4.12.1. Основные возможности iptables

4.12.1. Основные возможности iptables

Сходство между ipchains и iptables прослеживается уже при взгляде на параметры:

-A цепочка правило — добавить правило в конец цепочки. В качестве параметра указывается имя цепочки INPUT, OUTPUT или FORWARD;

-D цепочка номер — удалить правило с указанным номером из заданной цепочки;

-R цепочка номер правило — заменить правило с указанным номером в цепочке;

-I цепочка номер правило — вставить правило в указанную первым аргументом цепочку под номером, заданным во втором параметре. Если номер равен 1, то правило станет первым в цепочке;

-L цепочка — просмотреть содержимое указанной цепочки;

-F цепочка — удалить все правила из цепочки;

-р протокол — определяет протокол, на который воздействует правило;

-i интерфейс — определяет сетевой интерфейс, с которого данные были получены. Здесь можно использовать INPUT, FORWARD или PREROUTING;

-o интерфейс — задает интерфейс, на который направляется пакет. Здесь можно указывать OUTPUT, FORWARD или POSTROUTING;

-j действие — операция, которая должна быть выполнена над пакетом. В качестве аргументов можно указать следующие значения (рассмотрим только основные):

 • LOG — поместить в журнал запись о получении пакета;

 • REJECT — отправителю будет направлено сообщение об ошибке;

 • DROP — удалить пакет;

 • BLOCK — блокировать пакеты;

-s адрес — IP-адрес отправителя пакета. Как и в случае с iptables, после адреса можно задать маску в виде /mask и знак отрицания "!", что будет соответствовать любым адресам, кроме указанных;

-d адрес — адрес назначения пакета.

Как видите, большинство параметров абсолютно идентичны тем, что мы рассматривали для программы ipchains. Но есть важные и очень мощные отличия. Например, с помощью ключей и -i очень просто указывать, с какого на какой интерфейс направляется пакет. Из-за сходства конфигурирования сервисов ipchains и iptables в практической части мы не будем тратить драгоценное место книги, и кратко рассмотрим создание правил.

В данном обзоре ключей я затронул только основы, но если вы посмотрите файл документации, то увидите еще много вариантов работы с ключом -j, т.е. существуют большие возможности по управлению пакетом, если он соответствует правилам.

Настройка цепочек iptables не сильно отличается от ipchains. Начать формирование цепочки нужно с очистки всего содержимого. Двигаться необходимо от полного запрета и разрешать только то, что не нанесет вреда серверу. Сервисы, которые могут оказаться опасными, должны быть доступны только тем, кому это необходимо, или тем, кому вы доверяете. Хотя, в нашем деле полагаться ни на кого нельзя. Ваш друг может, не желая того, раскрыть секретную информацию злоумышленнику, или данные могут быть просто украдены, и тогда доверчивость сыграет с вами злую шутку.

Для сохранения изменений в iptables также надо выполнить специализированную команду:

service iptables save

Поделитесь на страничке

Следующая глава >

Похожие главы из других книг

Рашид Ачилов Создаем порт для FreeBSD своими руками Часть I: основные возможности

Из книги Создаем порт для FreeBSD своими руками. Часть I автора Ачилов Рашид

Рашид Ачилов Создаем порт для FreeBSD своими руками Часть I: основные возможности Автоматизированная система сборки стороннего программного обеспечения из исходных текстов (система портов) - это то, чем по праву гордится FreeBSD. Система содержит ссылки на десятки тысяч


2.1. Где взять iptables

Из книги Iptables Tutorial 1.1.19 автора Andreasson Oskar

2.1. Где взять iptables Пакеты iptables могут быть загружены с домашней страницы проекта Netfilter. Кроме того, для работы iptables соответствующим образом должно быть сконфигурировано ядро вашей Linux-системы. Настройка ядра будет обсуждаться


5.3. iptables-save

Из книги Компьютер на 100. Начинаем с Windows Vista автора Зозуля Юрий

5.3. iptables-save Утилита iptables-save, как я уже упоминал, предназначена для сохранения текущего набора правил в файл, который затем может быть использован утилитой iptables-restore. Эта команда очень проста в использовании и имеет всего два аргумента.iptables-save [-c] [-t table]Первый аргумент -c


