IPtables. Применяемые критерии для создания Firewall правил

При создании правила, вы можете установить много разных критериев для контроля, какие пакеты будут подходить под это правило. Action(Действие) будет выполняться только если пакет подходит по всем критериям. Каждый критерий имеет три состояния в правиле:

  • <Ignore> Означает, что данный критерий не участвует в отборе.
  • Equals Условие равенства чему-либо, IP адрес, порт, интерфейс или иные варианты.
  • Does not equal Условие «не равно, всё кроме» чему-либо.

Доступные критерии представлены в таблице ниже. Некоторые из критериев не доступны для всех таблиц и цепочек. Помните, что каждый критерий применяется на уровне пакета и, что одно TCP подключение может включать множество пакетов, которые проходят в обоих направлениях.

Таблица 1 - Критерии используемые в правилах Firewall

Source address or network (IP адрес источника или сеть)

IP адрес, хост или сеть, откуда пришел пакет. Для ввода сети, вы можете использовать нотацию сеть/префикс(типа, 192.168.0.0/16) или сеть/маска(типа 192.168.0.0/255.255.0.0).

Destination address or network (IP адрес назначения или сеть)

IP адрес, хост или сеть, куда направляется пакет. Для ввода сети, вы можете использовать нотацию сеть/префикс(типа, 192.168.0.0/16) или сеть/маска(типа 192.168.0.0/255.255.0.0).

Incoming interface (Входящий интерфейс)

Сетевой интерфейс, через который пакет приходит на firewall.

Outgoing interface (Исходящий интерфейс)

Сетевой интерфейс, с которого пакет будет отправлен firewall системой.

Fragmentation (Фрагментация)

Когда IP пакет больше, чем сеть может физически отправить одномоментно, он будет разделен на несколько фрагментов. Если фрагментация выброна, то правило применяется только к первому пакету или к пакетам, которые не фрагментированы вовсе. Поскольку все фрагменты, кроме первого не содержат информации о протоколе или номера порта, то на них не срабатывают условия protocol, port, TCP, state или type of service.

Network protocol (Сетевой протокол)

Сетевой протокол используемый для передачи пакетов. TCP используется для HTTP, FTP, telnet, SSH, SMTP, POP3 и многих других высокоуровневых протоколов. UDP используется для DNS, NFS и NIS. ICMP используется для команд типа ping и traceroute.

Source TCP or UDP port (Исходящий TCP или UDP порт)

Порт, который используется TCP подключениями или UDP для передачи пакетов. Для пакетов, отправленных клиентом на сервер, порт источника, как правило, случайным образом распределены и, следовательно, бесполезны для межсетевого экрана. Но для пакетов отправляемых от сервера к клиенту, порт источника обычно тот же, к которому подключен клиент.

Если выбрана опция Port(s), вы можете вести один или более номеров портов в соседнее поле через запятую.

Если выбрано Port range, вы должны ввести начало и конец диапазона портов, которые бы покрывал все необходимые порты.

Это условие может быть использовано только если Network protocol устновлено в значение TCP или UDP.

Destination TCP or

UDP port (TCP или UDP порт назначения)

Номер порта на который отправлен пакет по TCP или UDP соединению. Вместо номера вы можете вводите имя из файла /etc/services которое ассоцииоровано с номером порта, типа telnet или http. Как и с условием Source TCP or UDP port, можно вводить список или диапазон  портов, а также обязательно Network protocol должен быть установлен в TCP или UDP.

Source and destination port(s) (порт источник и порт назначения)

Для этого условия оба порт источки и порт назначения должны быть введены в поле разделенные запятыми. Сложно сказать, где это условие было бы полезным.

TCP option number  (Номер TCP опции)

Проверяется номер TCP опции.

TCP flags set (TCP флаги)

Флаги установленные в TCP пакете. Выбор в соседнем ряду определяет, какие флаги будет искать firewall а первый ряд определяет, должен быть установлен этот флаг или нет. Это условие может быть использовано для определения TCP пакетов, которые являются частью одного и того же подключения. Однако условие Connection statе использовать гораздо проще и при этом оно делает то же самое. Для этого условия необходимо, чтобы Network protocol был выбран TCP.

ICMP packet type (Тип ICMP пакета)

Для ICMP пакетов, это условие проверяет его тип. Некоторые типы, например, echo-request и echo-reply отправляются командой Ping тогда как другие используются для низкоуровнего контроля для сетевым трафиком. Поскольку ICMP пакеты обычно безвредны и иногда очень важны, то нет большой нужды в блокировке их. Чтобы использовать это условие, необходимо, чтобы Network protocol был выбран ICMP.

Ethernet address (сетевой адрес)

MAC адрес отправителя пакета. Если пакет был прошел через маршрутизатор, то MAC адрес пакета будет сменен с MAC адреса настоящего отправителя на MAC адрес маршрутизатора. Например, может быть такой MAC адрес 00:D0:B7:1D:FB:AA, как его показывает команда ifconfig.

Packet flow rate (Скорость потока пакетов)

Определяет скорость потока пакетов. Это условие не может ограничивать количество трафика, которое отправляет хост. Оно более полезно для записи в журнал с помощью коменды LOG, количество трафика на которое срабатывает некоторое правило.

Packet burst rate

Максимальное начальное количество пакетов для обработки. Это количество увеличивается на единицу каждый раз пока не достигается Packet flow rate до введенного в поле.

Connection state (Статус подключения)

Обрабатывает пакеты в зависимости от их статуса соединения. Вы можете выбрать более чем один пакет для обработки с любым из выбранных статусов. Возможные значения:

New connection Определяет пакеты которые являются частью нового TCP подключения

Existing connection Пакеты которые являются частью уже установленного соединения.

Related connection Пакеты которые связаны с уже существующим подключением, как например FTP подключение.

Not part of any connection Пакеты которые не относятся к первым трем группам.

Type of service (тип сервиса)

Определяет пакеты согласно выбранному типу IP сервиса.

Sending unix user (UNIX пользователь-отправитель)

Пакеты отправленные локальными процессами, владельцами которых являются выбранные UNIX пользователи. Это условие имеет смысл только в OUTPUT цепочке.

Sending unix group (UNIX группа отправителя)

Пакеты отправляемые локальным процессом, владельцем которого является UNIX группа.

Sending process ID (PID отправителя)

Пакеты отправляемые локальным процессом, с указанным PID.

Sending process group (GID отправителя)

Пакеты отправляемые локальным процессом с указанным group ID.

Additional parameters (Дополнительные параметры)

Это поле может быть использовано для ввода дополнительных параметров к правило, которые не могут быть настроены через интерфейс модуля. Например, log-level warn. Это может быть использовано только если вы знакомы с командами iptables.




Ссылки:

К содержанию

© Copyright 2004-2017 - CMS Made Simple
Сайт работает на CMS Made Simple version 1.4.1

© Все печеньки Break-people.ru принадлежат авторам проекта.

Яндекс цитирования Рейтинг@Mail.ru Яндекс.Метрика