الجدران النارية ، netfilter / [إيبتبلس]

شيئين اللازمة لبناء جدران الحماية ، وجودة الخدمة (جودة الخدمات) مع لينكس حزمتان اسمه netfilter وiproute. بينما netfilter هو تصفية الحزمة إطار المدرجة في حبات لينكس 2.4 و 2.6 ، iproute عبارة عن حزمة تحتوي على عدد قليل من المرافق التي تتيح لمستخدمي لينكس للقيام التوجيه المتقدمة وتشكيل حركة المرور.
هذا المقال يهدف إلى إدخال الأدوات التي سوف تستخدمها في جميع أنحاء هذه المقالة. ومع ذلك ، netfilter وiproute كبيرة جدا المواضيع ؛ ذلك ما سأحاول القيام به في هذا المقال هو أن أعرض للقراء الذين ليسوا على دراية بهذا الموضوع ، إلى جانب بناء على نظرة عامة لطيفة للقراء الذين يعرفون هذا الموضوع. هناك نوعان من المواقع مع الكثير من الوثائق في كلا المشروعين لnetfilter ، http://www.netfilter.org ، ولiproute ، http://www.lartc.org.

netfilter / [إيبتبلس]

  

netfilter هو جزء مهم جدا من نواة لينكس من حيث الأمن ، وعلبة تغيير اسم ، والتلاعب. الواجهة الأمامية لnetfilter هو [إيبتبلس] ، والذي "يحكي" نواة ما يريد المستخدم أن تفعل مع الحزم وصوله الى الملكية الفكرية ، التي تمر عبر ، أو ترك الاختيار لينكس.
الميزات الأكثر استخداما من netfilter يتم تصفية الحزم وترجمة عنوان الشبكة ، ولكن هناك الكثير من الأشياء الأخرى التي يمكننا القيام به مع netfilter ، مثل علبة تغيير اسم طبقة 7 التصفية.
وثمة تفسير الخام حول كيفية netfilter يعمل هو من هذا القبيل :

  • دليل يرشد نواة حول ما يتعين القيام به مع الحزم الملكية الفكرية التي تتدفق من خلال مربع لينكس باستخدام أداة [إيبتبلس].
  • مربع لينكس ثم يحلل رؤوس الملكية الفكرية على كافة الحزم التي تتدفق من خلال ذلك.
  • إذا ، عندما ننظر إلى رؤوس الملكية الفكرية ، ونواة ليخلص قواعد مطابقة ، ثم الرزمة معالجتها وفقا للمادة مطابقة.

فإنه قد تبدو بسيطة للغاية في البداية ، ولكن في الواقع هو أكثر تعقيدا العملية. netfilter ديه بضع الجداول، كل منها يحتوي على مجموعة افتراضية من القواعد ، التي تسمى سلاسل. الجدول الافتراضي تحميلها إلى النواة هو جدول التصفية ، والذي يتضمن ثلاث سلاسل :

  • مساهمه: يحتوي على قواعد لالحزم الموجهة إلى الجهاز لينكس نفسه.
  • إلى الأمام: يحتوي على قواعد للحزم أن لينكس طرق آلة أخرى لمعالجة الملكية الفكرية.
  • الناتج: يحتوي على قواعد لالحزم التي تم إنشاؤها بواسطة آلة لينكس.

