Федеральное государственное бюджетное
ACCEPT Пропускает удовлетворяющий условию пакет (пакет покидает данную цепочку и передается дальше). DROP
жүктеу/скачать 453.59 Kb. Pdf көрінісі
|
- Бұл бет үшін навигация:
- RETURN Возвращает пакет в ту цепочку, из которой он прибыл. SNAT
- Примеры Настроим простейший шлюз для раздачи интернета для дома или мало- го офиса (SOHO). Допустим, что внутрь сети смотрит интерфейс eth1
| ACCEPT
Пропускает удовлетворяющий условию пакет (пакет покидает данную цепочку и передается дальше). DROP Выбрасывает удовлетворяющий условию пакет (молча, как будто он и не приходил). REJECT Отклоняет пакет, сообщая об этом передавшему. Имеет дополни- тельный параметр ‘—reject-with’, определяющий сообщение, ко- торое будет передано отправившему пакет. Это могут быть: icmp- net-unreachable, icmp-host-unreachable, icmp-port-unreachable (по умолчанию), icmp-proto-unreachable, icmp-net-prohibitedor и icmp-host-prohibited. Сообщение (по умолчанию “порт недосту- пен”) возвращается отправившему пакет компьютеру. LOG Заносит в журнал информацию о пакете. Полезно в комбинации с DROP и REJECT для отладки. RETURN Возвращает пакет в ту цепочку, из которой он прибыл. SNAT Применяет source NAT ко всем удовлетворяющим условию паке- там. Может использоваться только в цепочках POSTROUTING и OUTPUT таблицы nat. DNAT Применяет destination NAT ко всем удовлетворяющим условию пакетам. Может использоваться только в цепочке POSTROUTING таблицы nat. MASQUERADE Может применяться только в цепочке POSTROUTING таблицы nat. Используется при наличии соединения с динамическим IP. Похож на SNAT, однако имеет свойство “забывать” про все ак- тивные соединения при потере интерфейса. Это полезно при на- личии соединения, на котором время от времени меняется IP- адрес, но при наличии постоянного IP это только доставит не- удобства. В том числе поэтому рекомендуется для статических IP использовать SNAT. 21 Примеры Настроим простейший шлюз для раздачи интернета для дома или мало- го офиса (SOHO). Допустим, что внутрь сети смотрит интерфейс eth1 с ip адресом 192.168.1.1, а в интернет - интерфейс eth0: Разрешим пропуск трафика через шлюз (в противном случае трафик не проходит цепочку FORWARDING): #sysctl -w net.ipv4.ip_forward="1" Добавим правило для маскировки ip в цепочку POSTROUTING табли- цы nat #iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE Теперь клиенты внутренней сети могут получить возможность доступа в Интернет, установив в качестве шлюза адрес 192.168.1.1. Теперь попробуем нечто более интересное: запретим возможность ус- тановки новых соединений с маршрутизатором из интернета, а также фор- вардинг из сетей отличных от 192.168.1.0/24 . Установим политики по умолчанию для цепочек в DROP, запретив все соединения кроме тех, которые будут разрешены: #iptables -P INPUT DROP #iptables -P FORWARD DROP #iptables -P OUTPUT DROP Разрешим входящие соединения на маршрутизатор с внутренней сети (для управления) #iptables -A INPUT -i eth1 --source 192.168.1.0/24 --match state -- state NEW,ESTABLISHED -j ACCEPT Разрешим маршрутизатору отвечать компьютерам во внутренней сети: #iptables -A OUTPUT -o eth1 --destination 192.168.1.0/24 --match state --state NEW,ESTABLISHED -j ACCEPT Разрешим перенаправление пакетов из внутренней сети во внешнюю для установки соединений и установленных соединений: #iptables -A FORWARD -i eth1 --source 192.168.1.0/24 --destination 0.0.0.0/0 --match state --state NEW,ESTABLISHED -j ACCEPT Разрешим перенаправление пакетов из интернета во внутреннюю сеть только для установленных соединений: #iptables -A FORWARD -i eth0 --destination 192.168.1.0/24 --match state --state ESTABLISHED -j ACCEPT 22 Итак: • Маршрутизатор разрешает клиентам внутренней сети устанавливать соединение с узлами в Интернет. • Маршрутизатор имеет возможность удаленного управления из внутренней сети и только из внутренней сети. • Маршрутизатор блокирует все попытки установить новое соедине- ние из сети Интернет. • Маршрутизатор не принимает пакеты из сети Интернет сам, только перенаправляет пакеты во внутреннюю сеть и только принадлежа- щие установленным соединениям. 23 |