bylo zmíněno výše, všechny řetězce obsahují určité podmínky pro balíčky. Chcete-li zobrazit pravidla IPTables a spravovat je, použijte nástroj IPTables. Každé samostatné pravidlo představuje řadu se souborem podmínek pro balíčky, stejně jako akce na nich, v závislosti na výsledku.

Příkazový formát vypadá takto: iptables [-t název zpracované tabulky] volaný příkaz [kritéria] [akce, která má být provedena].

Vše, co je obsaženo v hranaté závorky? lze vynechat. Pokud se jedná o parametr s tabulkou, použije se filtr. Chcete-li použít konkrétní název, přidejte volbu -t. Volaný příkaz vám umožňuje volat potřebnou akci, například přidat pravidlo IPTables nebo jej smazat. "Kritéria" určují parametry, kterými se bude výběr provádět. A ve "akci" se použije akce, která musí být provedena, pokud je splněna podmínka.

Příkazy pro vytváření a prohlížení pravidel IPTables

Zde je několik příkazů nástroje:

• Přidat (-A). Při použití příkazu zadáte řetězec a tabulku, do které chcete přidat požadované pravidlo. Hodnota týmu je to, co dělá na konci celého seznamu.
• Smazat (-D). Jak můžete pochopit z názvu, produkuje smazání pravidel. Jako parametry můžete zadat jak plné jméno, tak přidělené čísla.
• Přejmenovat řetězec (-E). Změní název řetězce. Příkaz označuje starý a nový název.
• Flush (-F). Vymažte všechna pravidla určité tabulky.
• Vložte (-I). Tento příkaz vloží požadované pravidlo do zadaného čísla.
• Seznam (- L). Zobrazit pravidla služby Iptables. Není-li zadána žádná tabulka, použije se standardně filtr.
• (-P). Používá se standardní pravidla pro zadaný řetězec.
• Vyměňte (-R). Změní pravidlo na zadaném čísle na požadované číslo.
• Odstranit řetězec (-X). Tento příkaz odstraní všechny vytvořené řetězce. Zůstanou pouze předinstalované.
• Zero (-Z). Obnovuje čítače přenášených dat ve specifikovaném řetězci.

Trochu o parametrech výběru balíků

Mohou být rozděleny do tří typů:

• Obecná kritéria. Mohou být specifikovány pro všechna pravidla. Nepožadují připojení speciálních rozšíření a modulů, ani nezávisí na tom, který protokol bude použit.
• Nejedná se o běžné kritéria. Dostupné jsou při používání společných kritérií.
• Explicitní. Abyste mohli používat tento typ, musíte pro netfilter připojit speciální pluginy. Příkaz musí navíc použít přepínač -m.

Za zmínku stojí několik společných parametrů použitých při analýze balíků:

• Protokol (-p). Označuje protokol.
• Zdroj (-y). Tento parametr určuje adresu IP zdroje, ze kterého byl paket přiložen. Můžete jej určit několika způsoby. Konkrétní hostitel, adresu nebo celou podsíť.
• Cíl (-d). Cílová adresa balíčku. Stejně jako předchozí může být popsáno několika způsoby.
• In-interface (-i). Označuje příchozí rozhraní balíčku. Používá se hlavně pro NAT nebo systémy s více rozhraními.
• Out-interface (-o). Odchozí rozhraní.

Několik příkladů

Chcete-li zobrazit pravidla IPTables nat? Musíte použít příkaz iptables -L -t nat. Zjistěte obecný stav brány firewall - iptables -L -n -v. Tento příkaz navíc umožňuje zobrazit pravidla IPTables, které jsou k dispozici v celém systému. Chcete-li vložit pravidlo na určitém místě tabulky, například mezi první a druhý řádek je "iptables -I INPUT 2 -s 202.54.1.2 -j DROP". Pak zkontrolujte, zda přidal "iptables-L INPUT -n -line-numbers".

Chcete-li blokovat určitou adresu, například 12.12.12.12 - iptables -A INPUT -s 12.12.12.12 -j DROP.

Nápověda iptables je man iptables. Pokud potřebujete informace o určitém příkazu - iptables -j DROP -h.

Na závěr

Příkazy IPTables používejte opatrně, protože nesprávná konfigurace (kvůli nevědomosti) může vést k selhání sítě nebo k úplnému selhání. Proto je vhodné si před nakonfigurováním podrobně přezkoušet příručky a pokyny. V obratných rukou se IPTables může stát spolehlivým ochráncem síťových připojení. Správci systému aktivně používají nástroj k vytvoření připojení, které je izolováno od neoprávněného přístupu.