Настройка iptables, парады, рэкамендацыі для чайнікаў

Ўтыліта каманднага радка iptables, пра якую пойдзе гаворка ў артыкуле, гэта стандартны інтэрфейс, які выкарыстоўваецца для кіравання працай брандмаўэра netfilter. Гэта ўсё з'яўляецца актуальным, калі на кампутары ўсталяваная сістэма Linux версій 2.4 і 2.6. Кажучы прасцей, налада iptables дапамагае кіраваць сеткавым экранам, але для яе выкарыстання патрабуюцца правы суперпользователя. Нягледзячы на тое, што паняцці розныя, вельмі часта, распавядаючы пра іх, людзі маюць на ўвазе адно і тое ж. Але гэта далёка не так.

Звычайныя шараговыя карыстальнікі напэўна чулі паняцці, пра якія ідзе гаворка, але што яны азначаюць і для чаго патрэбныя, для некаторых незразумела. Такім чынам, праз кожны кампутар, падлучаны да інтэрнэту, праходзяць розныя сеткавыя пакеты, якія трэба кантраляваць. Гэтым і займаецца міжсеткавы экран. Гэта праграмныя сродкі, якія дзейнічаюць на розных узроўнях OSI. Яны працуюць у адпаведнасці з названым заданнем і абраным дзеяннем.

Галоўная і асноўная задача сеткавага экрана - гэта абарона ад недазволенага доступу асобных вузлоў і цэлых кампутарных сетак. Яны гуляюць ролю фільтраў (іх так і называюць): правяраюць і сартуюць сеткавыя пакеты па крытэрах, якія вызначае сістэма. Ствараецца такое ўражанне, што яны праходзяць паслядоўную ланцужок дзеянняў. На справе гэта так і ёсць. Настройка iptables дапамагае карыстачу прымяніць ўсе устаноўленыя правілы, пад якімі маюцца на ўвазе наступныя дзеянні:

1. Праверка пакета на адпаведнасць.
2. Прымяненне патрэбнага дзеянні.

Дзеяннем лічыцца як звычайная звычайная аперацыя, напрыклад, ACCEPT, так і выкананне ўнутранага пераходу з аднаго ланцужка ў іншую. Як усё гэта рабіць, можна знайсці ў любой інструкцыі налад iptables для чайнікаў. Больш прасунутыя карыстальнікі ведаюць, што самі дзеянні бываюць двух відаў: тэрмінальныя і нетерминальные. Галоўнае прызначэнне першых - гэта спыненне пакетнай апрацоўкі ў межах базавай ланцужкі, напрыклад, REJECT. Другія, наадварот, не спыняюць апрацоўваць пакет, дапусцім, MARK, TOS, даводзяць праверку да лагічнага канца. У выпадку, калі дадзеныя праходзяць увесь ланцужок і да іх не ўжываецца ні адно дзеянне, гэта азначае толькі тое, што ўсё адбываецца ў рэжыме па змаўчанні (усталяваны як асноўны)

Звычайная налада iptables прадугледжвае тры асноўных выгляду табліц пры працы ўтыліты:

1. Mangle - часцей за ўсё выкарыстоўваюць, калі трэба ўнесці змены ў назву пакета. Прыкладам можа паслужыць перамена бітаў TOS.
2. Nat - ланцужок для паказу сеткавага адрасы. Можа быць выканана толькі ў межах іншай. Ніякую фільтрацыю праводзіць нельга, калі толькі ў выключных выпадках.
3. Filter - праз яе праходзяць усе ўваходныя пакеты, і няма ніякай розніцы, з якога інтэрфейсу яны ідуць. Іншымі словамі, ланцужок фільтруе трафік.

Ўсіх карыстальнікаў больш цікавіць трэцяя табліца. У ёй працуюць тры ланцужкі. Першая - для ўваходных пакетаў - INPUT, другая - для якія ідуць праз адзін кампутар да іншага - FORWARD, і трэцяя - для выходных - OUTPUT. Паводле дзейных правілаў, любы пакет, прайшоўшы ўвесь шлях, альбо прапускаецца, альбо няма.

Усе дзейсныя правілы налада iptables Ubuntu дазваляе рэдагаваць так, як заўгодна карыстальніку. Робіцца гэта уводам пэўных каманд у тэрмінал. Радок, якая змяшчае вызначаюць пакет крытэрыі, і ёсць закон. Прыкладны запіс правілы такая: iptables [-t імя-табліцы] каманда [шаблон] [-j дзеянне]. Тут t дае ўказанне, які выгляд табліцы будзе, калі ж яе няма, прапануецца ланцужок па змаўчанні (filter). Калі карыстальнік мяркуе іншы выгляд, яго трэба ўвесці ўручную. Каманда павінна стаяць адразу за імем. Калі такога няма, яна стаіць на першым месцы. Дзеянне вызначае налада iptables. Самымі распаўсюджанымі з'яўляюцца такія, як ACCEPT (пропуск пакета, прагляд завершаны), DROP (не прапускаць, моўчкі выкінуць, дзеянне заканчваецца не толькі для аднаго ланцужка, але і для ўсіх астатніх).