المقبل ، وتدفق الحزم من خلال ما قبل توجيه سلسلة من الجدول نات ، حيث يسعنا أن نفعل DNAT ، وإعادة توجيه منفذ ، الخ.
فمن المنطقي أن تكون قادرة على أداء وجهة ترجمة عنوان الشبكة قبل عملية التوجيه يحدث. وكما سترون في المادة (4) ، حيث نناقش DNAT في مزيد من التفاصيل ، DNAT هو عملية ترجمة واحد (عادة ما يكون الجمهور) عنوان بروتوكول الإنترنت إلى آخر (عادة ما تكون خاصة). يتم ذلك عن طريق تعديل عنوان الوجهة في علبة الملكية الفكرية من ضربة رأس. netfilter يجب أن تفعل ذلك قبل النواة قرارا التوجيه بحيث النواة سوف تبحث عن عنوان الوجهة الجديدة في علبة الملكية الفكرية.
بعد مرورها من خلال سلاسل اثنين ، نواة لينكس قرارا التوجيه. ليست هذه هي netfilter وظيفة. من خلال تحليل عنوان الوجهة من رأس الحزمة الملكية الفكرية ، وصندوق لينكس يعرف ما إذا كان الحزمة يحتاج إلى توجيه في أي مكان آخر ، أو أنه كان مقدرا لذلك.
إذا كان مربع لينكس هو الوجهة للعلبة الملكية الفكرية ، وغني عن حزمة من خلال الجدول فسد في سلسلة مدخلا للتغيير اسم الحزمة. بعد ذلك ، الحزمة يتم تمريرها إلى طاولة تصفية إدخال السلسلة ، حيث أنها يمكن أن تكون مقبولة ، رفض ، أو أسقطت. اذا هي قبلت الحزمة (على سبيل المثال طلب إلى خادم الويب لدينا يعمل على لينكس) ، وصندوق لينكس ، يولد استجابة لتلك الحزمة ، والذي يمر عبر طاولة فسد OUPUT السلسلة الأولى.
المقبل ، ويتم تمرير حزمة من خلال الجدول نات الناتج سلسلة وتصفية الجدول الإخراج السلسلة. عند هذه النقطة ، وفسد الجدول POSTROUTING سلسلة ونات الجدول POSTROUTING السلسلة ويتم تحليل وحزمة جاهزة لإرسالها إلى واجهة على المناظرة.
سلاسل المقدمة هنا هي سلاسل محددة مسبقا لكل الجدول (التصفية ، والأمة ، وفسد). ومع ذلك ، يمكن للمستخدمين إنشاء سلاسل مخصصة مع أسماء مخصصة ، وتمرير الحزم لهذه السلاسل من سلسلة محددة مسبقا المقابلة. على سبيل المثال ، إذا كنا نريد أن تخلق بعض القواعد للوصول سه داخل منطقة الجزاء لينكس ، يمكننا خلق سلسلة مخصصة المسمى سه ، وإدراج مادة واحدة في سلسلة الإدخال التي يرشد نواة لتحليل سلسلة سه لالحزم الواردة على المنفذ 22 / برنامج التعاون الفني.
ويمكن أن سلاسل محددة سلفا لا يمكن حذف أو إعادة تسميته.

[إيبتبلس] -- العمليات

[إيبتبلس] لديه جملة تشبه إلى حد ما ipchains القديمة (netfilter ل2.2 الألباب). ومع ذلك ، فإن مفاهيم netfilter ل2.4 + حبات مختلفة تماما عن netfilters 'المفاهيم ل2.2 الألباب.
[إيبتبلس] لعمليات يمكن أن تفعله مع سلاسل هي :

  • قائمة القواعد في سلسلة ([إيبتبلس] - لام السلسلة).
  • تغيير السياسة من سلسلة ([إيبتبلس] - ف تشين اعقد).
  • إنشاء سلسلة جديدة ([إيبتبلس] ن السلسلة).
  • مطاردة سلسلة ؛ حذف جميع القواعد ([إيبتبلس] - واو السلسلة).
  • حذف سلسلة ([إيبتبلس] مد السلسلة) ، إلا إذا كانت سلسلة فارغة.
  • عدادات صفر في سلسلة ([إيبتبلس] زي السلسلة). كل حكم في كل سلسلة يحتفظ مضادة من عدد من العبوات وانها مطابقة بايت. هذا الأمر يعيد هذه العدادات.

للام ، ، ، واو ، مد ، وزي العمليات ، إذا كان اسم السلسلة لم يتم تحديد هذه العملية يتم تطبيقها على الجدول بأكمله ، والتي إذا لم يتم تحديد افتراضيا على طاولة التصفية.
لتحديد الجدول الذي نقوم به العمليات ، يجب علينا استخدام رمز التبديل - ر مثل ذلك [إيبتبلس] فلتر ر...

