Proponuje zeby = niepadało juz pytanie o iptables w zamian przesyłam małe conieco = :D
Pozdrawiam.
KAROL WASILEC
================
Białystok, Poland
/* Linux is like a wigwam: no windows, no gates and =
apache inside */
20 lutego 2003, 14:04, otrzymałem list = następującej treśći:
a> Ta iptables ale macie moze jakie sensowne linki =
jak tego uzywać ???
a> po polskiemu (nietety z angielskiem u mnie nie =
zabardzo)
IPtables jest programem typu firewall używanym do = konfigurowania reguł filtrowania pakietów. Dostępny za darmo na = stronie internetowej pod adresem: http://www.samba.org/netfilter. Jest także zawarty we wszystkich dystrybucjach Linuksa opartych na = jądrze serii 2.4.x.
Polecenie iptables jest używane do konfigurowania = zarówno filtrowania IP, jak i translacji adresów sieciowych (Network = Address Translation).
Ogólna składnia większości poleceń iptables =
wygląda następująco:
=
rozszerzenie
Poniżej przedstawiam większość poleceń = firewalli należy dokładnie zapoznać się z podręcznikiem = systemowym Linuxa.
Polecenia iptables:
" -A =
łańcuch
Dodanie jednej lub kilu reguł na koniec zadanego =
łańcucha. Jeżeli zostanie podana nazwa hosta źródłowego lub =
reguła zostanie dodana do każdego adresu.
" -I =
łańcuch numer_reguły
Wstawienie jednej lub kilku reguł na początku =
zadanego łańcucha. Jeżeli zostanie podana nazwa hosta =
źródłowego lub docelowego, z którą związany jest więcej =
niż jeden adres IP, reguła zostanie dodana do każdego =
adresu.
" -D =
łańcuch
Usunięcie jednej lub kilku reguł z zadanego =
łańcucha, który takie reguły zawiera.
" -D =
łańcuch numer_reguły
Usunięcie reguły znajdującej się na pozycji =
numer_reguły w zadanym łańcuchu. Liczenie reguł zaczyna się od =
1 w przypadku pierwszej reguły w łańcuchu.
" -R =
łańcuch numer_reguły
Zastąpienie reguły na pozycji numer_reguły w =
zadanym łańcuchu o podanej charakterystyce.
" -C =
łańcuch
Sprawdzenie zadanym łańcuchem datagramu opisanego =
przez regułę.
" -L =
[łańcuch]
Wylistowanie reguł ze wszystkich łańcuchów [z =
zadanego łańcucha].
" -F =
[łańcuch]
Usunięcie reguł ze wszystkich łańcuchów [z =
zadanego łańcucha].
" -Z =
[łańcuch]
Wyzerowanie liczników bajtów i datagramów dla =
wszystkich reguł we wszystkich łańcuchach [w zadanym =
łańcuchu].
" -N =
łańcuch
Utworzenie nowego łańcucha o zadanej nazwie. Nie =
mogą istnieć dwa łańcuchy o takiej samej nazwie. W ten sposób =
tworzy się łańcuch definiowany przez użytkownika.
" -X =
[łańcuch]
Usunięcie [zadanego] łańcucha zdefiniowanego =
przez użytkownika lub wszystkich takich łańcuchów, jeżeli =
żaden nie zostanie wybrany.
" -P =
łańcuch polityka
Ustawienie domyślnej polityki dla zadanego =
łańcucha. Dopuszczalne polityki to: ACCEPT, DROP, QUEUE, RETURN. =
ACCEPT - pozwala na przepuszczenie datagramu. DROP - powoduje, że =
przestrzeni użytkownika w celu dalszego przetwarzania. RETURN - =
powoduje, że kod firewalla IP wraca do łańcucha, który go =
wywołał i kontynuuje działanie do następnej reguły.
