Aug 01

iptables segédlet

Magyar nyelven, Firewall scripts Add comments

iptables láncok (chains):
 INPUT
 OUTPUT
 FORWARD

Az iptables a csomagokat a filter táblázatban az alábbi láncokban kezeli:
-Ha a csomag errol a szamitogeprol indul ki (egy olyan program generalta, amely erre a gepre lett telepitve) akkor a csomag CSAK az OUTPUT chain-be fog menni.
-Ha a csomag erre a gepre erkezik, akkor CSAK az INPUT chain-en halad keresztul.
-Ha a csomag valahova mashova megy, akkor CSAK a FORWARD chain-en fog keresztul haladni.

Tehat egy mashova meno csomag SOHA sem erinti az INPUT chaint, hasonloan egy tovabbitott csomag (forwarded packet) SOHA nem lesz benne az OUTPUT chain-ben.
Az iptables minden kapcsolatot nyilvantart amit a `cat /proc/net/ip_conntract` paranccsal lehet listazni.

Mikor es hogyan kell letrehozni es hasznalni egyedileg letrehozott chaineket?
A kovetkezo peldaban letre fogunk hozni egy sajat “mychain”-t annak erdekeben, hogy az INPUT es FORWARD chain-ek szinten felhasznaljak a szabalyait.


# iptables -N mychain
# iptables -A mychain -m state --state ESTABLISHED,RELATED -j ACCEPT
# ...tovabbi tuzfal szabalyok...
# iptables -A mychain -j DROP
# iptables -A INPUT -j mychain
# iptables -A FORWARD -j mychain

Ezzel a modszerrel azt ertuk el, hogy nem kell kulon programozni az INPUT es FORWARD chaineket, hanem felhasznaljak az uj “mychain” szabalyait.

A tuzfalak rendszerint legalabb ket halozati kartyat tartalmaznak. Az egyik az internet fele, a tobbi pedig a lokalis halozatnak biztositja az eleresi feluletet. Ha egy csomag a kulso illeszton keresztul beerkezik azt lehet, hogy tovabbitani kell a helyi halozat fele (FORWARD chain), ami a halozat szempontjabol INPUT chain. Ezert tehat elkepzelheto, hogy egy csomag vezerlesehez tobb szabalyra van szukseg.

Az iptables az alabbi tablakat tartalmazza (`cat /proc/net/ip_tables_names`):

  • A “filter” az elso es alapertelmezett tabla, amely tartalmazza az INPUT (a gepre cimzett csomagok), OUTPUT (lokalisan generalt csomagok), es FORWARD (a gepen keresztul routolando csomagok) lancokat.
  • A “nat” tablaban olyan csomagok vannak amelyek uj kapcsolatokat hoztak letre. A nat tabla harom alapertelmezett lancot tartalmaz. Ezek PREROUTING (az eppen beerkezo csomagok megvaltoztatasara), OUTPUT (helyileg generalt csomagok routolas elotti megvaltoztatasara) es POSTROUTING (a gepet eppen elhagyo csomagok megvaltoztatasara) lancok.
  • A “mangle” tabla a csomagok specialis megvaltoztatasara van fenntartva. Lancai a PREROUTING (beerkezo csomagok routolas elotti modositasara) es OUTPUT (lokalisan generalt csomagok megvaltoztatasara).

További hasznos iptables parancsok:

# iptables -t nat -L -n (Nem kell idot vesztegetni a DNS lekereshez a helyi cimek forditasahoz: -n )
# iptables -p tcp --help
# iptables -m state --help
# iptables -j LOG --help

MEGJ. Ezt a cikket Hauser István írta, először 2005 május. 23.-án.

Leave a Reply

You must be logged in to post a comment.

WebSite Powered by webHauser
Entries RSS Comments RSS Login