[إيبتبلس] العمليات التي يمكن تنفيذها على القواعد هي :

  • إلحاق قواعد لسلسلة ([إيبتبلس] ألف)
  • إدراج القواعد في سلسلة (من أنا [إيبتبلس])
  • استبدال حكم من سلسلة ([إيبتبلس] الراديوية)
  • حذف قاعدة من سلسلة ([إيبتبلس] مد)

التبديل الأكثر استخداما هي ألف ومد (إلحاق وحذف القواعد). عادة ، عند تصميم الجدران النارية ، وقواعد يتم إلحاق سلاسل.
أثناء وقت التشغيل ، والمستخدمين ، واستخدام أكثر من ألف لأنه في كثير من الأحيان أنهم بحاجة إلى إدراج القواعد المؤقتة في السلسلة.
[إيبتبلس] ، وهناك أماكن للحكم في نهاية السلسلة ، في حين أن [إيبتبلس] ، أنا أماكن سيادة على الجزء العلوي من قواعد أخرى في السلسلة. ومع ذلك ، يمكنك اضافة الى وجود حكم في أي مكان في السلسلة عن طريق تحديد الموضع الذي تريد القاعدة أن يكون في السلسلة مع التحول من أنا : أنا تشين [إيبتبلس] - 4 سيتم إدراج المادة في المركز الرابع من سلسلة المحدد.

بناء الجملة من أجل إضافة قاعدة لسلسلة هي :

[إيبتبلس] ألف ... ... - ي

تصفية المواصفات هو جزء من قاعدة [إيبتبلس] يستخدم من قبل نواة لتحديد الملكية الفكرية الحزم لالنواة التي لا الإجراء المحدد من قبل ترجيت.

تصفية المواصفات

الملكية الفكرية يمكن أن تكون العبوات التي تم تحديدها في عدد كبير من الطرق من خلال تحديد واجهات ، والبروتوكولات ، والموانئ وغيرها ، الى القواعد [إيبتبلس]. جمال فإنه يمكننا أن أي مزيج من هذه المواصفات ، وجود المرونة العالية ومجموعة واسعة من محددات. أنا لا تخطط لتغطية جميع هؤلاء المختارون في العمق ، ولكن أن نضع في اعتبارنا أنه إذا كنت تفكر في شيء منطقي حول الملكية الفكرية الحزم ، لديك كل فرصة للتعرف على تلك الحزم باستخدام القواعد [إيبتبلس].
تصفية مواصفات Layer2 : واجهات يمكن تحديدها على النحو محددات مع كلمات ورموز تبديل س.
ط ، لتقف على "-- في واجهة" ، و- س ل "-- من واجهة". + يمكن استخدامها لتحديد إلا بداية سلسلة من واجهة ، على سبيل المثال ، ط إيث + سوف تطابق كافة الواجهات بدءا إيث السلسلة ، لذلك قمنا المحدد جميع إثرنيت واجهات مدخلات لقاعدة واحدة.
مفاتيح النص القصير (على سبيل المثال ، ط) ومفاتيح نسخة طويلة (على سبيل المثال "-- في واجهة") على الاطلاق نفس التأثير. بعض الناس يفضلون استخدام مفاتيح قصيرة لأسطر الأوامر ومفاتيح طويلة للمخطوطات لأنها يمكن أن يتيح فرصا أفضل للقراءة ، ولكننا لن يستخدم سوى مفاتيح قصيرة في هذه المادة حتى في البرامج النصية لتعتاد على خطوط الأمر أفضل.
علامة التعجب "!" يمثل إنكارا ويمكن استخدامها لتحديد على أي واجهة (ق) في عدم تطبيق هذا المرشح (على سبيل المثال ، ط! سوف eth1 ليس الحزم في المباراة المقبلة على eth1).

حلل الحزم في الإخراج وسلاسل POSTROUTING لم يكن لديك واجهات المدخلات ، وبحيث لا يسمح لهم باستخدام كلمات التبديل على تلك السلاسل.
أيضا ، والمدخلات وسلاسل PREROUTING لم يكن لديك واجهات الانتاج ، وبالتالي لا يمكنك استخدام رمز التبديل - س للقواعد في تلك السلاسل.

