• Artykuły
  • Forum
  • Ciekawostki
  • Encyklopedia
  • Iptables

    Przeczytaj także...
    Time To Live (TTL) określa "czas życia" pakietu danych lub innych danych (np. rekordu DNS), stosowany w sieciach komputerowych.Przekierowanie portów (ang. port forwarding, port redirection) – przekierowanie pakietów z Internetu, przychodzących na określony port serwera, do innego komputera w sieci lokalnej. Przekierowane mogą być protokoły TCP, UDP i inne. W zależności od implementacji i używanego narzędzia, przekierowanie pakietów następuje domyślnie na te same porty, do maszyny wewnątrz sieci lokalnej, bądź są one zmieniane na inne.
    NAT (skr. od ang. Network Address Translation, tłumaczenie adresów sieciowych; czasem Native Address Translation, tłumaczenie adresów rodzimych), znane również jako maskarada sieci lub maskarada IP (od ang. network/IP masquerading) – technika przesyłania ruchu sieciowego poprzez router, która wiąże się ze zmianą źródłowych lub docelowych adresów IP, zwykle również numerów portów TCP/UDP pakietów IP podczas ich przepływu. Zmieniane są także sumy kontrolne (zarówno w pakiecie IP jak i w segmencie TCP/UDP), aby potwierdzić wprowadzone zmiany.

    iptables to program sterujący filtrem pakietów (głównie używanym jako zapora sieciowa bądź NAT) opracowany dla systemu operacyjnego Linux. Autor Rusty Russell napisał pierwszą wersję w 1998 roku w języku C. Program może być używany jako filtr pakietów, bądź tzw. stanowa zapora dla systemów Linux z jądrem począwszy od serii 2.4.x, kontrolujący połączenia wchodzące i wychodzące do sieci komputerowej lub stacji roboczej. Wymaga jądra skompilowanego z modułem ip_tables.

    Zapora sieciowa (ang. firewall – ściana przeciwogniowa) – jeden ze sposobów zabezpieczania sieci i systemów przed intruzami.Firestarter – graficzna nakładka na iptables (zapora sieciowa dla Linuksa). Umożliwia on w prosty sposób konfigurację iptables. Oprócz filtrowania danych umożliwia udostępnianie Internetu i prostą konfigurację serwera DHCP.

    Iptables wymaga uprawnień roota do uruchomienia. W większości dystrybucji linuksowych iptables jest instalowane w katalogu /usr/sbin/iptables, jednakże w niektórych z nich można go znaleźć w /sbin/iptables.

    Zasady działania[]

    Iptables umożliwia administratorowi systemu definiowanie tabel zawierających łańcuchy reguł stosowanych dla pakietów. Każda z tabel służy do przetwarzania pakietów różnego rodzaju i zawiera kilka łańcuchów:

    SSH (ang. secure shell) to standard protokołów komunikacyjnych używanych w sieciach komputerowych TCP/IP, w architekturze klient-serwer.Wiersz poleceń (ang. Command Line Interface, CLI), to jeden z najczęściej spotykanych sposobów interakcji człowieka z komputerem. Inne przykłady to interfejs tekstowy oraz interfejs graficzny.
  • filter – domyślna tabela
  • INPUT – pakiety przeznaczone dla lokalnego komputera
  • FORWARD – pakiety routowane przez lokalny komputer
  • OUTPUT – pakiety wygenerowane przez lokalny komputer
  • nat – pakiety nawiązujące nowe połączenia
  • PREROUTING – dla zmian w pakietach zanim zostaną routowane
  • OUTPUT – dla zmian w lokalnie wygenerowanych pakietach zanim zostaną routowane
  • POSTROUTING – dla zmian w pakietach tuż przed ich wysłaniem
  • mangle – dla wyspecjalizowanych zmian w pakietach
  • PREROUTING – dla zmian w pakietach przychodzących zanim zostaną routowane
  • OUTPUT – dla zmian w lokalnie wygenerowanych pakietach, przed ich routowaniem
  • INPUT – dla zmian w pakietach zmierzających do lokalnego komputera
  • FORWARD – dla zmian w pakietach routowanych przez lokalny komputer
  • POSTROUTING – dla zmian w pakietach po routingu, tuż przed ich wysłaniem
  • raw – do tej tabeli pakiety trafiają najpierw - ma ona najwyższy priorytet
  • PREROUTING – pakiety przychodzące przez jakikolwiek interfejs sieciowy
  • OUTPUT – pakiety generowane przez lokalne procesy
  • Każdy z tych predefiniowanych łańcuchów posiada sposób postępowania względem pakietów, które do niego trafiają, np. DROP (odrzucenie pakietu). Administrator może w razie potrzeby tworzyć swoje własne łańcuchy. Reguły pozwalają na podjęcie określonych działań z uwzględnieniem rodzaju i przeznaczenia pakietu, np. port, host, wykorzystany protokół, czas życia (TTL) itp.

