Iptables di definizione degli obiettivi in Linux

Per la tabella filter, gli obiettivi più utilizzati per le regole del firewall sono DROP e accettare. Se una regola corrisponde alle specifiche di filtraggio e ha una destinazione di rilascio, il pacchetto sarà semplicemente scartati. Se un pacchetto soddisfa una regola con una destinazione di rilascio, il kernel Linux cadere il pacchetto senza consultare le altre norme del firewall. Se l'obiettivo è ACCEPT, il pacchetto viene accettato senza ulteriori consultazioni delle regole del firewall di altri.
Un'alternativa a DROP è il target REJECT, che lascia cadere il pacchetto, ma invia un pacchetto ICMP per l'IP di origine del pacchetto. Per impostazione predefinita, il target REJECT invierà una richiesta ICMP port 'irraggiungibile' messaggio al mittente, ma che può essere sovrascritto con il "- reject-with" switch.
L'obiettivo di una regola di iptables può essere utilizzato anche per passare un pacchetto ad una catena definita dall'utente. Per esempio, se si crea una nuova catena come "iptables-N SSH", abbiamo bisogno di dire al kernel di cercare questa catena per tutte le connessioni TCP in ingresso sulla porta 22 come questa:

Un altro obiettivo è utile LOG, che può essere utilizzato per registrare i pacchetti che corrispondono ad un disciplinare di filtraggio nel registro del kernel, che può essere letto con dmesg o syslogd. LOG opzioni di destinazione sono:

 

• - a livello di registro di livello: il livello di registrazione può essere un nome o un numero. I nomi validi sono di debug, info, notice, warning, err, crit, alert, emerg e con i numeri corrispondenti 7-0.
• - log-prefix prefix: Entra prefisso è seguito da una stringa di 29 caratteri, posto all'inizio del messaggio di log.
• - log-tcp-sequence: registra i numeri di sequenza TCP.
• - log-tcp-options: Registra il campo di opzione di intestazioni di pacchetti TCP.
• - log-ip-options: Registra il campo di opzione degli header dei pacchetti IP.
• - uid-log: registra l'ID utente del processo che ha generato il pacchetto.

 

Il target LOG non è un obiettivo che chiude come ACCEPT, DROP e REJECT. Ciò significa che se un pacchetto soddisfa una regola che ha l'obiettivo LOG, il kernel cerca le regole che seguono anche corrispondere a questo pacchetto. Una partita limite per le norme con obiettivi LOG sarebbe una buona idea per prevenire le inondazioni i file di registro.

Per fare un esempio, in precedenza abbiamo creato la catena di SSH e pacchetti provenienti in passato sulla porta 22/tcp. Ora, vogliamo accettare le connessioni SSH da 192.168.0.0/27 e 10.10.15.0/24, per esempio, e log tutti gli altri tentativi, ma ci si limiterà accesso a 5 / s, perché, nel caso di un SYN flood su port 22/tcp, i tronchi si riempiono in fretta.

In primo luogo, si appende le regole per la catena di SSH per consentire le connessioni da host attendibili:

Avanti, si aggiunge la regola di registrazione:

E quindi eliminare tutti gli altri collegamenti:

Abbiamo bisogno di verificare la configurazione, e useremo iptables-L-n per questo. Vedremo nella catena di INPUT:

E vedremo la catena SSH:

Per verificare la catena di SSH cercheremo di telnet porta 22 da un host non autorizzato. Con iptables-L-n-v, vedremo che il pacchetto ha trovato il registro e DROP regole:

Ora, se guardate i log utilizzando il comando dmesg, potrete vedere:

che ci dice che 192.168.168.168 provato a collegare sulla porta TCP 22.

---

Disclaimer:Il nostro sito non è responsabile per il contenuto di questo articolo. Webarticles è una risorsa gratuita di informazioni.
Importante: Questo articolo "Iptables di definizione degli obiettivi in Linux" è stato tradotto da un software automatico. Ci dispiace per eventuali errori di ortografia che possono essersi verificati. Grazie per la vostra comprensione.

---