158 Slackware Linux
Tabela 5.1. Najczęściej stosowane standardowe cele pakietu iptables
Nazwa celu |
Opis |
ACCEPT |
Powoduje zaakceptowanie pakietu i przerwanie dalszego przetwarzania reguł. |
DROP |
Powoduje odrzucenie pakietu bez jakiejkolwiek informacji zwrotnej i przerwanie dalszego przetwarzania reguł. |
REJECT |
Powoduje odrzucenie pakietu z informacją zwrotną na ten temat i przerwanie dalszego przetwarzania reguł. |
LOG |
Powoduje zarejestrowanie pakietu w logu systemowym oraz kontynuowanie przetwarzania reguł. Aby zarejestrowany pakiet odrzucić lub zaakceptować, zaraz za regułą powodującą skok do celu LOG należy umieścić regułę nakazującą dla takich samych warunków skok do celu ACCEPT, DROP lub REJECT. |
ULOG |
Powoduje przesłanie pakietu odrębnym gniazdem komunikacyjnym z trybu jądra do trybu użytkownika (co umożliwia przetwarzanie pakietów wyodrębnionych przez zaporę sieciową procesom działającym w trybie użytkownika) oraz kontynuowanie przetwarzania reguł. Aby zarejestrowany pakiet odrzucić lub zaakceptować, zaraz za regułą powodującą skok do celu ULOG należy umieścić regułę nakazującą dla takich samych warunków skok do celu ACCEPT, DROP lub REJECT. |
DNAT |
Aktywuje mechanizm translacji docelowego adresu lub numeru portu. Ten cel dostępny jest tylko w tablicy nat, w łańcuchach PREROUTING oraz OUTPUT i powoduje zapamiętanie informacji o translacji w strukturze danych odpowiadającej połączeniu TCP, dzięki czemu transmitowane pakiety należące do tego samego połączenia będą również podlegały translacji. |
SNAT |
Aktywuje mechanizm translacji źródłowego adresu lub numeru portu. Ten cel dostępny jest tylko w tablicy nat, w łańcuchu POSTROUTING i powoduje zapamiętanie informacji o translacji w strukturze danych odpowiadającej połączeniu TCP, dzięki czemu transmitowane pakiety należące do tego samego połączenia będą również podlegały translacji. |
HASOUERADE |
Odpowiada celowi SNAT (z takimi samymi ograniczeniami), dokonuje jednak wyłącznie translacji adresów z wykorzystaniem adresu IP interfejsu publicznego (służącego do komunikacji z Internetem) i w momencie utraty połączenia zrywa natychmiast wszystkie połączenia, ponieważ kolejne z nich może mieć przypisany już inny adres publiczny. Dlatego też stosowany powinien być tylko w przypadku, kiedy kilka komputerów współdzieli połączenie nawiązywane na żądanie (na przykład modemowe) — w przypadku stałych łącz internetowych z niezmiennym adresem IP należy stosować znacznie bardziej uniwersalny cel SNAT. |
REOIRECT |
Zmienia adres docelowy pakietu na adres interfejsu lokalnego (127.0.0.1) i modyfikuje numer portu docelowego na podany w regule jako parametr (parametr - -to-ports; możliwe jest podanie zakresu numerów portów docelowych). Mechanizm ten umożliwia realizację przezroczystego pośrednictwa w transmisji sieciowej (ang. transparent proxy) z wykorzystaniem oprogramowania serwera pośredniczącego, rezydującego na komputerze-bramce sieciowej. |
Przykłady:
i pt a bies -F -t fil ter Wyczyszczenie wszystkich łańcuchów
przetwarzania pakietów w tablicy fi 1 ter.
iptables -F -t nat PREROUTING Wyczyszczenie łańcucha PREROUTING
tablicy nat.
Z każdym łańcuchem oraz regułą filtrowania pakietów powiązany jest licznik trafień, ilustrujący liczbę pakietów (oraz ilość danych, w bajtach), które zostały przetworzone przez daną regułę lub łańcuch. Należy pamiętać, że wartości licznika pakietów powiązanego z łańcuchem odpowiadają liczbie pakietów, którym nie odpowiada żadna z reguł tego łańcucha i w stosunku do których zastosowana została domyślna reguła filtrowania.
Aby w dowolnym momencie wyzerować liczniki związane z wybraną tablicą lub jednym łańcuchem tablicy, należy skorzystać z opcji -Z polecenia iptables. Parametrem może być albo sama nazwa tablicy (podana w postaci opcji -t) — w takim przypadku zerowane są liczniki wszystkich łańcuchów w danej tablicy — lub też nazwa tablicy wzbogacona o nazwę konkretnego łańcucha.
Przykłady:
iptables -Z -t fil ter Wyzerowanie liczników wszystkich łańcuchów
przetwarzania pakietów w tablicy fil ter.
iptables -Z -t nat PREROUTING Wyzerowanie liczników związanych
z łańcuchem PREROUTING tablicy nat oraz wszystkimi regułami przetwarzania pakietów umieszczonych w tym łańcuchu.
Do podglądania stanu wybranej tablicy przetwarzania pakietów służy opcja -L polecenia iptables. Dodatkowe, nieobowiązkowe opcje to:
♦ -t tabl i ca, wybierająca wyświetlaną tablicę (w razie braku tej opcji wybierana jest — tak samo, jak w przypadku innych opcji polecenia i ptabl es — tablica
fil ter);
♦ -v, uaktywniająca wyświetlanie większej ilości informacji na temat każdej reguły (w tym wartości liczników powiązanych z regułami filtrowania pakietów);
♦ -n, blokująca przetwarzanie adresów IP oraz numerów portów na nazwy DNS komputerów oraz nazwy usług sieciowych;
♦ -x, blokująca zaokrąglanie dużych wartości liczników i wymuszająca wyświetlanie ich dokładnej wartości;
♦ --1 ine-numbers, uaktywniająca wyświetlanie kolejnych numerów reguł przetwarzania pakietów w każdym łańcuchu; może się okazać przydatna w czasie usuwania wybranych reguł lub zastępowania ich innymi.