iptables: теория
В дкументации по iptables (iptables tutorial Андреассона в переводе Киселёва). Дстаточно неплох написана документация в плане того, что не сразу подводит к разным хитростям, и рассматривает картинку в начале. К трём задачам межсетевых украном дбавляется учёт. Она стоит особняком, поскольку он вторична к первым трём. в-вторых, задача учёта бесконечна. Мы можем называть учётом то, что количество трафика и количество сраб. разных правил, а можно пдсчитывать трафик по каждому клиенту и выставлять ему счёт.
Вот это последнее --- право манип. денеж. документами, наз. биллинг, и для этого нужна сертификация. У iptables её нет.
Iptables это возможнсть произвести все три действия на трёх уровнях в тот момент, когда сетевой пакет обрабатывается системой по трём возм. сценариям:
- Кгда пакет приходит к нам
- Когда пакета уходит от нас
- Когда пакет перекладывается из одного интерфейса в другой
При этом, чт происх, когда хост сам к себе обращается? пакет перекладывается в loopback и приходит оттуда. Для удобства манип. трафиком и удобства реш. наиб. популярных задач, у этих путей есть общие части. Как выглядит вариант прохождения пакетов в трёх вариантов: бльшие блоки наз. цепчкаии, а что такое таблица, лектор расскажет чуть позже. Таким образом, если мы получили пакет в сети, мы его обрабатываем сразу, потом принимаем решение, что с ним делать дальше. Если этот пакет наш, то мы его обраб. дальше, то мы с ним что-то делаем в блке наших пакетов, иначе в блоке транз. пакетов и в конце марш., т же делается в обратном случае. Никому не заметно какой-то ассиметрии? Да, потому что марш. расп. в разных местах. И эт выливается в том, что когда мы пакет псылаем, то сначала принимает решение о маршрутизации, и только потом происх. обработка. Идея состоит в тм, что интерфейс, всё такое... Вобще, при работе с iptables надо иметь в виду, что это такое дао, котрому познать невозможно полностью. Даже сами создатели относятся к своём детищу как стихийному действу.
Правила объед. талицы, а таблицы с цепочки. Цепочки --- цепочки таблиц. поэтому ситуация... Таблицы имеют три названия (mangle, nat, filter). Таблица mangle предназначена для изменения пакетов, точенее, для изм. заголов. части. Короче гоовря, служебные поля пакетов. В табличке nat преобр. значимые поля пакетов. В табличке filter принято разм. команды, которые фильтруют пакеты. В принципЕ, можно создавать и свои собст. цепочки, которые сост. из неск. таблиц. Причина разделения одног блока обработки на неск. таблиц следующая: после того, как было написано куча всяких фаерволлов, в которых такого рода правила, а особенно правила ввида "а если не подх., то перескчить на правило такое-то, нед ай бог оно вверху", ребятч посм., какоова дисциплина. вы разм. бездну правил, которые делают следующее: а если пакет такой-то, то делать то-то. Они подумали, что существует 4 блока обработки, и есть три задачи --- модифкации, содерж. модификации (подмена ip), и задача фильтрации и перенап. в другие блоки. И что эти задачи надо разд. друг с другом. И вот тогда-то додумались о том.... блее того, лектор сильно подозревает, что даже примитивы, какие-то функции сетевые, они разные. То есть получается ситуация такая: можно предст. себе iptable как просто такой ориент. граф., сост. из 5 узлов. каждый узел --- ориент. граф, сост. в осн. из двух узлов или трёх. И каждая табличка --- список правил упорядочкенный, который работает по принципу first wins.
К сожалению, разраб. iptables, кгда опис. iptables, излагали частично то, как он реализ. Поэтому во всей док. можн прочесть, чт цепчки объединены в таблицы. На самом деле, происх. следующее: есть таблицы, и они объед. в цепочки. Хуже всего, что даже команды такой --- посмотреть все команды iptables в порядке прохождения. Короче говоря, такой кманды нет, и это всех путает. Есть кманда посмотреть отдельные таблицы.
Это третья инкарнация --- до этого был ipchains, до этого --- netfilter.
Как следствие, авторы навяз. спец. дисциплину, взм. не без умысла, в которой мы не можем просм. все правила, которые прим. к пакету, а можем псм. все правила манглинга, фильтрации и перенаправления. В от с этим знанием и попр. поманип. таблицами руками. Для этог придтся пнастраивать слегка сервер.
Вот это саме предст. о том. что цепочки предст. в таблицы --- это не правильне предст. В реальности таблицы предст. внутри цепочки.
Сведения о ресурсах
Готовность (%) |
Продолжительность (ак. ч.) |
Подготовка (календ. ч.) |
Полный текст (раб. д.) |
Предварительные знания |
Level |
Maintainer |
Start date |
End date |
0 |
1 |
1 |
1 |
|
1 |
|
|