Студопедия  
Главная страница | Контакты | Случайная страница

АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатика
ИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханика
ОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторика
СоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансы
ХимияЧерчениеЭкологияЭкономикаЭлектроника

Linux кең таралған дистрибутивтары. Жүйелік администратордың алдына қойылатын басты мәселелер.

Читайте также:
  1. C)& иықтың үш басты бұлшыќ еті, шынтаќ
  2. GNU/Linux
  3. GNU/Linux
  4. Igor@adm-ubuntu:~/linux/dir$ ls -l /etc/passwd -rw-r–r– 1 root root 1785 2009-10-16 09:01 /etc/passwd
  5. Linux өнімдерін қолданушылар
  6. Linux негізін қалаушысы туралы
  7. LINUX|| Алгоритм замещения страниц в ОС Linux.
  8. LINUX|| Загрузка в ОС Linux.
  9. LINUX|| Задачи и интерфейсы Unix-подобных систем.

 

Создание правил

Практически все правила можно привести к виду:

iptables -t ТАБЛИЦА -A ЦЕПОЧКА ПАРАМЕТРЫ_ПАКЕТА -j ДЕЙСТВИЕ

Цепочки

Цепочка Таблица

filter nat mangle

INPUT X X

FORWARD X X

OUTPUT X X X

PREROUTING X X

POSTROUTING X X

 

Все изменения будем проводить над таблицей filter, именно она отвечает за фильтрацию пакетов. В таблице filter существует 3 цепочки: INPUT, OUTPUT и FORWARD. В каждой цепочкe свой "тип" пакетов:

• INPUT - пакеты предназначающиеся Вашему узлу. То есть входящий трафик. Транзитный трафик сюда не попадает.

• FORWARD - пакеты которые предназначены для другого узла, то есть транзитный трафик.

• OUTPUT - пакеты, которые уходят от нашего узла, или исходящий трафик. Транзитный трафик сюда не попадает.

Предупреждение: Имена таблиц всегда пишутся маленькими буквами, имена цепочек всегда пишутся большими буквами.

Работают с цепочками так:

iptables <опция> <цепочка>

Для работы с цепочками предусмотрены следующие опции:

• -A - добавление нового правила в цепочку. Правило будет добавлено в конец цепочки.

• -I - добавление правила не в конец,а туда куда вы укажите. Например команда:

iptables -I INPUT 2 bla-bla-bla - сделает наше правило вторым.

• -D - удаление правила. Например для удаления пятого правила введите:

iptables -D INPUT 5

• -F - сброс всех правил цепочки. Нужно, например,при удалении ненужной цепочки.

• -N - создание пользовательской цепочки. Если не хотите создавать кашу в каждой цепочке, то создайте несколько дополнительных цепочек. Синтаксис такой: iptables -N ЦЕПОЧКА. Только русские буквы, конечно, использовать нельзя.

• -X - удаление пользовательской цепочки.

На заметку: Удалить цепочки INPUT, OUTPUT и FORWARD нельзя.

• -P - установка политики для цепочки. Например:

iptables -P ЦЕПОЧКА ПОЛИТИКА

Параметры пакетов

Итак по каким параметрам можно фильтровать пакеты? Рассмотрим самые основные.

Источник пакета

Для фильтрации по источнику используется опция -s. Например запретим все входящие пакеты с узла 192.168.133.133:

iptables -A INPUT -s 192.168.133.133 -j DROP

Можно использовать доменное имя для указания адреса хоста. То есть:

iptables -A INPUT -s test.host.jp -j DROP

Также можно указать целую подсеть:

iptables -A INPUT -s 192.168.133.0/24 -j DROP

Также вы можете использовать отрицание (знак!). Например так - все пакеты с хостов отличных от 192.168.133.156 будут уничтожаться:

iptables -A INPUT! -s 192.168.133.156 -j DROP

Адрес назначения

Для этого нужно использовать опцию -d. Например запретим все исходящие пакеты на хост 192.168.156.156:

iptables -A OUTPUT -d 192.168.156.156 -j DROP

Как и в случае с источником пакета можно использовать адреса подсети и доменные имена. Отрицание также работает.

Протокол

Опция -p указывает на протокол. Можно использовать all, icmp, tcp, udp или номер протокола (из /etc/protocols).

Порт источника

Указывает на порт с которого был прислан пакет. Вот синтаксис:

iptables -A INPUT -p tcp --sport 80 -j ACCEPT

Для указания порта необходимо указать протокол (tcp или udp). Можно использовать отрицание.

Порт назначения

Порт назначения. Синтаксис:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

Как и в случае с портом источника нужно указать протокол. Можно использовать отрицание.

Действия над пакетами

Проку от того,что мы укажем параметры пакета нет.Нужно указать,что надо с ним делать. Для этого служит опция -j. Рассмотрим основные действия:

• ACCEPT - разрешить пакет.

• DROP - уничтожить пакет.

• REJECT - будет отправлено ICMP сообщение, что порт недоступен.

• LOG - информация об этом пакете будет добавлена в системный журнал (syslog). Не прерывает цепочку.

