More documents

Recommendations

Info

Виртуална Лаборатория по Компютърни Мрежи и Разпределени Системигенерираните пакети.Mangle table – използва се за промяна на допълнителните полета в хедърана пакета. Всички пакети преминават през тази таблица. Порадиспецифичните и задачи съдържа всички възможни предефинирани вериги:• PREROUTING – всички пакети влизащи в системата (фигура 4).• INPUT – всички пакети предназначени за системата.• FORWARD – всички пакети преминаващи през системата.• OUTPUT – всички пакети произлизащи от системата.• POSTROUTING – всички пакети напускащи системата.Всяко правило си има цел. Целта може да бъде потребителска верига илинякоя от предефинираните цели:ACCEPT – тази цел указва на netfilter да приеме пакета. В зависимост отверигата това може да означава различни действия над пакета. Примернопакет приет от INPUT веригата се позволява да бъде получен от хоста, напакет приет от OUTPUT веригата се разрешава да напусне хоста, на пакетприет от FORWARD веригата му се разрешава да бъде маршрутизиран.DROP – тази цел указва на netfilter да блокира пакета и да не го обработваповече. На източника не се изпраща никакъв отговор и за него блокиранетосе изразява в изтичането на комуникационния таймаут.Съществуват много допълнителни цели повече за които може да сепрочете от ръководството за iptables – QUEUE, RETURN, REJECT, LOG,ULOG, DNAT, SNAT, MASQUERADE. От тях по-интересна е последната:MASQUERADE – това е специална, ограничена форма на SNAT замрежи, чиито външен IP адрес е динамичен (често срещано условие). В тозислучай вместо да се сменя SNAT правилото при смяна на адреса се използваавтоматично адреса на изходящия интерфейс при транслирането на адресите.Следене на състоянието на връзкитеЕдна важна възможност изградена върху netfilter рамката е следенето насъстоянието на връзката. Тя позволява на ядрото на системата да пази следаза всички логически мрежови връзки и сесии и да определя пакетите от коитосе състои една връзка. NAT използва тази информация за да транслиравсички пакети от една връзка по същия начин. IPTABLES може да използватази информация за изграждане на stateful защитни стени.Следенето на състоянието на връзката класифицира всеки пакет към едноот следните четири състояния: NEW (опит за изграждане на нова връзка),ESTABLISHED (част от вече изградена връзка), RELATED (свързан, но незадължително част от същата връзка) и INVALID (не е част от съществуваща,нито заявка за нова връзка). Нормално първия пакет ще бъде класифициранкато NEW, отговорът като ESTABLISHED и ICMP съобщение катоRELATED. ICMP съобщение което не се отнася за някоя от съществуващитеСтр.56Мрежов слой. Транслиране на адреси (NAT) и защитни стени (Firewalls).
Виртуална Лаборатория по Компютърни Мрежи и Разпределени Системивръзки ще бъде класифицирано като INVALID.Чрез включването на допълнителни модули статута на връзката може дасе пренесе до приложно ниво като по този начин едно приложение може даразбира че две връзки са зависими. Примерно FTP протоколът установявапървоначално контролна връзка и след това данните се предават по отделнавръзка. Когато е включен модула ip_conntrack_ftp, пакетите по връзката заданни ще бъдат класифицирани като RELATED вместо NEW.Инструментът iptables също може да извлича полза от знанието засъстоянието на връзката за съставяне на по-гъвкави и по-мощни правила зафилтриране. Примерно правило може да разрешава пакети в състояние NEWсамо от вътрешната мрежа, но пакети в състояние RELATED иESTABLISHED в двете посоки. По този начин не се позволява изгражданетона нови връзки отвън. Това обаче няма да попречи на изграждането на новаFTP връзка за данни, тъй като тя ще бъде класифицирана като RELATEDспрямо съществуваща контролна връзка.По-долу е показан формата на командата IPTABLES. За пълен списък отвъзможните опции към командата използвайте ръководството за iptables.NAMEiptables - administration tool for IPv4 packet filteringand NATSYNOPSISiptables [-t table] -[ADC] chain rule-specification[options]iptables [-t table] -I chain [rulenum] rule-specification[options]iptables [-t table] -R chain rulenum rule-specification[options]iptables [-t table] -D chain rulenum [options]iptables [-t table] -[LFZ] [chain] [options]iptables [-t table] -N chainiptables [-t table] -X [chain]iptables [-t table] -P chain target [options]iptables [-t table] -E old-chain-name new-chain-nameПримерни конфигурации:Пример1: Правило блокиращо всички заявки за изграждане на нова връзкаотвън.# iptables -N block# iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT# iptables -A block -m state --state NEW -i ! ppp0 -j ACCEPT# iptables -A block -j DROP## Jump to that chain from INPUT and FORWARD chains.# iptables -A INPUT -j block# iptables -A FORWARD -j blockПример2: Правило блокиращо всички ICMP съобщения от дадена мрежа.# iptables -A INPUT --src 192.168.2.0 /24 -p icmp -j DROPСтр.57Мрежов слой. Транслиране на адреси (NAT) и защитни стени (Firewalls).
Page 1 and 2:
Виртуална Лаборато
Page 4 and 5:
Виртуална Лаборато
Page 6 and 7: Виртуална Лаборато
show all

ÐÐ¸ÑÑÑÐ°Ð»Ð½Ð° ÐÐ°Ð±Ð¾ÑÐ°ÑÐ¾ÑÐ¸Ñ Ð¿Ð¾ ÐÐ¾Ð¼Ð¿ÑÑÑÑÐ½Ð¸ ÐÑÐµÐ¶Ð¸ Ð¸ Ð Ð°Ð·Ð¿ÑÐµÐ´ÐµÐ»ÐµÐ½Ð¸ ...

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?

ÐÐ¸ÑÑÑÐ°Ð»Ð½Ð° ÐÐ°Ð±Ð¾ÑÐ°ÑÐ¾ÑÐ¸Ñ Ð¿Ð¾ ÐÐ¾Ð¼Ð¿ÑÑÑÑÐ½Ð¸ ÐÑÐµÐ¶Ð¸ Ð¸ Ð Ð°Ð·Ð¿ÑÐµÐ´ÐµÐ»ÐµÐ½Ð¸ ...