LINUX-BG Adres : http://www.linux-bg.org |
IPCHAINS-HOWTO BG 1.01 (chast 1) |
Ot: Plamen Popow Publikuvana na: 28-01-2000 Adres na statiiata: http://www.linux-bg.org/cgi-bin/y/index.pl?page=article&id=advices&key=316349746 |
Tozi suwet e dobawen sus suglasieto na awtora mu Plamen Popow Originalniata statiq se namira na adres http://www.qsl.net/lz1plp/ Tuk mozhete da vidite dokumenta v chist tekst. IPCHAINS-HOWTO_BG 1.01 Tuk po printsip triabva da ima zabelezhki za litsenza i za tova, che avtora ne nosi nikakva otgovornost, no az shte propusna tova poradi nenuzhnost - na koito mu triabva tova, mozhe spokoino da go prochete v originalniia IPCHAINS-HOWTO. Tozi dokument predstavliava pochiti pulen prevod na originalniia. Kakvo e tova ipchains. Linux ipchains tova e zamiana na ipfwadm (koito beshe portnat ot BSD). Za rabota s nego na vas vi triabva iadro po-goliamo ot 2.1.102. Zashto da se preminava kum ipchains? V starite versii na Linux fairwall ne raboteshe s fragmenti na paketite, imashe 32x bitovi broiachi ( na Intel-protsesori), ne davashe da se ukazvat tipovete na protokolite, razlichni ot TCP, UDP i ICMP, ne davashe da se praviat golemi izmeneniia avtomaticheski, niamashe inversni pravila i beshe mnogo tezhuk za upravlenie. Malko informatsiia. TSeliia trafik v mrezhata se prashta vuv vid na paketi.
V nachaloto na vseki paket ima informatsiia za tova ot kude idva, tip na paketa
i drugi podobni detaili. Nachaloto na paketa se naricha zaglavie (header),
ostanalata chast na paketa obiknovenno se naricha tialo (body).
Zashto voobshte ni e nuzhen filtur na paketite? Upravlenie.
Bezopasnost.
Hitrost ;-)
Kak da se instalira filtur na paketi?
Kak paketite minavat prez filtrite.
Posledovatelno opisanie na vseki stadii.
Vhodna veriga (input) - tova e purvata veriga, s
pomoshta na koiato filtura otseiva paketite. Ako reshenieto na tazi veriga
ne e "otkaz" (REJECT) ili "zabrana" (DENY), to togava paketa produlzhava
svoeto dvizhenie.
Izpolzvane na ipchains. Purvo proverete kakva versiia na ipchains imate na
mashinata si.
Tozi dokument se otnasia imenno za tazi versiia na programata. ipchains ima man-dokumentatsiia, no ako vi e neohoimo da razberete poveche za putishtata na priminavane na paketite, vie mozhete da proverite rukovodstvoto za programirane na interfeisi (man 4 ipfw) ili fail net/ipv4/ipfw.c v sorsovete na iadroto, te sa dostatuchno kompetentni po tozi vupros ;-). Ima niakolko razlichni neshta, koito mogat da e praviat s verigite. Purvo - tova e operirane s tseli verigi. Qdroto startira s tri vgradeni verigi - "vhodna", "izhodna", preprashtane" (input, output, forward) - tiah vie ne mozhete da mahnete. Po dolu e pokazano kakvo mozhe da se pravi. Suzdavane na nova veriga (-N)
Ima niakolko nachina za manipulirane na pravilata vutre v verigata. Dobaviane na novo pravilo kum verigata (-A)
Ima oshte niakolko operatsii za maskarading. Da se pokazhat tekushtite suedineniia chrez maskarading
(-M -L)
V kraia ima komandi, koito vi pozvoliavat da proverite, kakvo se e sluchilo s daden paket, ako toi trugne prez ukazanata veriga. Operatsii s edno pravilo. Tova sa osnovni operatsii v ipchains - manipulatsiia
s pravilata. Obiknovenno, vie mozhete da izprobvate komandite dobavi (-A)
i iztrii (-D) pravilo. Analogichno i s komandite vmukni (-I) i zameni (-R)
- sintaksisa im e prakticheski ednakuv.
# ping -c 1 127.0.0.1
--- 127.0.0.1 ping statistics ---
--- 127.0.0.1 ping statistics ---
Vie vizhdate, che purviia ping mina uspeshno (optsiiata "-c 1 kazva na ping-a, chetriabva da prati samo edin paket). Sled tova nie dobavihme (-A) vuv "vhodnata" veriga pravilo, koeto ukazva na tova, che paketite 127.0.0.1 (-s 127.0.0.1) s protokol ICMP (-p ICMP) triabva da se zabraniavat (-j DENY). Sled tova nie proverihme nasheto pravilo, izpolzvaiki vtoriia ping. Toi malko pochaka predi da se predade, ochakvaiki paket s otgovor, koito nikoga niama da doide. Ne mozhem da mahnem praviloto po dva nachina. Tui kato znaem che imame samo edno pravilo, nie mozhem da izpolzvame premahvane na pravilo po nomer, eto taka: #ipchains -D input 1 Tova maha pravilo nomer 1 ot izhodnata veriga.