Parametry iptables do definiowania reguł:
" -p[!] =
protokół
Określa protokół datagramu, który ma =
pasować do tej reguły. Dopuszczalne nazwy protokołów to: tcp, =
udp, icmp, lub numer, jeśli znamy numery protokołów IP. Gdy podamy =
znak !, reguła zostanie zanegowana, a datagram pasowałby do =
każdego protokołu poza podanym. Jeśli parametr nie zostanie =
określony, domyślnie będą przyjęte wszystkie =
protokoły.
" =
-s[!]adres[/maska]
Określa adres źródłowy datagramu, który =
będzie pasował od tej reguły. Adres może być podany w postaci =
hosta, nazwy sieci lub adresu IP. Opcjonalny parametr maska definiuje =
maskę sieci, która ma być zastosowana. Możemy ją podać w =
postaci /255.255.255.0 bądź też /24.
" =
-d[!]adres[/maska]
" =
-i[!]nazwa_interfejsu
" =
-o[!]nazwa_interfejsu
Opcje
" =
--numer_wierszy
" -n
" -v
Rozszerzenia TCP: używane z -m tcp -p tcp
" =
--sport[!][port[:port]]
" =
--dport[!][port[:port]]
" [!] =
--syn
Rozszerzenia UDP: używane z -m udp -p udp
" =
--sport[!][port[:port]]
Rozszerzenia ICMP: używane z -m icmp -p icmp
" =
--icmp-type[!] nazwa_typu
Rozszerzenia MAC: używane z -m mac
" =
--mac-source[!] adres
Określa adres przeznaczenie i port datagramu, =
który będzie pasował do tej reguły.
" -j =
Określa, jakie działanie ma zostać podjęte, =
gdy reguła zostanie dopasowana. Dopuszczalne cele to: ACCEPT, DROP, =
QUEUE i RETURN. Jako cel możemy także podać nazwę łańcucha =
zdefiniowanego przez użytkownika, w którym będzie wykonywane =
Określa interfejs który przyjął datagram. =
Jeśli nazwa interfejsu kończy się znakiem +, pasował będzie =
każdy interfejs, którego nazwa zaczyna się zadanym ciągiem np. =
Określa interfejs, na który datagram będzie =
wysłany.
" =
[!]-f
Mówi, że reguła ta dotyczy tylko drugiego i =
fragmentu.
Powoduje, że przy wyświetlaniu zestawów reguł =
pokazywane są numery wierszy. Numer wiersza odpowiada pozycji reguły =
w łańcuchu.
Powoduje, że iptables wyświetla adresy IP i porty =
tylko jako liczby, nie próbuje zamieniać ich na odpowiadające im =
nazwy.
Powoduje, że iptables wyświetla bogate wyniki. =
Podawane będzie więcej informacji.
Określa port, z którego musi pochodzić =
portów, podając górny i dolny limit.
Określa port, do którego musi być skierowany =
" =
--tcp-flags [!] maska lista
Określa, że reguła pasuje, gdy znaczniki TCP w =
lista rozdzielonych przecinkami znaczników, które powinny być =
sprawdzone przy przeprowadzaniu testu. Lista, to lista znaczników, =
które muszą być ustawione, aby reguła pasowała. Dopuszczalne =
znaczniki to: SYN, ACK, FIN, RST, URG, PSH, ALL, NONE.
Powoduje, że reguła pasuje tylko do datagramów =
z ustawionym bitem SYN i wyzerowanymi bitami ACK i FIN. Datagramy z tymi =
bitami są używane do otwierania połączeń TCP i dlatego ta =
opcja jest używana do obsługi żądań połączeń.
Określa port, z którego musi pochodzić =
" =
--dport[!][port[:port]]
Określa port, do którego musi być skierowany =
Określa typ komunikatu ICMP pasującego do =
reguły. Typ może być określony przez nazwę lub numer. =
Niektóre dopuszczalne nazwy to: echo-request, echo-reply, =
source-quench, time-exceeded, destination-unreachable, host- =
unreachable, protocol- unreachable, port- unreachable.
Określa adres hosta Ethernet, który wysłał =