Действия

Road to sysadmin: различия между версиями

Материал из lulzette's wiki

Нет описания правки
 
(не показаны 24 промежуточные версии этого же участника)
Строка 1: Строка 1:
Что надо знать?
= iptables =
= iptables =


Практически копипаст статьи: https://losst.ru/nastrojka-iptables-dlya-chajnikov
[[Iptables]]
 
Годно: https://www.opennet.ru/docs/RUS/iptables/
 
Годный видик: https://youtu.be/SYM5MvV4VIk
 
[[Файл:Netfilter-diagram-rus.png|300px|thumb|right|netfilter dia]]
 
== Цепочки ==
 
Есть несколько цепочек: Input, forward, output, prerouting и postrouting. В каждой цепочке есть таблицы:
 
* prerouting - пакет только вышел из интерфейса и направляется в систему (raw, conntrack, mangle, nat)
* input - пакет на пути из системы в приложение (mangle, filter, conntrack)
* forward - пакет проходит через систему (обычно маршрутизация) (mangle, filter)
* output - пакет вышел из приложения и подходит к выходу из системы (raw, conntrack, mangle, nat, filter)
* postrouting - конечная станция, пакет выходит из системы в интерфейс (mangle, nat, conntrack)
 
Нагляднее будет на картинке справа.
 
== Таблицы ==
{{#spoiler:
Над цепочками правил в iptables есть еще один уровень абстракции, и это таблицы. В системе есть несколько таблиц, и все они имеют стандартный набор цепочек input, forward и output. Таблицы предназначены для выполнения разных действий над пакетами, например для модификации или фильтрации. Сейчас это для вас не так важно и будет достаточно знать что фильтрация пакетов iptables осуществляется в таблице filter
}}
 
* raw - предназначена для работы с сырыми пакетами, пока они еще не прошли обработку; (маркировка пакетов) - output, prerouting
* mangle - предназначена для модификации пакетов; (модификация TTL или TOS, например)
* nat - обеспечивает работу nat, если вы хотите использовать компьютер в качестве маршрутизатора; ()
* filter - основная таблица для фильтрации пакетов, используется по умолчанию. (ограничение или разрешение доступа, собсна правила, которые ниже)


== ПРАВИЛА И ДЕЙСТВИЯ ==
= ip =
[[IP utility (Linux)]]


* ACCEPT - разрешить прохождение пакета дальше по цепочке правил;
= сети =
* DROP - удалить пакет;
* REJECT - отклонить пакет, отправителю будет отправлено сообщение, что пакет был отклонен;
* LOG - сделать запись о пакете в лог файл;
* QUEUE - отправить пакет пользовательскому приложению.


== syntax ==
[[сети]]
 
Осталось рассмотреть основные действия, которые позволяет выполнить iptables:
<source>
-A - добавить правило в цепочку; <code>-A, --append chain rule-specification</code>
-С - проверить все правила;
-D - удалить правило;
-I - вставить правило с нужным номером;
-L - вывести все правила в текущей цепочке;
-S - вывести все правила;
-F - очистить все правила;
-N - создать цепочку;
-X - удалить цепочку;
-P - установить действие по умолчанию.
Дополнительные опции для правил:
 
-p - указать протокол, один из tcp, udp, udplite, icmp, icmpv6,esp, ah, sctp,
mh;
-s - указать ip адрес устройства-отправителя пакета;
-d - указать ip адрес получателя;
-i - входной сетевой интерфейс;
-o - исходящий сетевой интерфейс;
-j - выбрать действие, если правило подошло.
</source>
 
== примеры ==
 
Вот так будет выглядеть команда, которая позволяет добавить правило iptables для блокировки всех входящих пакетов от 10.10.10.10:
 
<code>sudo iptables -A INPUT -s 10.10.10.10 -j DROP</code>


= tcpdump =
= tcpdump =


Простая штука с помощью которой можно анализировать трафик.
[[Tcpdump (Linux)]]


<code>-n</code> - IP вместо DNS
= strace =
 
* src/dst/host - хост
* [src/dst] port - порт
* ether broadcast - бродкасты
* icmp - icmp


cool stuff: https://hackertarget.com/tcpdump-examples/
[[Strace (Linux)]]


= strace =
= SQL =


* <code>strace -e *syscall*</code> - вывести только вызовы определенного syscall
[[SQL]]

Текущая версия от 12:54, 16 февраля 2021

Что надо знать?

iptables

Iptables

ip

IP utility (Linux)

сети

сети

tcpdump

Tcpdump (Linux)

strace

Strace (Linux)

SQL

SQL