Iptables - Iptables

iptables
Оригинальный автор (ы)Расти Рассел
Разработчики)Основная команда Netfilter
изначальный выпуск1998
Стабильный выпуск
1.8.5 / 3 июня 2020 г.; 6 месяцев назад (2020-06-03)[1]
Репозиторий Отредактируйте это в Викиданных
Написано вC
Операционная системаLinux
ПлатформаNetfilter
ТипПакетная фильтрация
ЛицензияGPL
Интернет сайтwww.netfilter.org

iptables это пользовательское пространство служебная программа, которая позволяет Системный администратор настроить Правила фильтрации IP-пакетов из Ядро Linux брандмауэр, реализованные как разные Netfilter модули. Фильтры организованы в разные таблицы, которые содержат цепочки правил обработки пакетов сетевого трафика. В настоящее время для разных протоколов используются разные модули ядра и программы; iptables применяется к IPv4, ip6tables в IPv6, arptables к ARP, и ebtables к Кадры Ethernet.

iptables требует повышенных прав для работы и должен выполняться пользователем. корень, иначе он не сможет работать. В большинстве систем Linux iptables устанавливается как / usr / sbin / iptables и задокументировано в страницы руководства, который можно открыть с помощью человек iptables при установке. Его также можно найти в / sbin / iptables, но поскольку iptables больше похож на службу, чем на «основной двоичный файл», предпочтительное расположение остается / usr / sbin.

Период, термин iptables также обычно используется для обозначения компонентов уровня ядра. x_tables - это имя модуля ядра, несущего часть общего кода, используемую всеми четырьмя модулями, которая также предоставляет API, используемый для расширений; впоследствии, Xtables более или менее используется для обозначения всей архитектуры межсетевого экрана (v4, v6, arp и eb).

iptables заменены ipchains; а преемником iptables является столы, который был выпущен 19 января 2014 г.[2] и был объединен с Основная линия ядра Linux в версии ядра 3.13.

Обзор

iptables позволяет Системный администратор определять столы содержащий цепи из правила для обработки пакетов. Каждая таблица связана с разные виды обработки пакетов. Пакеты обрабатываются путем последовательного обхода правил в цепочках. Правило в цепочке может вызывать переход к другой цепочке или переход к другой цепочке, и это можно повторять на любом желаемом уровне вложенности. (Переход подобен «вызову», то есть запоминается точка, из которой был выполнен переход.) Каждый сетевой пакет, приходящий на компьютер или исходящий от него, проходит по крайней мере одну цепочку.

Пути потока пакетов. Пакеты начинаются с заданного ящика и в зависимости от обстоятельств будут течь по определенному пути.

Происхождение пакета определяет, через какую цепочку он проходит изначально. Есть пять предопределенные цепочки (отображение на пять доступных ловушек Netfilter), хотя в таблице могут быть не все цепочки. Предопределенные цепочки имеют политика, например DROP, который применяется к пакету, если он достигает конца цепочки. Системный администратор может создать любое количество других цепочек. У этих цепочек нет политики; если пакет достигает конца цепочки, он возвращается в цепочку, которая его вызвала. Цепочка может быть пустой.

  • ПЕРЕДАЧА: Пакеты войдут в эту цепочку до того, как будет принято решение о маршрутизации.
  • ВХОД: Пакет будет доставлен локально. Это не имеет ничего общего с процессами, имеющими открытый сокет; локальная доставка контролируется таблицей маршрутизации "local-delivery": ip route show table local.
  • ВПЕРЕД: Все пакеты, которые были маршрутизированы и не предназначались для локальной доставки, будут проходить через эту цепочку.
  • ВЫХОД: Пакеты, отправленные с самого устройства, будут посещать эту цепочку.
  • РАЗМЕЩЕНИЕ: Решение о маршрутизации принято. Пакеты попадают в эту цепочку непосредственно перед передачей их оборудованию.

