iptables-izvod
DESCRIPTION
iptables-izvodTRANSCRIPT
-
IptablesNa nivou jezgra Linuksa funkcionie filtriranje paketa preko netfiltera. Netfilter lanci za filtriranje paketa rade u zatienom reimu rada (engl. kernel mode). U korisnikom reimu radi poseban alat iptables, koji zahteva privilegije korisnika root i slui za konfigurisanje:
filterskih lanaca, NAT tabela i mangle tabele.
Filtriranje paketa Netfilter koristi tri filtra (INPUT, OUTPUT i FORWARD), realizovanih u formi lanaca pravila (engl. chains). Svaki lanac sadri pravila (engl. rules) koja se primenjuju jedno za drugim na svaki paket koji prolazi kroz lanac. Ako paketzadovolji neko pravilo, izvrava se akcija, poput prihvatanja paketa (ACCEPT) ili odbacivanja paketa (REJECT). Ako paket ne zadovolji pravilo, prosleuje se dalje kroz lanac, tj. proverava se da li e zadovoljiti sledee pravilo u lancu. Na kraju lanca nalazi se polisa koja odreuje ta treba da se uradi sa paketima koji ne zadovoljavaju nijedno pravilo. Kada paket stigne u jezgro operativnog sistema, Netfilter najpre analizira odredinu adresu paketa:
Paket namenjen procesu na lokalnom raunaru prosleuje se INPUT lancu. Ako pravila lanca prihvate paket,on se prosleuje procesu koji ga oekuje. Ova situacija je tipina za raunare na kojima je instaliran neki mreni servis (na primer, Apache Web Server), koji je zatien mrenom barijerom.
Dolazei paket koji nije namenjen lokalnim procesima predaje se FORWARD lancu. Ako u jezgru nije ukljuena podrka za prosleivanje IP paketa, ili ako na osnovu tabele rutiranja Netfilter ne moe da odredi kako da prosledi paket, paket se odbacuje. Ukoliko je paket prihvaen pravilima FORWARD lanca, prosleuje se interfejsu, prethodno odreenom na osnovu tabele rutiranja.
Odlazei paket koji potie od lokalnog procesa predaje se OUTPUT lancu. Ako pravila lanca prihvate paket, paket se alje na interfejs, koji je odreen tabelom rutiranja.
Filterski lanci konfiguriu se pomou iptables alata. Sintaksa komande je sledea: iptables A lanac pravilo [opcije] j akcija iptables [RI] lanac red_br pravilo [opcije] [j akcija] iptables D lanac red_br [opcije] iptables [LF] [lanac] [opcije] iptables P lanac odrednica [opcije] Komande imaju sledee znaenje: -A (dodaj pravilo na kraj lanca), -D (obrii pravilo iz lanca), -R (zameni pravilo u lancu), -I (ubaci numerisano pravilo u lanac), -L (izlistaj pravila u lancu), -F (izbrii sva pravila iz lanca), -P (definii polisu koja e se primenjivati na pakete koji se ne slau ni sa jednim pravilom u lancu). U sluaju da podrazumevana polisa na kraju lanca odbacuje sve pakete koji nisu prihvaeni nijednim pravilom lanca, preporuuje se da pravila u lance unosite od najspecifinijih ka najoptijim. Tako, na primer, moete da dozvolite pristup svim raunarima sa podmree 10.1.1.0, osim raunaru 10.1.1.8 i 10.1.1.9. Parametar lanac moe biti input, output ili forward lanac. Parametrom pravilo specificira se jedno ili vie pravila koja se primenjuju na pakete, zavisno od lanca kroz koji Ne zaboravite da su vam za ovo potrebne privilegije korisnika root.se paket proputa. Pravila se specificiraju na sledei nain: ! oznaava negaciju,
-
-p [!]protocol numerika ili simbolika oznaka protokola iz datoteke /etc/services (na primer: tcp, udp, icmp, ...), -s [!]address/mask -d [!]address/mask izvorina, odnosno odredina IP adresa paketa i maska podmree (na primer, 38.24.12.0/24), --src-range StartIPEndIP --dst-range StartIPEndIP opseg izvorinih, odnosno odredinih IP adresa paketa (na primer, 38.24.12.138.24.12.24), --sport [!]port[:port] --dport [!]port[:port] izvorini, odnosno odredini port ili opseg portova, -i [!]interface -o [!]interface izvorini, odnosno odredini interfejs na raunaru (mrena kartica). Ukoliko paket odgovara nekom pravilu, na paket se primenjuje akcija specificirana parametrom -j akcija: ACCEPT prihvati paket, DROP odbaci paket, REJECT odbaci paket i obavesti poiljaoca ICMP porukom, LOG uvanje detaljnih informacija o paketu, MASQ maskiraj izvorinu IP adresu paketa adresom mrene barijere i prosledi dalje paket (samo za forward lanac).