    Protokół komunikacyjny to zbiór ścisłych reguł i kroków postępowania, które są automatycznie wykonywane przez urządzenia komunikacyjne w celu nawiązania łączności i wymiany danych.Netfilter jest frameworkiem w jądrze Linuksa, służącym do przechwytywania i zmieniania ruchu sieciowego. Netfilter składa się z szeregu punktów w kodzie obsługi sieci, w których można umieszczać funkcje odpowiedzialne za analizę i zmianę pakietów sieciowych. Punkty te są pogrupowane w tablice, a funkcje przyłączone w danym punkcie nazywane są łańcuchami. Netfilter jest także nazwą projektu dostarczającego aplikacje do obsługi tego frameworka.

    Gdy pakiet trafia do łańcucha wędruje przez znajdujące się w nim reguły dopóki nie trafi na taką, która skierowuje go do określonego celu. Niektóre z nich to ACCEPT (zaakceptowanie pakietu), DROP (odrzucenie) i REJECT (odrzucenie z powiadomieniem nadawcy).

    Przykład[]

    Po wpisaniu poniższych komend komputer będzie akceptował wyłącznie połączenia skierowane na porty HTTP i SSH:

    Graficzny interfejs użytkownika, środowisko graficzne (ang. Graphical User Interface, GUI) – ogólne określenie sposobu prezentacji informacji przez komputer oraz interakcji z użytkownikiem, polegające na rysowaniu i obsługiwaniu widżetów.Jądro Linux (ang. Linux kernel) – najważniejsza, wolna część uniksopodobnych systemów operacyjnych Linux napisana przez Linusa Torvaldsa w 1991 roku, a obecnie rozwijana przez licznych programistów z całego świata w ramach The Linux Foundation.
     # iptables -P FORWARD DROP
     # iptables -P INPUT DROP
     # iptables -A INPUT --protocol tcp --destination-port 22 -j ACCEPT
     # iptables -A INPUT --protocol tcp --destination-port 80 -j ACCEPT
    

    Nakładki[]

    ]

  • fwbuilder - rozbudowane narzędzie pozwalające na konfigurację różnych firewalli, w tym iptables
  • Firestarter - interfejs graficzny dla iptables
  • ]

  • ipmenu - tekstowy interfejs użytkownika umożliwający konfigurację iptables
  • Zobacz też[]

  • przekierowanie portów
  • czas życia pakietu
  • Netfilter
  • ebtables – odpowiednik iptables dla mostu.
  • Przypisy

    1. iptables manpages

    Linki zewnętrzne[]

  • Strona domowa projektu
  • Podstawy konfiguracji iptables
  • Podstawowe reguły iptables
  • Port protokołu – pojęcie związane z protokołami używanymi w Internecie do identyfikowania procesów działających na odległych systemach. Jest to jeden z parametrów gniazda.C – imperatywny, strukturalny język programowania wysokiego poziomu stworzony na początku lat siedemdziesiątych XX w. przez Dennisa Ritchiego do programowania systemów operacyjnych i innych zadań niskiego poziomu.



    w oparciu o Wikipedię (licencja GFDL, CC-BY-SA 3.0, autorzy, historia, edycja)

    Warto wiedzieć że... beta

    Most lub mostek (ang. bridge) – urządzenie łączące dwie lub więcej sieci lub segmenty sieci dokonując filtrowania ruchu sieciowego. Sieci podłączone do mostu mogą korzystać z różnych fizycznych i logicznych protokołów łącza.
    Host – dowolna maszyna (komputer, karta sieciowa, modem itp.) uczestnicząca w wymianie danych lub udostępniająca usługi sieciowe poprzez sieć komputerową za pomocą protokołu komunikacyjneg TCP/IP oraz posiadająca własny adres IP.
    ebtables - aplikacja przestrzeni użytkownika w systemach operacyjnych GNU/Linux, służąca do konfiguracji Netfilter dla mostów sieciowych. Ebtables wchodzi w skład pakietu narzędzi Netfilter.
    Administrator (potocznie admin) – informatyk zajmujący się zarządzaniem systemem informatycznym i odpowiadający za jego sprawne i ciągłe działanie. Wyróżnić można administratorów:
    root (z ang. , dosłownie korzeń) – tradycyjna nazwa uniksowego konta, które ma pełną kontrolę nad systemem. Z założenia konto root nie powinno być używane do pracy, do której wystarczyłoby zwykłe konto z ograniczonymi uprawnieniami. Istotną sprawą jest zabezpieczenie tego konta silnym hasłem i zabezpieczenie przed nieautoryzowanym dostępem.
    HTTP (ang. Hypertext Transfer Protocol – protokół przesyłania dokumentów hipertekstowych) to protokół sieci WWW (ang. World Wide Web). Obecną definicję HTTP stanowi RFC 2616. Za pomocą protokołu HTTP przesyła się żądania udostępnienia dokumentów WWW i informacje o kliknięciu odnośnika oraz informacje z formularzy. Zadaniem stron WWW jest publikowanie informacji – natomiast protokół HTTP właśnie to umożliwia.

    Reklama

    Czas generowania strony: 0.042 sek.