Налаштування iptables, поради, рекомендації для чайників
утиліта командного рядка iptables, про яку піде мова в статті, це стандартний інтерфейс, який використовується для управління роботою брандмауера netfilter. Це все є актуальним, якщо на комп`ютері встановлена система Linux версій 2.4 та 2.6. Говорячи простіше, настройка iptables допомагає керувати фаєрволом, але для її використання потрібні права суперкористувача. Незважаючи на те, що поняття різні, дуже часто, розповідаючи про них, люди мають на увазі одне й те саме. Але це далеко не так.
Звичайні рядові користувачі напевно чули поняття, про які йде мова, але що вони означають і для чого потрібні, для деяких незрозуміло. Отже, через кожен комп`ютер, підключений до інтернету, відбуваються різноманітні мережеві пакети, які треба контролювати. Цим і займається міжмережевий екран. Це програмні засоби, що діють на різних рівнях OSI. Вони працюють відповідно до зазначеного завданням і обраним дією.
Відео: Nvidia GeForce 9800 GT
Головна і основна задача мережевого екрану - це захист від недозволеного доступу окремих вузлів і цілих комп`ютерних мереж. Вони грають роль фільтрів (їх так і називають): перевіряють і сортують мережеві пакети за критеріями, які визначає система. Створюється таке враження, що вони проходять послідовний ланцюжок дій. На ділі це так і є. Налаштування iptables допомагає користувачеві застосувати всі встановлені правила, під якими маються на увазі такі дії:
- Перевірка пакету на відповідність.
- Застосування потрібного дії.
Дією вважається як звичайна рядова операція, наприклад, ACCEPT, так і виконання внутрішнього переходу з одного ланцюжка в іншу. Як все це робити, можна знайти в будь-якій інструкції налаштувань iptables для чайників. Більш просунуті користувачі знають, що самі дії бувають двох видів: термінальні та нетермінальні. Головне призначення перших - це припинення пакетної обробки в межах базової ланцюжка, наприклад, REJECT. Другі, навпаки, не припиняють обробляти пакет, припустимо, MARK, TOS, доводять перевірку до логічного кінця. У разі, коли дані проходять весь ланцюжок і до них не застосовується жодна дія, це означає тільки те, що все відбувається в режимі за замовчуванням (встановлений як основний)
Звичайна настройка iptables передбачає три основних види таблиць при роботі утиліти:
- Mangle - найчастіше використовують, коли треба внести зміни в назву пакета. Прикладом може послужити зміна бітів TOS.
- Nat - ланцюжок для показу мережевої адреси. Може бути виконана тільки в межах іншої. Ніяку фільтрацію проводити не можна, якщо тільки у виняткових випадках.
- Filter - через неї проходять всі вхідні пакети, і немає ніякої різниці, з якого інтерфейсу вони слідують. Іншими словами, ланцюжок фільтрує трафік.
Всіх користувачів більше цікавить третя таблиця. У ній працюють три ланцюжки. Перша - для вхідних пакетів - INPUT, друга - для йдуть через один комп`ютер до іншого - FORWARD, і третя - для вихідних - OUTPUT. За діючими правилами, будь-який пакет, пройшовши весь шлях, або пропускається, або ні.
Всі діючі правила настроювання iptables Ubuntu дозволяє редагувати так, як завгодно користувачеві. Робиться це введенням певних команд в термінал. Рядок, яка містить визначають пакет критерії, і є закон. Орієнтовна запис правила така: iptables [-t ім`я-таблиці] команда [шаблон] [-j дію]. Тут t дає вказівку, який вид таблиці буде, якщо ж її немає, пропонується ланцюжок за замовчуванням (filter). Коли користувач передбачає інший вид, його треба ввести вручну. Команда повинна стояти відразу за ім`ям. Якщо такого немає, вона стоїть на першому місці. Дія визначає настройка iptables. Найпоширенішими є такі, як ACCEPT (пропуск пакету, перегляд завершено), DROP (не пропускати, мовчки викинути, дія закінчується не тільки для одного ланцюжка, а й для всіх інших).