Читайте также: |
|
Цепочка | Таблица | ||
filter | nat | mangle | |
INPUT | X | X | |
FORWARD | X | X | |
OUTPUT | X | X | X |
PREROUTING | X | X | |
POSTROUTING | X | X |
Все изменения будем проводить над таблицей filter, именно она отвечает за фильтрацию пакетов. В таблице filter существует 3 цепочки: INPUT, OUTPUT и FORWARD. В каждой цепочкe свой "тип" пакетов:
• INPUT - пакеты предназначающиеся Вашему узлу. То есть входящий трафик. Транзитный трафик сюда не попадает.
• FORWARD - пакеты которые предназначены для другого узла, то есть транзитный трафик.
• OUTPUT - пакеты, которые уходят от нашего узла, или исходящий трафик. Транзитный трафик сюда не попадает.
Предупреждение: Имена таблиц всегда пишутся маленькими буквами, имена цепочек всегда пишутся большими буквами.
Работают с цепочками так:
iptables <опция> <цепочка>
Для работы с цепочками предусмотрены следующие опции:
• -A - добавление нового правила в цепочку. Правило будет добавлено в конец цепочки.
• -I - добавление правила не в конец,а туда куда вы укажите. Например команда:
iptables -I INPUT 2 bla-bla-bla - сделает наше правило вторым.
• -D - удаление правила. Например для удаления пятого правила введите:
iptables -D INPUT 5
• -F - сброс всех правил цепочки. Нужно, например,при удалении ненужной цепочки.
• -N - создание пользовательской цепочки. Если не хотите создавать кашу в каждой цепочке, то создайте несколько дополнительных цепочек. Синтаксис такой: iptables -N ЦЕПОЧКА. Только русские буквы, конечно, использовать нельзя.
• -X - удаление пользовательской цепочки.
На заметку: Удалить цепочки INPUT, OUTPUT и FORWARD нельзя.
• -P - установка политики для цепочки. Например:
iptables -P ЦЕПОЧКА ПОЛИТИКА
Параметры пакетов
Итак по каким параметрам можно фильтровать пакеты? Рассмотрим самые основные.
Источник пакета
Для фильтрации по источнику используется опция -s. Например запретим все входящие пакеты с узла 192.168.133.133:
iptables -A INPUT -s 192.168.133.133 -j DROP
Можно использовать доменное имя для указания адреса хоста. То есть:
iptables -A INPUT -s test.host.jp -j DROP
Также можно указать целую подсеть:
iptables -A INPUT -s 192.168.133.0/24 -j DROP
Также вы можете использовать отрицание (знак!). Например так - все пакеты с хостов отличных от 192.168.133.156 будут уничтожаться:
iptables -A INPUT! -s 192.168.133.156 -j DROP
Адрес назначения
Для этого нужно использовать опцию -d. Например запретим все исходящие пакеты на хост 192.168.156.156:
iptables -A OUTPUT -d 192.168.156.156 -j DROP
Как и в случае с источником пакета можно использовать адреса подсети и доменные имена. Отрицание также работает.
Дата добавления: 2014-12-19; просмотров: 33 | Поможем написать вашу работу | Нарушение авторских прав |