8 (472)

8 (472)



160 Slackware Linux

160 Slackware Linux

Efektem polecenia i ptabl es -L jest:

Chain INPUT (policy DROP)

target

prot opt source

destination

ACCEPT

all --

anywhere

anywhere

ACCEPT

all --

anywhere

anywhere

ACCEPT

tcp --

anywhere

anywhere

State ESTABLISHED

ACCEPT

tcp --

anywhere

anywhere

State NEW tcp dpt:ftp

ACCEPT

tcp --

anywhere

anywhere

State NEW tcp

dptidomain

[...]


Z kolei wydanie polecenia i ptabl es -L -v -n --1 i ne-numbers będzie miało następujący efekt:

Chain OUTPUT (policy ACCEPT 6197K packets, 4008M bytes)

num

pkts bytes target

prot opt in

out

source

destination

1

0

0 DROP

tcp

*

ethl

0.0.0.0/0

0.0.0.0/0

tcp dpt:445

2

0

0 DROP

tcp

*

ethl

0.0.0.0/0

0.0.0.0/0

tcp dpts:135:139

3

110K 7116K ACCEPT

udp

__ 1 2

ethl

0.0.0.0/0

0.0.0.0/0

udp dpt:53

4

13

377 ACCEPT

udp

__ 2

ethl

0.0.0.0/0

0.0.0.0/0

udp dpt:37

5

2344

343K DROP

udp

__ 2

ethl

0.0.0.0/0

0.0.0.0/0

udp dpts:0:2000

Znaczenie i opis nagłówków kolejnych kolumn wyświetlanej tabeli zostało umieszczone w tabeli 5.2.

Tabela 5.2. Znaczenie kolumn tabeli wyświetlanej w wyniku działania polecenia iptables -L

Nagłówek

kolumny


Znaczenie kolumny


Uzyskane z wydruku zawartości tablicy i ptabl es wartości liczników mogą posłużyć do generowania (na przykład za pomocą pakietu MRTG) statystyk ruchu w sieci lokalnej. Do wyodrębniania wartości liczników przydadzą się takie narzędzia jak grep, sed i awk; w razie konieczności utworzenia statystyk dla większej liczby komputerów bardziej opłacalne będzie jednak przygotowanie własnego programu (na przykład w języku C), przetwarzającego efekt działania polecenia i ptabl es -L w sposób znacznie szybszy. Więcej na temat generowania statystyk działania sieci przeczytasz w rozdziale 11.


Ustalanie domyślnej reguły przetwarzania pakietów

Domyślna reguła przetwarzania pakietów to reguła, która jest wykonywana w momencie, gdy żadna z reguł wewnątrz łańcucha nie odpowiada przetwarzanemu pakietowi. W związku z tym domyślna reguła nie jest obwarowana żadnymi warunkami: jedynym jej parametrem jest nazwa celu reguły.

Aby zdefiniować domyślną regułę przetwarzania dla wybranego łańcucha, skorzystaj z opcji -P polecenia i ptabl es. Jej parametrami są: nazwa tablicy (podana w postaci opcji -t nazwa), nazwa łańcucha oraz nazwa celu.

Przykłady:

i ptabl es -P INPUT REJECT Ustalenie celu REJECT jako domyślnego dla łańcucha

INPUT tablicy fil ter (brak parametru -t).

i ptabl es -P -t nat    Ustalenie celu ACCEPT jako domyślnego

POSTROUTING ACCEPT    dla łańcucha POSTROUTING tablicy nat.



Zmieniając domyślną regułę — szczególnie łańcuchów INPUT i OUTPUT tablicy filter — należy uważać, by przypadkowo nie odciąć sobie możliwości zdalnego zalogowania się do serwera. W przypadku takiej pomyłki jedyną możliwością naprawienia błędu jest użycie lokalnej konsoli serwera. Z tego powodu warto cały czas mieć klawiaturę podłączoną do serwera — w razie problemów wystarczy połączyć monitor, aby zalogować się i poprawić konfigurację lub usunąć błędne zmiany.


Podłączanie klawiatury w czasie pracy serwera może skończyć się spaleniem układów odpowiedzialnych za jej obsługę. Z tego powodu przynajmniej na początku swojej kariery administratora nie odłączaj klawiatury od serwera — nawet jeżeli zamknąłeś go w szafie i chcesz nim administrować wyłącznie zdalnie.


Tworzenie i niszczenie własnych łańcuchów przetwarzania pakietów

Aby utworzyć własny łańcuch przetwarzania pakietów w ramach wybranej tablicy, należy skorzystać z opcji -N polecenia i ptabl es. Jej parametrem jest nazwa łańcucha oraz — opcjonalnie — nazwa tablicy, wewnątrz której ma zostać utworzony łańcuch (w postaci opcji -t).

1

num    Kolejny numer reguły wewnątrz łańcucha.

pkts    Licznik pakietów, którym odpowiadała ta reguła. Licznik jest zerowany

podczas tworzenia reguły lub ręcznego zerowania łańcucha.

bytes    Licznik ilości danych, któiym odpowiadała ta reguła. Licznik jest zerowany

podczas tworzenia reguły lub ręcznego zerowania łańcucha.

target    Cel reguły: nazwa jednego z domyślnych celów reguł lub stworzonego

przez administratora odrębnego łańcucha przetwarzania pakietów.

prot    Symbol protokołu IP, któremu odpowiada dana reguła (all — dowolny).

opt    Dodatkowe opcje związane z regułą.

i n    Wejściowy interfejs sieciowy (interfejs, za pomocą którego pakiet został odebrany;

*    — dowolny).

out    Wyjściowy interfejs sieciowy (interfejs, którym pakiet ma zostać wysłany;

2

   — dowolny).

source    Źródłowy adres IP pakietu (0.0.0.0/0 — dowolny).

desti nati on    Docelowy adres IP pakietu (0.0.0.0/0 — dowolny).

Dodatkowe opcje związane z regułą.


Wyszukiwarka

Podobne podstrony:
s372 372 Poznaj Linux Powyższe polecenie spowoduje utworzenie wykonywalnego pliku o nazwie cr.azwa p
s372 372 Poznaj Linux Powyższe polecenie spowoduje utworzenie wykonywalnego pliku o nazwie cr.azwa p
s372 372 Poznaj Linux Powyższe polecenie spowoduje utworzenie wykonywalnego pliku o nazwie cr.azwa p
IV - Wprowadzenie do Systemów Operacyjnych UNIX i LINUX Każde z wymienionych trzech praw jest defini
Klastry Klastry wydajnościowe: • LVS Linux Virtual Server Projekt LVS jest rozwinięciem idei budowy
Helion Linux Komendy i polecenia Wydanie III m LEKSYKON KIESZONKOWY/!KOMENDY I POLECENIA Wydani
160 WOJCIECH MATERSKI Dodatkową, zupełnie inną kwestią jest traktowanie dokonanych na terenie byłych
12. Podstawowe operacje w systemie Unix/Linux -    Przegląd poleceń powłoki systemu.
57843 neonatologia6 160 Resuscytacja noworodków Najważniejszą częścią aparatu Ambu jest maska twarz
12. Podstawowe operacje w systemie Unix/Linux -    Przegląd poleceń powłoki systemu.
s14(1) LIBERALIZM 160 W perspektywie bezpieczeństwa ludzkiego przedmiotem referencyjnym bezpieczeńst

więcej podobnych podstron