5.4. iptables-restore

Из книги Введение в OpenGL автора Компьютеры Автор неизвестен -

5.4. iptables-restore Утилита iptables-restore используется для восстановления (загрузки) набора правил, который ранее был сохранен утилитой iptables-save. Набор правил утилита получает со стандартного ввода и не может загружать его из файла напрямую. Команда имеет следующий


8.6. rc.test-iptables.txt

Из книги Эффективное делопроизводство автора Пташинский Владимир Сергеевич

8.6. rc.test-iptables.txt Сценарий rc.test-iptables.txt предназначен для проверки различных цепочек но может потребовать дополнительных настроек, в зависимости от вашей конфигурации, например, включения ip_forwarding или настройки masquerading и т.п. Тем не менее в большинстве случаев с базовыми


8.7. rc.flush-iptables.txt

Из книги Linux-сервер своими руками автора Колисниченко Денис Николаевич

8.7. rc.flush-iptables.txt Сценарий rc.flush-iptables.txt в действительности не имеет самостоятельной ценности поскольку он сбрасывает все ваши таблицы и цепочки. В начале сценария, устанавливаются политики по-умолчанию ACCEPT для цепочек INPUT, OUTPUT и FORWARD в таблице filter. После этого сбрасываются в


Основные возможности программы Total Commander

Из книги Системное программирование в среде Windows автора Харт Джонсон М

Основные возможности программы Total Commander Рассмотрим работу с популярным файловым менеджером Total Commander, который кроме выполнения основных операций обеспечивает следующие возможности.? Просмотр содержимого папок на двух панелях, причем на каждой панели может


Основные возможности проигрывателя

Из книги Сетевые средства Linux автора Смит Родерик В.

Основные возможности проигрывателя Как правило, первая встреча пользователя с Проигрывателем Windows Media происходит после открытия любого аудио– или видеофайла, а также при вставке музыкального компакт-диска в привод. В этих случаях программа запускается автоматически и


Основные возможности OpenGL

Из книги Программирование для карманных компьютеров автора Волков Владимир Борисович

Основные возможности OpenGL · Набор базовых примитивов: точки, линии, многоугольники и т.п.· Видовые и координатные преобразования· Удаление невидимых линий и поверхностей (z-буфер)· Использование сплайнов для построения линий и поверхностей· Наложение текстуры и


Интерфейс и основные возможности

Из книги Linux глазами хакера автора Флёнов Михаил Евгеньевич

Интерфейс и основные возможности Интерфейс программы прост. Для перевода достаточно ввести слово или словосочетание на русском или английском языках или перетащить его в строку перевода и нажать Enter. В видеоролике «Урок 18.1. Основное окно программы ABBYY Lingvo 12»


14.5. IPTables

Из книги QT 4: программирование GUI на С++ автора Бланшет Жасмин

14.5. IPTables Пакетный фильтр IPChains использовался в ядрах Linux до версии 2.4. В новых версиях ядра (начиная с 2.4) вместо IPChains используется пакетный фильтр IPTables. Практически все основные опции остаются прежними. Только, естественно, в командной строке вместо ipchains следует писать


Основные возможности операционных систем

Из книги автора

Основные возможности операционных систем Windows обеспечивает доступность базовых средств ОС в столь непохожих друг на друга системах, как мобильные телефоны, карманные устройства, переносные компьютеры и серверы масштаба предприятия. Возможности ОС можно


Что такое iptables

Из книги автора

Что такое iptables Для обработки сетевых пакетов ядро 2.4.x использует процедуру, подобную той, которая условно изображена на рис. 25.1. В начале обработки ядро выясняет, предназначен ли пакет для локального компьютера или должен быть перенаправлен на другой узел сети. В


VB.NET: Основные возможности и отличия от VB 6

Из книги автора

VB.NET: Основные возможности и отличия от VB 6 Microsoft взяла за основу для разработки приложений в технологии. NET два языка – VB.NET и C#.NET. Если синтаксис языка C# является почти полной копией синтаксиса Java, то VB.NET унаследовал свой синтаксис от старого Visual Basic. Это сильно облегчило


4.12. iptables

Из книги автора

4.12. iptables Программа iptables является новой разработкой по управлению фильтрами и обеспечению безопасности, но пока еще не смогла завоевать сердца большинства пользователей. Если вы разобрались с утилитой ipchains, то понять принцип работы с iptables будет не сложнее.С помощью iptables