Настройка iptables, советы, рекомендации для чайников

Утилита командной строки iptables, о которой пойдет речь в статье, это стандартный интерфейс, который используется для управления работой брандмауэра netfilter. Это все является актуальным, если на компьютере установлена система Linux версий 2.4 и 2.6. Говоря проще, настройка iptables помогает управлять межсетевым экраном, но для ее использования требуются права суперпользователя. Несмотря на то, что понятия разные, очень часто, рассказывая о них, люди подразумевают одно и то же. Но это далеко не так.

Обычные рядовые пользователи наверняка слышали понятия, о которых идет речь, но что они означают и для чего нужны, для некоторых непонятно. Итак, через каждый компьютер, подключенный к интернету, проходят различные сетевые пакеты, которые надо контролировать. Этим и занимается межсетевой экран. Это программные средства, действующие на разных уровнях OSI. Они работают в соответствии с указанным заданием и выбранным действием.

Главная и основная задача сетевого экрана – это защита от неразрешенного доступа отдельных узлов и целых компьютерных сетей. Они играют роль фильтров (их так и называют): проверяют и сортируют сетевые пакеты по критериям, которые определяет система. Создается такое впечатление, что они проходят последовательную цепочку действий. На деле это так и есть. Настройка iptables помогает пользователю применить все установленные правила, под которыми подразумеваются следующие действия:

1. Проверка пакета на соответствие.
2. Применение нужного действия.

Действием считается как обычная рядовая операция, например, ACCEPT, так и выполнение внутреннего перехода из одной цепочки в другую. Как все это делать, можно найти в любой инструкции настроек iptables для чайников. Более продвинутые пользователи знают, что сами действия бывают двух видов: терминальные и нетерминальные. Главное назначение первых – это прекращение пакетной обработки в границах базовой цепочки, например, REJECT. Вторые, наоборот, не прекращают обрабатывать пакет, допустим, MARK, TOS, доводят проверку до логического конца. В случае, когда данные проходят всю цепочку и к ним не применяется ни одно действие, это означает только то, что все происходит в режиме по умолчанию (установлен как основной)

Обычная настройка iptables предусматривает три основных вида таблиц при работе утилиты:

1. Mangle – чаще всего используют, когда надо внести изменения в название пакета. Примером может послужить перемена битов TOS.
2. Nat – цепочка для показа сетевого адреса. Может быть выполнена только в границах другой. Никакую фильтрацию проводить нельзя, если только в исключительных случаях.
3. Filter – через нее проходят все входящие пакеты, и нет никакой разницы, с какого интерфейса они следуют. Другими словами, цепочка фильтрует трафик.

Всех пользователей больше интересует третья таблица. В ней работают три цепочки. Первая – для входящих пакетов – INPUT, вторая – для идущих через один компьютер к другому – FORWARD, и третья – для исходящих – OUTPUT. По действующим правилам, любой пакет, пройдя весь путь, либо пропускается, либо нет.

Все действующие правила настройка iptables Ubuntu разрешает редактировать так, как угодно пользователю. Делается это вводом определенных команд в терминал. Строка, которая содержит определяющие пакет критерии, и есть закон. Примерная запись правила такая: iptables [-t имя-таблицы] команда [шаблон] [-j действие]. Здесь t дает указание, какой вид таблицы будет, если же ее нет, предлагается цепочка по умолчанию (filter). Когда пользователь предполагает другой вид, его надо ввести вручную. Команда должна стоять сразу за именем. Если такового нет, она стоит на первом месте. Действие определяет настройка iptables. Самыми распространенными являются такие, как ACCEPT (пропуск пакета, просмотр завершен), DROP (не пропускать, молча выбросить, действие заканчивается не только для одной цепочки, но и для всех остальных).