Road to sysadmin: различия между версиями
Материал из lulzette's wiki
Losted (обсуждение | вклад) (Новая страница: «= iptables = Практически копипаст статьи: https://losst.ru/nastrojka-iptables-dlya-chajnikov == цепочки == Input, forward, outp...») |
Losted (обсуждение | вклад) (→syntax) |
||
| Строка 52: | Строка 52: | ||
-j - выбрать действие, если правило подошло. | -j - выбрать действие, если правило подошло. | ||
</source> | </source> | ||
= strace = | |||
* <code>strace -e *syscall*</code> - вывести только вызовы определенного syscall | |||
Версия от 18:10, 26 декабря 2020
iptables
Практически копипаст статьи: https://losst.ru/nastrojka-iptables-dlya-chajnikov
цепочки
Input, forward, output
- prerouting - в эту цепочку пакет попадает перед обработкой iptables, система еще не знает куда он будет отправлен, в input, output или forward;
- postrouting - сюда попадают все проходящие пакеты, которые уже прошли цепочку forward
ПРАВИЛА И ДЕЙСТВИЯ
- ACCEPT - разрешить прохождение пакета дальше по цепочке правил;
- DROP - удалить пакет;
- REJECT - отклонить пакет, отправителю будет отправлено сообщение, что пакет был отклонен;
- LOG - сделать запись о пакете в лог файл;
- QUEUE - отправить пакет пользовательскому приложению.
ТАБЛИЦЫ IPATABLES
Над цепочками правил в iptables есть еще один уровень абстракции, и это таблицы. В системе есть несколько таблиц, и все они имеют стандартный набор цепочек input, forward и output. Таблицы предназначены для выполнения разных действий над пакетами, например для модификации или фильтрации. Сейчас это для вас не так важно и будет достаточно знать что фильтрация пакетов iptables осуществляется в таблице filter
- raw - предназначена для работы с сырыми пакетами, пока они еще не прошли обработку;
- mangle - предназначена для модификации пакетов;
- nat - обеспечивает работу nat, если вы хотите использовать компьютер в качестве маршрутизатора;
- filter - основная таблица для фильтрации пакетов, используется по умолчанию.
syntax
Осталось рассмотреть основные действия, которые позволяет выполнить iptables:
-A - добавить правило в цепочку;
-С - проверить все правила;
-D - удалить правило;
-I - вставить правило с нужным номером;
-L - вывести все правила в текущей цепочке;
-S - вывести все правила;
-F - очистить все правила;
-N - создать цепочку;
-X - удалить цепочку;
-P - установить действие по умолчанию.
Дополнительные опции для правил:
-p - указать протокол, один из tcp, udp, udplite, icmp, icmpv6,esp, ah, sctp,
mh;
-s - указать ip адрес устройства-отправителя пакета;
-d - указать ip адрес получателя;
-i - входной сетевой интерфейс;
-o - исходящий сетевой интерфейс;
-j - выбрать действие, если правило подошло.
strace
strace -e *syscall*- вывести только вызовы определенного syscall