Цепочка не существует сама по себе; он принадлежит стол. Есть три таблицы: нац, фильтр, и калечить. Если не указано иное -t, iptables команда касается фильтр таблица по умолчанию. Например, команда iptables -L -v -n, который показывает некоторые цепочки и их правила, эквивалентен iptables -t фильтр -L -v -n. Показать цепочки таблицы нац, используйте команду iptables -t нат -L -v -n

Каждое правило в цепочке содержит спецификацию, каким пакетам оно соответствует. Он также может содержать цель (используется для расширений) или приговор (одно из встроенных решений). По мере прохождения пакета по цепочке каждое правило проверяется по очереди. Если правило не соответствует пакету, пакет передается следующему правилу. Если правило действительно соответствует пакету, правило выполняет действие, указанное целью / вердиктом, что может привести к тому, что пакет будет разрешен для продолжения по цепочке, а может и не будет. Совпадения составляют большую часть наборов правил, поскольку они содержат условия, на которые проверяются пакеты. Это может произойти практически для любого слоя в OSI модель, например, то --mac-источник и -p tcp --dport параметры, а также есть совпадения, не зависящие от протокола, такие как -м время.

Пакет продолжает проходить цепочку до тех пор, пока

  1. правило соответствует пакету и решает окончательную судьбу пакета, например, путем вызова одного из ПРИНИМАТЬ или же УРОНИТЬ, или модуль, возвращающий такую ​​окончательную судьбу; или же
  2. правило называет ВОЗВРАЩАТЬСЯ вердикт, и в этом случае обработка возвращается в вызывающую цепочку; или же
  3. конец цепочки достигнут; обход либо продолжается в родительской цепочке (как если бы ВОЗВРАЩАТЬСЯ был использован), или используется политика базовой цепочки, которая в конечном итоге является судьбой.

Цели также возвращают вердикт вроде ПРИНИМАТЬ (NAT модули сделают это) или УРОНИТЬ (например, ОТКЛОНЯТЬ модуль), но также может означать ПРОДОЛЖИТЬ (например, БРЕВНО модуль; ПРОДОЛЖИТЬ - внутреннее имя), чтобы продолжить работу со следующим правилом, как если бы цель / вердикт не был указан вообще.

Утилиты пользовательского пространства

Внешние интерфейсы

Для iptables существует множество сторонних программных приложений, которые пытаются упростить настройку правил. Внешние интерфейсы в текстовый или графический режим позволяет пользователям генерировать простые наборы правил; скрипты обычно относятся к сценарии оболочки (но возможны и другие языки сценариев), которые вызывают iptables или (тем быстрее) iptables-восстановление с набором предопределенных правил или правил, расширенных из шаблона с помощью простого файла конфигурации. В дистрибутивах Linux обычно используется последняя схема использования шаблонов. Такой подход, основанный на шаблонах, является практически ограниченной формой генератора правил, и такие генераторы также существуют автономно, например, как веб-страницы PHP.

Такие интерфейсы, генераторы и сценарии часто ограничены их встроенными системами шаблонов и там, где шаблоны предлагают места для замены правил, определенных пользователем. Кроме того, сгенерированные правила обычно не оптимизированы для конкретного эффекта брандмауэра, который желает пользователь, поскольку это, вероятно, увеличит затраты на обслуживание для разработчика. Пользователям, которые достаточно разбираются в iptables и хотят оптимизировать свой набор правил, рекомендуется создать свой собственный набор правил.

Другие известные инструменты

  • FireHOL - сценарий оболочки, заключающий iptables в простой для понимания текстовый файл конфигурации
  • NuFW - расширение брандмауэра аутентификации для Netfilter
  • Shorewall - инструмент настройки шлюза / брандмауэра, позволяющий использовать более простые правила и отображать их в iptables

Смотрите также

Рекомендации

  1. ^ «Новости проекта netfilter / iptables». netfilter.org. 2020-06-12. Получено 2020-06-14.
  2. ^ «Linux 3.13, раздел 1.2. Nftables, преемник iptables». kernelnewbies.org. 2014-01-19. Получено 2014-01-20.

Литература

внешняя ссылка