Любой пакет несколько раз анализируется на соответствие некоторым условиям каждым сетевым интерфейсом компьютера. При удовлетворении условиям к пакету применяется соответствующее правило, и дальнейший анализ на данном этапе не проводится. Если ни одно из правил не содержит условий, соответствующих пакету, к нему применяются правила по умолчанию. Подобные наборы правил носят названия таблиц.

Последовательность анализа пакета данных в фильтрах iptables

Рис. 5.10. Последовательность анализа пакета данных в фильтрах iptables

Существует три таблицы правил: filter - основная таблица, nat - используется для пакетов, создающих новое подключение (можно менять адреса источника и назначения пакета), и mangle, применяемая для специального типа пакетов.

На рис. 5.10 показана последовательность анализа пакета при его приеме или отправке. Для настройки межсетевого экрана следует создать правило по пути следования пакетов. Например, для фильтрации входящего трафика правила нужно создавать в цепочке INPUT, исходящего - OUPTUT. В цепочке FORWARD можно фильтровать трафик, маршрутизируемый системой (проходящий через сервер), PREROUTING используется для маршрутизации внешнего трафика на опубликованный внутренний ресурс и т. д.

Примечание Правила исполняются в порядке их списка. Поэтому обращайте внимание на их последовательность (команда А добавляет правило в конец списка, I <номер> - помещает в заданную позицию списка).

К пакетам, удовлетворяющим условиям фильтров, можно применить несколько действий: они могут быть пропущены (ACCEPT), удалены с сообщением источнику об ошибке передачи данных (REJECT) или уничтожены без оповещения (DROP). Существует также возможность настройки и применения пользовательского варианта обработки (QUEUE).

Программы графического управления iptables | Самоучитель системного администратора | Создание правил межсетевого экрана


Самоучитель системного администратора



Новости за месяц

  • Сентябрь
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс