7 (522)

7 (522)



158 Slackware Linux

Tabela 5.1. Najczęściej stosowane standardowe cele pakietu iptables

Nazwa celu

Opis

ACCEPT

Powoduje zaakceptowanie pakietu i przerwanie dalszego przetwarzania reguł.

DROP

Powoduje odrzucenie pakietu bez jakiejkolwiek informacji zwrotnej i przerwanie dalszego przetwarzania reguł.

REJECT

Powoduje odrzucenie pakietu z informacją zwrotną na ten temat i przerwanie dalszego przetwarzania reguł.

LOG

Powoduje zarejestrowanie pakietu w logu systemowym oraz kontynuowanie przetwarzania reguł. Aby zarejestrowany pakiet odrzucić lub zaakceptować, zaraz za regułą powodującą skok do celu LOG należy umieścić regułę nakazującą dla takich samych warunków skok do celu ACCEPT, DROP lub REJECT.

ULOG

Powoduje przesłanie pakietu odrębnym gniazdem komunikacyjnym z trybu jądra do trybu użytkownika (co umożliwia przetwarzanie pakietów wyodrębnionych przez zaporę sieciową procesom działającym w trybie użytkownika) oraz kontynuowanie przetwarzania reguł. Aby zarejestrowany pakiet odrzucić lub zaakceptować, zaraz za regułą powodującą skok do celu ULOG należy umieścić regułę nakazującą dla takich samych warunków skok do celu ACCEPT, DROP lub REJECT.

DNAT

Aktywuje mechanizm translacji docelowego adresu lub numeru portu. Ten cel dostępny jest tylko w tablicy nat, w łańcuchach PREROUTING oraz OUTPUT i powoduje zapamiętanie informacji o translacji w strukturze danych odpowiadającej połączeniu TCP, dzięki czemu transmitowane pakiety należące do tego samego połączenia będą również podlegały translacji.

SNAT

Aktywuje mechanizm translacji źródłowego adresu lub numeru portu. Ten cel dostępny jest tylko w tablicy nat, w łańcuchu POSTROUTING i powoduje zapamiętanie informacji o translacji w strukturze danych odpowiadającej połączeniu TCP, dzięki czemu transmitowane pakiety należące do tego samego połączenia będą również podlegały translacji.

HASOUERADE

Odpowiada celowi SNAT (z takimi samymi ograniczeniami), dokonuje jednak wyłącznie translacji adresów z wykorzystaniem adresu IP interfejsu publicznego (służącego do komunikacji z Internetem) i w momencie utraty połączenia zrywa natychmiast wszystkie połączenia, ponieważ kolejne z nich może mieć przypisany już inny adres publiczny. Dlatego też stosowany powinien być tylko w przypadku, kiedy kilka komputerów współdzieli połączenie nawiązywane na żądanie (na przykład modemowe) — w przypadku stałych łącz internetowych z niezmiennym adresem IP należy stosować znacznie bardziej uniwersalny cel SNAT.

REOIRECT

Zmienia adres docelowy pakietu na adres interfejsu lokalnego (127.0.0.1) i modyfikuje numer portu docelowego na podany w regule jako parametr (parametr - -to-ports; możliwe jest podanie zakresu numerów portów docelowych). Mechanizm ten umożliwia realizację przezroczystego pośrednictwa w transmisji sieciowej (ang. transparent proxy) z wykorzystaniem oprogramowania serwera pośredniczącego, rezydującego na komputerze-bramce sieciowej.

Przykłady:

i pt a bies -F -t fil ter    Wyczyszczenie wszystkich łańcuchów

przetwarzania pakietów w tablicy fi 1 ter.

iptables -F -t nat PREROUTING Wyczyszczenie łańcucha PREROUTING

tablicy nat.

Zerowanie liczników łańcuchów

Z każdym łańcuchem oraz regułą filtrowania pakietów powiązany jest licznik trafień, ilustrujący liczbę pakietów (oraz ilość danych, w bajtach), które zostały przetworzone przez daną regułę lub łańcuch. Należy pamiętać, że wartości licznika pakietów powiązanego z łańcuchem odpowiadają liczbie pakietów, którym nie odpowiada żadna z reguł tego łańcucha i w stosunku do których zastosowana została domyślna reguła filtrowania.

Aby w dowolnym momencie wyzerować liczniki związane z wybraną tablicą lub jednym łańcuchem tablicy, należy skorzystać z opcji -Z polecenia iptables. Parametrem może być albo sama nazwa tablicy (podana w postaci opcji -t) — w takim przypadku zerowane są liczniki wszystkich łańcuchów w danej tablicy — lub też nazwa tablicy wzbogacona o nazwę konkretnego łańcucha.

Przykłady:

iptables -Z -t fil ter    Wyzerowanie liczników wszystkich łańcuchów

przetwarzania pakietów w tablicy fil ter.

iptables -Z -t nat PREROUTING Wyzerowanie liczników związanych

z łańcuchem PREROUTING tablicy nat oraz wszystkimi regułami przetwarzania pakietów umieszczonych w tym łańcuchu.

Wyświetlanie listy reguł

Do podglądania stanu wybranej tablicy przetwarzania pakietów służy opcja -L polecenia iptables. Dodatkowe, nieobowiązkowe opcje to:

♦    -t tabl i ca, wybierająca wyświetlaną tablicę (w razie braku tej opcji wybierana jest — tak samo, jak w przypadku innych opcji polecenia i ptabl es — tablica

fil ter);

♦    -v, uaktywniająca wyświetlanie większej ilości informacji na temat każdej reguły (w tym wartości liczników powiązanych z regułami filtrowania pakietów);

♦    -n, blokująca przetwarzanie adresów IP oraz numerów portów na nazwy DNS komputerów oraz nazwy usług sieciowych;

♦    -x, blokująca zaokrąglanie dużych wartości liczników i wymuszająca wyświetlanie ich dokładnej wartości;

♦    --1 ine-numbers, uaktywniająca wyświetlanie kolejnych numerów reguł przetwarzania pakietów w każdym łańcuchu; może się okazać przydatna w czasie usuwania wybranych reguł lub zastępowania ich innymi.



Wyszukiwarka

Podobne podstrony:
13359 Image31 (4) ProgramowanieCzęść 3 t Najczęściej stosowane, standardowe pliki nagłówkowe udostęp
cz3 Programowanieymumuma]^W IMlD ©    c* Najczęściej stosowane, standardowe pliki
Najczęściej stosowane notacje graficzne dla diagramu DFD przedstawia tabela 11. Tabela 1. Notacje st
09 Tabela 10.7. Skład najczęściej stosowanych buforów do elektroforezy Bufor Roztwór
2011 11 11;19;46 Tabela 1 Charakterystyka i podział masztowych kolejek linowych + + - najczęściej s
DSC08214 Materiały Ciecze transmisyjne Tabela 2: Skrót najczęściej stosowanych płynów wypełniających
PrepOrg cz I 6 - 96 - Tabela II.3 Charakterystyka najczęściej stosowanych typów kolumn
img113 3 Tabela 4.13. Najczęściej stosowane złoża <lo chrumafogiNni oilil/iulywań hydrofobowych (
Kamera fotograficzna RC-30 Standardowy wymiar 23 x 23 cm Najczęściej stosowane ogniskowe: 152 m
szerokie zastosowanie w statystyce matematycznej odchylenie standardowe jest najczęściej stosowaną m
CCF20120214000 Tabela 14.4. Najczęściej stosowane preparaty

więcej podobnych podstron