Студопедия  
Главная страница | Контакты | Случайная страница

АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатика
ИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханика
ОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторика
СоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансы
ХимияЧерчениеЭкологияЭкономикаЭлектроника

Цепочки

Читайте также:
  1. Окончательное определение состава элементов цепочки ценностей -
  2. Перепутанные логические цепочки
  3. Транспортно-логические цепочки, информационное обеспечение
Цепочка Таблица
filter nat mangle
INPUT X   X
FORWARD X   X
OUTPUT X X X
PREROUTING   X X
POSTROUTING   X X


Все изменения будем проводить над таблицей filter, именно она отвечает за фильтрацию пакетов. В таблице filter существует 3 цепочки: INPUT, OUTPUT и FORWARD. В каждой цепочкe свой "тип" пакетов:

INPUT - пакеты предназначающиеся Вашему узлу. То есть входящий трафик. Транзитный трафик сюда не попадает.

FORWARD - пакеты которые предназначены для другого узла, то есть транзитный трафик.

OUTPUT - пакеты, которые уходят от нашего узла, или исходящий трафик. Транзитный трафик сюда не попадает.

Предупреждение: Имена таблиц всегда пишутся маленькими буквами, имена цепочек всегда пишутся большими буквами.

Работают с цепочками так:

iptables <опция> <цепочка>

Для работы с цепочками предусмотрены следующие опции:

-A - добавление нового правила в цепочку. Правило будет добавлено в конец цепочки.

-I - добавление правила не в конец,а туда куда вы укажите. Например команда:

iptables -I INPUT 2 bla-bla-bla - сделает наше правило вторым.

-D - удаление правила. Например для удаления пятого правила введите:

iptables -D INPUT 5

-F - сброс всех правил цепочки. Нужно, например,при удалении ненужной цепочки.

-N - создание пользовательской цепочки. Если не хотите создавать кашу в каждой цепочке, то создайте несколько дополнительных цепочек. Синтаксис такой: iptables -N ЦЕПОЧКА. Только русские буквы, конечно, использовать нельзя.

-X - удаление пользовательской цепочки.

На заметку: Удалить цепочки INPUT, OUTPUT и FORWARD нельзя.

-P - установка политики для цепочки. Например:

iptables -P ЦЕПОЧКА ПОЛИТИКА

Параметры пакетов

Итак по каким параметрам можно фильтровать пакеты? Рассмотрим самые основные.

Источник пакета

Для фильтрации по источнику используется опция -s. Например запретим все входящие пакеты с узла 192.168.133.133:

iptables -A INPUT -s 192.168.133.133 -j DROP

Можно использовать доменное имя для указания адреса хоста. То есть:

iptables -A INPUT -s test.host.jp -j DROP

Также можно указать целую подсеть:

iptables -A INPUT -s 192.168.133.0/24 -j DROP

Также вы можете использовать отрицание (знак!). Например так - все пакеты с хостов отличных от 192.168.133.156 будут уничтожаться:

iptables -A INPUT! -s 192.168.133.156 -j DROP

Адрес назначения

Для этого нужно использовать опцию -d. Например запретим все исходящие пакеты на хост 192.168.156.156:

iptables -A OUTPUT -d 192.168.156.156 -j DROP

Как и в случае с источником пакета можно использовать адреса подсети и доменные имена. Отрицание также работает.



Дата добавления: 2014-12-19; просмотров: 33 | Поможем написать вашу работу | Нарушение авторских прав


lektsii.net - Лекции.Нет - 2014-2024 год. (0.006 сек.) Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав