160 Slackware Linux
160 Slackware Linux
Efektem polecenia i ptabl es -L jest:
Chain INPUT (policy DROP)
target |
prot opt source |
destination | ||
ACCEPT |
all -- |
anywhere |
anywhere | |
ACCEPT |
all -- |
anywhere |
anywhere | |
ACCEPT |
tcp -- |
anywhere |
anywhere |
State ESTABLISHED |
ACCEPT |
tcp -- |
anywhere |
anywhere |
State NEW tcp dpt:ftp |
ACCEPT |
tcp -- |
anywhere |
anywhere |
State NEW tcp |
dptidomain
[...]
Z kolei wydanie polecenia i ptabl es -L -v -n --1 i ne-numbers będzie miało następujący efekt:
Chain OUTPUT (policy ACCEPT 6197K packets, 4008M bytes)
num |
pkts bytes target |
prot opt in |
out |
source |
destination | |||
1 |
0 |
0 DROP |
tcp |
* |
ethl |
0.0.0.0/0 |
0.0.0.0/0 |
tcp dpt:445 |
2 |
0 |
0 DROP |
tcp |
* |
ethl |
0.0.0.0/0 |
0.0.0.0/0 |
tcp dpts:135:139 |
3 |
110K 7116K ACCEPT |
udp |
ethl |
0.0.0.0/0 |
0.0.0.0/0 |
udp dpt:53 | ||
4 |
13 |
377 ACCEPT |
udp |
__ 2 |
ethl |
0.0.0.0/0 |
0.0.0.0/0 |
udp dpt:37 |
5 |
2344 |
343K DROP |
udp |
__ 2 |
ethl |
0.0.0.0/0 |
0.0.0.0/0 |
udp dpts:0:2000 |
Znaczenie i opis nagłówków kolejnych kolumn wyświetlanej tabeli zostało umieszczone w tabeli 5.2.
Tabela 5.2. Znaczenie kolumn tabeli wyświetlanej w wyniku działania polecenia iptables -L
Nagłówek
kolumny
Znaczenie kolumny
Uzyskane z wydruku zawartości tablicy i ptabl es wartości liczników mogą posłużyć do generowania (na przykład za pomocą pakietu MRTG) statystyk ruchu w sieci lokalnej. Do wyodrębniania wartości liczników przydadzą się takie narzędzia jak grep, sed i awk; w razie konieczności utworzenia statystyk dla większej liczby komputerów bardziej opłacalne będzie jednak przygotowanie własnego programu (na przykład w języku C), przetwarzającego efekt działania polecenia i ptabl es -L w sposób znacznie szybszy. Więcej na temat generowania statystyk działania sieci przeczytasz w rozdziale 11.
Domyślna reguła przetwarzania pakietów to reguła, która jest wykonywana w momencie, gdy żadna z reguł wewnątrz łańcucha nie odpowiada przetwarzanemu pakietowi. W związku z tym domyślna reguła nie jest obwarowana żadnymi warunkami: jedynym jej parametrem jest nazwa celu reguły.
Aby zdefiniować domyślną regułę przetwarzania dla wybranego łańcucha, skorzystaj z opcji -P polecenia i ptabl es. Jej parametrami są: nazwa tablicy (podana w postaci opcji -t nazwa), nazwa łańcucha oraz nazwa celu.
Przykłady:
i ptabl es -P INPUT REJECT Ustalenie celu REJECT jako domyślnego dla łańcucha
INPUT tablicy fil ter (brak parametru -t).
i ptabl es -P -t nat Ustalenie celu ACCEPT jako domyślnego
POSTROUTING ACCEPT dla łańcucha POSTROUTING tablicy nat.
Zmieniając domyślną regułę — szczególnie łańcuchów INPUT i OUTPUT tablicy filter — należy uważać, by przypadkowo nie odciąć sobie możliwości zdalnego zalogowania się do serwera. W przypadku takiej pomyłki jedyną możliwością naprawienia błędu jest użycie lokalnej konsoli serwera. Z tego powodu warto cały czas mieć klawiaturę podłączoną do serwera — w razie problemów wystarczy połączyć monitor, aby zalogować się i poprawić konfigurację lub usunąć błędne zmiany.
Podłączanie klawiatury w czasie pracy serwera może skończyć się spaleniem układów odpowiedzialnych za jej obsługę. Z tego powodu przynajmniej na początku swojej kariery administratora nie odłączaj klawiatury od serwera — nawet jeżeli zamknąłeś go w szafie i chcesz nim administrować wyłącznie zdalnie.
Aby utworzyć własny łańcuch przetwarzania pakietów w ramach wybranej tablicy, należy skorzystać z opcji -N polecenia i ptabl es. Jej parametrem jest nazwa łańcucha oraz — opcjonalnie — nazwa tablicy, wewnątrz której ma zostać utworzony łańcuch (w postaci opcji -t).
num Kolejny numer reguły wewnątrz łańcucha.
pkts Licznik pakietów, którym odpowiadała ta reguła. Licznik jest zerowany
podczas tworzenia reguły lub ręcznego zerowania łańcucha.
bytes Licznik ilości danych, któiym odpowiadała ta reguła. Licznik jest zerowany
podczas tworzenia reguły lub ręcznego zerowania łańcucha.
target Cel reguły: nazwa jednego z domyślnych celów reguł lub stworzonego
przez administratora odrębnego łańcucha przetwarzania pakietów.
prot Symbol protokołu IP, któremu odpowiada dana reguła (all — dowolny).
opt Dodatkowe opcje związane z regułą.
i n Wejściowy interfejs sieciowy (interfejs, za pomocą którego pakiet został odebrany;
* — dowolny).
out Wyjściowy interfejs sieciowy (interfejs, którym pakiet ma zostać wysłany;
— dowolny).
source Źródłowy adres IP pakietu (0.0.0.0/0 — dowolny).
desti nati on Docelowy adres IP pakietu (0.0.0.0/0 — dowolny).
Dodatkowe opcje związane z regułą.