الطبقة 3 : مصدر الملكية الفكرية العنوان (العناوين) يمكن تحديد باستخدام - ثانية ، -- كبريت ، أو -- المصدر والمقصد معالجة الملكية الفكرية (الخانات) ، مع د ، -- التوقيت الصيفي ، أو -- الوجهة. وقالت مصادر أو جهات يمكن أن تكون عناوين بروتوكول الإنترنت ، الشبكات ، أو أسماء متعارف عليها (على سبيل المثال ، "ليالي 217.207.125.58" ، "ليالي www.packtpub.com" ، أو "ليالي 217.207.125.58/32" يكون له نفس التأثير). تحديد أسماء الكنسي التي تستضيف لعناوين بروتوكول الإنترنت متعددة سوف يتسبب في إضافة نفس العدد من القواعد ، وعدد من عناوين بروتوكول الإنترنت لأسماء النطاقات الخادم ليحل التي تستضيف في الوقت الذي تتم إضافة القواعد.

لا تستخدم أسماء الكنسي على قواعد مع مخاطر عالية. على سبيل المثال ، لا تسمح بالوصول سه من ahost.anotherisp.com ، لأن هذا سيكون من السهل السماح لرجل في هذا الهجوم المتوسطة.

طبقة 4 : بروتوكول يمكن أن تكون محددة باستخدام التبديل ف ، التي تقف على "-- البروتوكول". يمكن أن البروتوكولات التي يحددها أعدادهم المقابلة أو بأسمائها برنامج التعاون الفني ، udp ، أو icmp (حالة الأحرف).
لبروتوكول إيكمب] ، يمكنك تحديد أنواع ICMP رسالة باستخدام "-- icmp من نوع". ويمكن للقائمة ويمكن الاطلاع على رسائل ICMP باستخدام الأمر "[إيبتبلس] - icmp ع -- مساعدة".
لبروتوكول UDP ، يمكنك تحديد المصدر أو الوجهة الموانئ مع "-- مصدر الميناء" أو "-- الرياضة" و "-- الوجهة الميناء" و "-- dport".
برنامج التعاون الفني ، ويجري الأكثر اكتمالا 4 طبقة البروتوكول ، فقد المزيد من الخيارات. يمكنك تحديد ، إلى جانب المصدر أو الوجهة الموانئ بالنسبة لبروتوكول UDP ، "-- برنامج التعاون الفني بين الأعلام" ، "-- اصطناعي" و "-- برنامج التعاون الفني بين خيار". برنامج التعاون الفني الأعلام يمكن "اصطناعي الكلية الاسترالية فنلندا RST URG PSH جميع لا شيء". "-- اصطناعي" يستخدم لتحديد بدء اتصالات ويكافئ "-- برنامج التعاون الفني بين الأعلام اصطناعي ، RST ، الكلية الاسترالية اصطناعي". "-- برنامج التعاون الفني بين خيار" التي يتبعها عدد المباريات برنامج التعاون الفني الحزم مع خيار لتعيين هذا العدد.

مواصفات تصفية يمكن الجمع بين كل من السمات التي ذكرت للتو ، حتى يكون لدينا مجموعة من الطبقات 2 و 3 و 4 المواصفات في نفس القاعدة.

آخر شيء جميل حول netfilter / [إيبتبلس] هو أن التمديدات مطابقة يمكن وضعها على حدة ، وأضاف في وقت لاحق. على موقع netfilter ، هناك مستودع كبير من مطابقة التمديدات يسمى "التصحيح - ماتيتش" ، في http://www.netfilter.org/projects/patch-o-matic/index.html.

وهناك تمديد جديد و "جريئة" ل[إيبتبلس] خطط لتوسيع نطاق قدراتها من الطبقات الدنيا إلى الطبقة العليا من نموذج التفتيش الموقعي ، 7 - طبقة التطبيق.

مقال مقدم من فيليب وكلير

تنويه :موقعنا على الانترنت ليست مسؤولة عن محتوى هذه المادة. Webarticles هو حر للمعلومات.
المهم : هذه المادة "الجدران النارية ، netfilter / [إيبتبلس]" وقد ترجم من قبل البرمجيات التلقائي. نشعر بالاسف من اجل أي الأخطاء الإملائية التي قد حدث. شكرا لتفهمكم.


Online: 182 users browsing the articles directory   


  

|