В качестве действия можно указать и имя пользовательской цепочки. Например перекинем все пакеты с локальной сети в цепочку, где будет производиться дополнительная проверка:

iptables -A INPUT -s 192.168.200.0/24 -j LOCAL_NET

Пример правил

В большинстве случаев конечному пользователю (рабочая станция под управлением Gentoo Linux) достаточно выполнить такую последовательность команд:

iptables -P FORWARD DROP

iptables -P OUTPUT ACCEPT

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -P INPUT DROP

Вот собственно и вся настройка. На первый взгляд непонятно, что мы тут вообще сделали. Поэтому ознакомимся с основами составления правил.

Модули

Может сложиться впечатление, что возможностей у iptables маловато. Однако с использованием модулей iptables получит просто безграничные возможности. Для указания модуля используется опция -m. Например:

iptables -A INPUT -m модуль bla-bla

-m owner

Добавляет следующие опции (опции только для цепочки OUTPUT):

• --uid-owner UID - UID программы пославшей пакет.

• --gid-owner GID - GID программы пославшей пакет.

• --pid-owner PID - PID программы пославшей пакет.

• --sid-owner SID - SID (идентификатор сессии) производится проверка SID пакета, значение SID наследуются дочерними процессами от "родителя".

• --cmd-owner NAME - имя программы пославшей пакет.

-m multiport

Позволяет указывать не по одному порту, а сразу несколько:

• --source-ports порт1,порт2 - список портов, с которых пришел пакет;

• --sports порт1,порт2 - укороченый аналог --source-ports;

• --destination-ports порт1,порт2 - список портов назначения;

• --dports порт1,порт2 - укороченый аналог --destination-ports;

• --ports порт1,порт2 - проверяет как исходящий так и входящий порт пакета.

-m state

Предназначен для указания состояния пакета с помощью опции --state. Доступны следующие типы пакетов:

• NEW - пакет устанавливающий новое соединение.

• ESTABLISHED - пакет от уже установленного соединения.

• RELATED - пакет устанавливающий новое соединение от уже установленного (ESTABLISHED) соединения (пример: установка FTP-data соединения из FTP-control соединения).

• INVALID - говорит о том, что пакет не может быть идентифицирован и поэтому не может иметь определенного статуса

-m mac

Проверяет соответствие MAC-адреса в пакете с помощью опции --mac-source, например:

iptables -A INPUT -s 192.168.0.1 -m mac --mac-source 00:65:3F:ED:12:98 -j DROP

-m limit

Как следует из названия, предназначен для ограничения нагрузки, например:

iptables -A INPUT -p icmp -m limit --limit 4/second -j ACCEPT

Linux кең таралған дистрибутивтары. Жүйелік администратордың алдына қойылатын басты мәселелер.

Slackware. Бұл дистрибутивтің алғашқы нұсқасын Патрик Фолькердин жасады, сонымен қатар Mr. Slackware және The Man а 17 шілде 1993. Бұл нұсқа SLS дистрибутивінде базаланды және 3,5" дискеттер көшірмесі болды, ол FTP арқылы жазыпалынды. openSUSE — пайдалануда тұрақты, жеңiл және бiткен көп мақсатты Linux дистрибутиві. Бұл дистрибутив қолданушыныға жай ғана ядро емес және басты утилиталар сонымен қатар басқа да программалық жабдықтармен (XFree86 және TCP/IP қолдауларын қосады) алғаш ұсынған.

UBUNTU - linux ядросын қолданатын және debian-ға негізделген операциялық жүйе. Негізгі жасаушысы және демеушісі canonical компаниясы болып табылады. Қазіргі уақытта жоба белсенді түрде дамуда және ашық бірлестік тарапынан қолдау көруде. Ubuntu-ды 20 миллионнан астам қолданушы пайдаланады, бұл оны openstat санақ ғылымы бойынша десктоптарға арналған linux-тың ең танымал дистрибутиві. Веб-серверлерге арналған ең танымал ож-дің тізімінде ол 4-орында тұр. Ubuntu серверлер және жұмыс станцияларына арналған бағдарламалық қамтамасыз етуді іріктеу арқылы қойылады. Онымен қоса 2013 жылдан бастап arm және х86 смартфондарына арналған версиялары жасалуда.

FEDORA - GNU/Linux операциялық жүйесінің дистрибутиві.

Бұл дистрибутивтің демеушісі Red Hat фирмасы және бiрлестiк қолдау көрметеді. Fedora жобасының мақсаты — еркiн бағдарламалық қамтамасыз етуден бүтiн операциялық жүйесiнi құрастыру. Нұсқалары әр 6-8 ай сайын қол жетімді жаңартылып отырады. Fedora – ның қазірге 19 нұсқасы бар. Бастапқы 5 нұсқасы Fedora Core деп аталады. Fedora 20 үшін «Heisenbug» кодтық есiмi таңдалған.

GENTOO – салыстырмалы жас және активті дамитын дистрибутив. Gentoo дистрибутиві Enoch Linux атауымен Дэниел Роббинстың меншiктi дистрибутивiнiң әзiрлемелерiнің негiзде пайда болды. Дистрибутивтің түпкi мақсаты меншiктi құрастыру, оптимизацияланған нақты аппаратты қамтамасыз ету және қолданушуға қажетті программалар жиынтығы.



Дата добавления: 2014-12-19; просмотров: 90 | Поможем написать вашу работу | Нарушение авторских прав


lektsii.net - Лекции.Нет - 2014-2024 год. (0.008 сек.) Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав