Настройка iptables, советы, рекомендации для чайников
Утилита командной строчки iptables, о которой речь пойдет в статье, это стандартный интерфейс, который употребляется для управления работой брандмауэра netfilter. Это все является животрепещущим, если на компьютере установлена система Linux версий 2.4 и 2.6. Говоря проще, настройка iptables помогает управлять межсетевым экраном, но для ее использования требуются права суперпользователя. Невзирая на то, что понятия различные, очень нередко, рассказывая о их, люди предполагают одно и то же. Но это далековато не так.
Обыденные рядовые юзеры наверное слышали понятия, о которых речь идет, но что они означают и зачем необходимы, для неких неясно. Итак, через каждый компьютер, присоединенный к вебу, проходят разные сетевые пакеты, которые нужно держать под контролем. Этим и занимается межсетевой экран. Это программные средства, действующие на различных уровнях OSI. Они работают в согласовании с обозначенным заданием и избранным действием.
Основная и основная задачка сетевого экрана – это защита от неразрешенного доступа отдельных узлов и целых компьютерных сетей. Они играют роль фильтров (их так и именуют): инспектируют и сортируют сетевые пакеты по аспектам, которые определяет система. Создается такое воспоминание, что они проходят поочередную цепочку действий. На самом деле это так и есть. Настройка iptables помогает юзеру применить все установленные правила, под которыми предполагаются последующие деяния:
- Проверка пакета на соответствие.
- Применение подходящего деяния.
Действием считается как рядовая обычная операция, к примеру, ACCEPT, так и выполнение внутреннего перехода из одной цепочки в другую. Как все это делать, можно отыскать в хоть какой аннотации опций iptables для чайников. Более продвинутые юзеры знают, что сами деяния бывают 2-ух видов: терминальные и нетерминальные. Главное предназначение первых – это прекращение пакетной обработки в границах базисной цепочки, к примеру, REJECT. 2-ые, напротив, не прекращают обрабатывать пакет, допустим, MARK, TOS, доводят проверку до логического конца. В случае, когда данные проходят всю цепочку и к ним не применяется ни одно действие, это значит только то, что все происходит в режиме по дефлоту (установлен как основной)
Рядовая настройка iptables предугадывает три главных вида таблиц при работе утилиты:
- Mangle – в большинстве случаев употребляют, когда нужно внести конфигурации в заглавие пакета. Примером может послужить перемена битов TOS.
- Nat – цепочка для показа сетевого адреса. Может быть выполнена исключительно в границах другой. Никакую фильтрацию проводить нельзя, если исключительно в исключительных случаях.
- Filter – через нее проходят все входящие пакеты, и нет никакой различия, с какого интерфейса они следуют. Другими словами, цепочка фильтрует трафик.
Всех юзеров больше интересует 3-я таблица. В ней работают три цепочки. 1-ая – для входящих пакетов – INPUT, 2-ая – для идущих через один компьютер к другому – FORWARD, и 3-я – для исходящих – OUTPUT. По действующим правилам, хоть какой пакет, пройдя весь путь, или пропускается, или нет.
Все действующие правила настройка iptables Ubuntu разрешает редактировать так, как угодно юзеру. Делается это вводом определенных команд в терминал. Строчка, которая содержит определяющие пакет аспекты, и есть закон. Примерная запись правила такая: iptables [-t имя-таблицы] команда [шаблон] [-j действие]. Тут t дает указание, какой вид таблицы будет, если же ее нет, предлагается цепочка по дефлоту (filter). Когда юзер подразумевает другой вид, его нужно ввести вручную. Команда должна стоять сходу за именованием. Если такого нет, она стоит на первом месте. Действие определяет настройка iptables. Самыми всераспространенными являются такие, как ACCEPT (пропуск пакета, просмотр завершен), DROP (не пропускать, молчком выкинуть, действие завершается не только лишь для одной цепочки, да и для всех других).