|
⇤ ← Версия 1 от 2013-12-06 13:11:18
Размер: 1930
Комментарий:
|
Размер: 1967
Комментарий:
|
| Удаления помечены так. | Добавления помечены так. |
| Строка 37: | Строка 37: |
| * -p, --sport, --dport | * -p протокол, --sport, --dport * --icmp-type № |
Введение в межсетевые экраны
МЭ — обработка сетевого трафика (вообще говоря, на всех уровнях):
- ограничение
- преобразование
- перенаправление
- учёт (в первую очередь для последующего анализа)
IPTables
Общее устройство https://www.frozentux.net/iptables-tutorial/iptables-tutorial.html (довольно старый перевод):
ядерная часть + утилита управления iptables
- «Пакеты» транспортного и сетевого уровня
Правила обработки пакетов: условие → действие по принципу «кто первый попал»
- Правила объединены в цепочки (действие выглядит как переход в другую цепочку)
- Цепочки бывают разного типа (это называется «цепочка из таблицы»)
- Переход между цепочками по умолчанию:
- Возврат из пользовательских цепочек
Команды (над цепочками):
- -A, -D, -R №, -I №
- -F, -Z
- -N, -X
Параметры:
- -t Table (по умолчанию — filter)
Действия:
- ACCEPT, DROP, REJECT, RETURN
- SNAT, DNAT, MASQUERADE, NETMAP
- LOG, ULOG
- MARK, CONNMARK
- …
Условия:
- -s, -d (IP); -i, -o (iface)
- -p протокол, --sport, --dport
- --icmp-type №
-m подмодуль
- mark, connmark
- conntrack, state (TCP)
- helper (прикладной уровень)
- owner (как имя процесса, так и IDs)
- recent