Road to sysadmin: различия между версиями
Материал из lulzette's wiki
Losted (обсуждение | вклад) |
Losted (обсуждение | вклад) |
||
| Строка 23: | Строка 23: | ||
}} | }} | ||
* raw - предназначена для работы с сырыми пакетами, пока они еще не прошли обработку; | * raw - предназначена для работы с сырыми пакетами, пока они еще не прошли обработку; (маркировка пакетов) - output, prerouting | ||
* mangle - предназначена для модификации пакетов; | * mangle - предназначена для модификации пакетов; (модификация TTL или TOS, например) | ||
* nat - обеспечивает работу nat, если вы хотите использовать компьютер в качестве маршрутизатора; | * nat - обеспечивает работу nat, если вы хотите использовать компьютер в качестве маршрутизатора; () | ||
* filter - основная таблица для фильтрации пакетов, используется по умолчанию. | * filter - основная таблица для фильтрации пакетов, используется по умолчанию. (ограничение или разрешение доступа, собсна правила, которые ниже) | ||
== ПРАВИЛА И ДЕЙСТВИЯ == | == ПРАВИЛА И ДЕЙСТВИЯ == | ||
Версия от 03:33, 31 декабря 2020
iptables
Практически копипаст статьи: https://losst.ru/nastrojka-iptables-dlya-chajnikov
Годно: https://www.opennet.ru/docs/RUS/iptables/
Годный видик: https://youtu.be/SYM5MvV4VIk
Цепочки
Есть несколько цепочек: Input, forward, output (очевидно), а также prerouting и postrouting:
- prerouting - в эту цепочку пакет попадает перед обработкой iptables, система еще не знает куда он будет отправлен, в input, output или forward;
- postrouting - сюда попадают все проходящие пакеты, которые уже прошли цепочку forward
Нагляднее будет на картинке справа. В каждой цепочке есть таблицы.
Таблицы
- raw - предназначена для работы с сырыми пакетами, пока они еще не прошли обработку; (маркировка пакетов) - output, prerouting
- mangle - предназначена для модификации пакетов; (модификация TTL или TOS, например)
- nat - обеспечивает работу nat, если вы хотите использовать компьютер в качестве маршрутизатора; ()
- filter - основная таблица для фильтрации пакетов, используется по умолчанию. (ограничение или разрешение доступа, собсна правила, которые ниже)
ПРАВИЛА И ДЕЙСТВИЯ
- ACCEPT - разрешить прохождение пакета дальше по цепочке правил;
- DROP - удалить пакет;
- REJECT - отклонить пакет, отправителю будет отправлено сообщение, что пакет был отклонен;
- LOG - сделать запись о пакете в лог файл;
- QUEUE - отправить пакет пользовательскому приложению.
syntax
Осталось рассмотреть основные действия, которые позволяет выполнить iptables:
-A - добавить правило в цепочку; <code>-A, --append chain rule-specification</code>
-С - проверить все правила;
-D - удалить правило;
-I - вставить правило с нужным номером;
-L - вывести все правила в текущей цепочке;
-S - вывести все правила;
-F - очистить все правила;
-N - создать цепочку;
-X - удалить цепочку;
-P - установить действие по умолчанию.
Дополнительные опции для правил:
-p - указать протокол, один из tcp, udp, udplite, icmp, icmpv6,esp, ah, sctp,
mh;
-s - указать ip адрес устройства-отправителя пакета;
-d - указать ip адрес получателя;
-i - входной сетевой интерфейс;
-o - исходящий сетевой интерфейс;
-j - выбрать действие, если правило подошло.примеры
Вот так будет выглядеть команда, которая позволяет добавить правило iptables для блокировки всех входящих пакетов от 10.10.10.10:
sudo iptables -A INPUT -s 10.10.10.10 -j DROP
tcpdump
Простая штука с помощью которой можно анализировать трафик.
-n - IP вместо DNS
- src/dst/host - хост
- [src/dst] port - порт
- ether broadcast - бродкасты
- icmp - icmp
cool stuff: https://hackertarget.com/tcpdump-examples/
strace
strace -e *syscall*- вывести только вызовы определенного syscall