#ipchains -D input -s 127.0.0.1 -p icmp -j DENY Sintaksisa sled komandata (-D) triabva da suvpada sus sintaksisa na komandata -A (ili -I i -R), s koiato i beshe zadadeno tova pravilo. Ako ima niakolko ednakvi pravila v razlichni verigi samo purvoto pravilo shte bude mahnato. Spetsifikatsiia za filtrite. Nie shte izpolzvame -p za posochim na protokola i -s za posochim na adresa na iztochnika, no ima i drugi optsii, koito sochat drugi optsii na paketite. Te shte budat opisani po-dolu. Posochvane na ip-adresite na iztochnitsite i poluchatelite. ip-adresite na iztochnitsite (-s) i na poluchatelite (-d) mogat da se posochat po 4-ri nachina. Obiknovenno tiah gi opisvat s pulnite imena, naprimer "localhost" ili "linux.org". Vtoriia nachin - posochvane na pulniia ip-adres, naprimer 127.0.0.1. Tretiia i chetvurti nachini davat vuzmozhnost da se posochvat grupi ot ip adresi, naprimer "62.76.19.0/24" ili "62.76.19.0/255.255.255.0". I dvata varianta sochat kum adrsite ot 62.76.19.0 vklyuchitelno do 62.76.19.255. TSifrite sled "/" sochat kakva chast ot ip adresa shte bude znachima. Po podrazbirane se priema "/32" ili "/255.255.255.255" (vlizat vsichki ip adresi). Za posochvane, na koito i da e ip adres e vuzmozhno izolzvaneto na "/0", naprimer #ipchains -A input -s 0/0 -j DENY Tova shte predizvika sushtiia efekt, kakto i bez izpolzvaneto na -s voobshte.
Posochvane na inversiia. Mnogo flagove, vklyuchvaiki -s i -d mogat da imat treti argument vuv vida na "!", za izchislenie na adresite, koito NE popadat v posochvaneto. Naprimer pod "-s ! localhost" popadat vsichki paketi, koito idvat ot localhost. Posochvane na protokola. Protokola mozhe da bude posochen s pomoshtana falaga -p. Protokola mozhe da bude nomer (ako vie ne znaete znacheniiata na nomerata za protokola ip) ili edno ot slednite znacheniia: TCP, UDP ili ICMP. Registura niama znacheniia, tcp e sushtoto kato TCP. Protokolite sushto taka mogat da budat invertirani s pomoshta na "!", naprimer "-s ! TCP" ukazva na tezi protokoli, koito ne sa TCP. Posochvane na TCP i UDP portove. Kogato sa posocheni protokolite TCP ili UDP e vuzmozhen i treti argument, koito sochi kum TCP&UDP portove ili tiahen diapazon (vklyuchvaiki krainite portove). Diapazona se posochva s pomoshta na simvola ":", naprimer "6000:6010" sochi kum 11 porta, ot 6000 do 6010 vklyuchitelno. Ako dolnata granitsa ne e posochena to tia se priema za 0. Ako gornata granitsa ne e posochena, tia se priema ravna na 65535. Naprimer za posochvane na TCP suedineniia idvashti ot portove po-niski ot 1024, sintaksisa shte bude sledniia "-p TCP -s 0.0.0.0/0 :1024". Taka sushto portovete mogat da budat posocheni po ime, naprimer www (za prevod na chislenoto znachenie poglednete faila /etc/services). Nomerata na portovete sushto taka mogat da budat invertirani
s pomoshta na "!". Naprimer, za posochvaneto, na koito i da e TCP paket osven
WWW paketite e nuzhno da se posochi
<< IPCHAINS-HOWTO BG 1.01 (chast 2) | Izpolzvane na TTF v Linux >> |
Avtorite na saita, kakto i tehnite sutrudnitsi zapazvat avtorskite prava vurhu sobstvenite si materiali publikuvani tuk,
no te sa copyleft t.e. mogat svobodno da budat kopirani i razprostraniavani s iziskvaneto izrichno da se upomenava imeto na avtora,
kakto i da se publikuva na vidno miasto, che te sa vzeti ot originalniia im URL-adres na tozi survur (http://www.linux-bg.org). Avtorskite prava na prevodnite materiali prinadlezhat na tehnite avtori. Ako s publikuvaneto tuk na niakakuv material nevolno sa narusheni nechii prava - sled konstatiraneto na tozi fakt materialut shte bude svalen.
All trademarks, logos and copyrights mentioned on this site are the property of their respective owners.
|