Различия между версиями 2 и 4 (по 2 версиям)
Версия 2 от 2014-03-28 15:11:18
Размер: 144
Редактор: FrBrGeorge
Комментарий:
Версия 4 от 2014-03-29 19:33:28
Размер: 1959
Редактор: FrBrGeorge
Комментарий:
Удаления помечены так. Добавления помечены так.
Строка 2: Строка 2:

Виды МЭ (условно):
 * линейный (ipfw)
 * табличный (pf)
 * графовый (iptables)

== IPTables ==
Строка 3: Строка 11:
-----
Общее устройство [[https://www.frozentux.net/iptables-tutorial/iptables-tutorial.html]] ([[http://www.opennet.ru/docs/RUS/iptables/|довольно старый перевод]]):
 * ядерная часть + утилита управления `iptables`
 * «Пакеты» транспортного и сетевого уровня
 * Правила обработки пакетов: ''условие → действие'' по принципу «кто первый попал»
 * Правила объединены в цепочки (действие выглядит как переход в другую цепочку)
 * Цепочки бывают разного типа (это называется «цепочка из таблицы»)
 * Переход между цепочками по умолчанию:

Естественный граф обработки проходящих пакетов:
{{attachment:tables_traverse.jpg}}
 * Возврат из пользовательских цепочек

Команды (над цепочками):
 * -A, -D, -R №, -I №
 * -F, -Z
 * -N, -X

Параметры:
 * -t Table (по умолчанию — filter)

Действия:
 * ACCEPT, DROP, REJECT, RETURN
 * SNAT, DNAT, MASQUERADE, NETMAP
 * LOG, ULOG
 * MARK, CONNMARK
 * QUEUE
 * …

Условия:
 * -s, -d (IP); -i, -o (iface)
 * -p протокол, --sport, --dport
 * --icmp-type №
 * -m ''подмодуль''
  * mark, connmark
  * conntrack, state (TCP)
  * helper (прикладной уровень)
  * owner (как имя процесса, так и IDs)
  * recent

Linux IPTables

Виды МЭ (условно):

  • линейный (ipfw)
  • табличный (pf)
  • графовый (iptables)

IPTables

Ключевая ссылка IPTables HowTo

Общее устройство https://www.frozentux.net/iptables-tutorial/iptables-tutorial.html (довольно старый перевод):

  • ядерная часть + утилита управления iptables

  • «Пакеты» транспортного и сетевого уровня

  • Правила обработки пакетов: условие → действие по принципу «кто первый попал»

  • Правила объединены в цепочки (действие выглядит как переход в другую цепочку)
  • Цепочки бывают разного типа (это называется «цепочка из таблицы»)
  • Переход между цепочками по умолчанию:

Естественный граф обработки проходящих пакетов: [ПРИКРЕПЛЁННЫЙ ФАЙЛ]

  • Возврат из пользовательских цепочек

Команды (над цепочками):

  • -A, -D, -R №, -I №
  • -F, -Z
  • -N, -X

Параметры:

  • -t Table (по умолчанию — filter)

Действия:

  • ACCEPT, DROP, REJECT, RETURN
  • SNAT, DNAT, MASQUERADE, NETMAP
  • LOG, ULOG
  • MARK, CONNMARK
  • QUEUE

Условия:

  • -s, -d (IP); -i, -o (iface)
  • -p протокол, --sport, --dport
  • --icmp-type №

  • -m подмодуль

    • mark, connmark
    • conntrack, state (TCP)
    • helper (прикладной уровень)
    • owner (как имя процесса, так и IDs)
    • recent

LecturesCMC/UnixFirewalls2014/06_IPTables (последним исправлял пользователь FrBrGeorge 2014-03-30 13:26:33)