forrigeBare lidt teori  næste

IPTables det basale

En IP-tabelbaseret brandmur består af tre forskellige grundlæggende “objekter”.

  1. Regler

  2. Kæder

  3. Tabeller

Gennemlæs følgende tre kapitler for at få en kortfattet beskrivelse af disse objekter. Bemærk at dette er kun en hurtig introduktion til IP-tabeller. For mere detaljeret dokumentation, kig i manualsiden for IP-tabeller eller www.iptables.org.

Regler

Objekterne på laveste niveau er “regler”, som udfører pakkefiltreringen eller behandlingen. En regel består af flere dele.

  1. Tabellen hvor denne regel skal tilføjes. Hvis ingen tabel angives, tilføjes reglen i “filter”-tabellen.

  2. Kæden hvor denne regel skal tilføjes, f.eks. INPUT eller FORWARD

  3. Filtrerings- eller håndteringsinstruktioner.

  4. Reglens mål. Dette målet afgør hvad der skal gøres med pakken hvis den opfylder reglen. De vigtigste mål er “DROP”, som smider pakken væk uden nogen yderligere handling, “ACCEPT”, som lader pakken passere brandmuren og sende data til modtageren, og “LOG”, som blot skriver noget information (kilde-IP, portar, etc.) om pakken som opfylder reglen til systemloggen.

Kæder

Disse regler er organiserede i “kæder”, som er enkle ordnede listor med regler. Der er nogle indbyggede kæder som altid er tilgængelige for brugeren, såsom kæderne INPUT og OUTPUT i filtertabellen. Indbyggede kæder har også et såkaldt “standardmål”, som bestemmer hvad der skal gøres med pakker som ikke opfylder nogen af reglerne som defineres i kæden.

For store indstillinger kræves det ofte at regler tilføjes for pakker som ligner hinanden i dele af egenskaberne. Når man indstiller en brandmur som sørger for routerfunktioner, kan man villa have forskellige regler for pakker som kommer fra det interne netværk, end for pakker som kommer fra det farlige internet.

For at gøre det lettere at håndtere sådanne indstillinger, er det muligt at oprette egne kæder. Disse brugerdefinerede kæder har intet “standardmål”.

Brugerdefinerede kæder skal fødes fra regler som har navnet på den brugerdefinerede kæden som mål. Når en pakke passerer hele den brugerdefinerede kæde uden at opfylde nogen af dens regler, sendes pakken tilbage til kæden som fødede denne kæde, lige efter reglen som sendte pakken til den brugerdefinerede kæde.

Pakken sammenlignes med reglerne i den rækkefølge som de defineres i kæden. Dette betyder at pakken testes ikke yderligere hvis reglen inden opfyldes. Så vær nøje med reglernes rækkefølge, eftersom en fejlagtig regelrækkefølge kan forårsage en fejl i indstillingen som det er meget svært at finde.

Tabeller

Eftersom de mange muligheder som IP-tabelregler giver for at filtrere og/eller behandle pakken som kontrolleres, så organiseres selve kæderne i såkaldte “tabeller”. Hver tabel har sit eget sæt af indbyggede kæder, som er direkte tilgængelige til brug.

Der er tre tilgængelige tabeller: “filter”, “nat” og “mangle”.

  1. Filtertabellen” som bruges til pakkefiltrering, som vi alle tænker på, når vi taler om brandmure.

  2. Tabellen “NAT” er oprettet for al slags “netværksadresseoversættelse”, som er en teknologi som bruges til at ændre kilde- og målegenskaber for pakken. Den velkendte “IP-masquerading” er den almindeligste måde at bruge denne funktion.

  3. Tabellen “mangle” er oprettet for kæder og regler som ændrer andre egenskaber i pakker, eller sender dem til brugerprogrammer for at håndteres af et hvilket somhelst andet program. Hvis du ikke overvejr meget komplicerede ting, skulle du ikke behøve at bruge denne tabel.

forrigehjemnæste
En bemærkning om sikkerhed i almindelighed op IPTables brug