Фильтрация трафика при помощи iptables

Содержание материала

Звезда не активнаЗвезда не активнаЗвезда не активнаЗвезда не активнаЗвезда не активна
 

ACCEPT - Разрешает передачу пакета через брандмауэр.

DROP - Предписывает удалить пакет.

QUEUE - Предписывает передать пакет в область пользовательских процессов для обработки.

RETURN - В наборе правил, определенном пользователем, данное ключевое слово предписывает вернуться в набор правил, из которого произошел вызов. В одном из трех стандартных наборов правил ядра RETURN предписывает прервать обработку цепочки и воспользоваться стандартным правилом для этой цепочки.

Команды iptables создают фильтры, применяемые в зависимости от протокола, адресов источника и адресата либо сетевого интерфейса, через который поступил пакет. Этой цели служат многочисленные ключи командной строки. Ниже описаны основные ключи iptables для создания фильтров:

-р протокол - Определяет протокол, для которого справедливо правило. В качестве значения аргумента протокол может выступать любой номер из файла /etc/ protocols либо одно из ключевых слов: tcp, udp, icmp.

-s адрес[/маска] - Определяет адрес источника пакетов, для которых справедливо правило. адрес может быть представлен именем узла, именем сети либо адресом IP.

--spor t [порт[\порт]] - Определяет исходный порт пакетов, для которых справедливо правило. порт может быть представлен именем или номером из файла /etc/services. Синтаксис порт: порт позволяет определить диапазон портов. Если значение порта не указано, правило применяется для всех исходных портов.

-d адрес[/маска] - Определяет конечный адрес пакетов, для которых справдливо правило. адрес может быть представлен именем узла, именем сети либо адресом IP.

--dport [порт[:порт] - Определяет целевой порт пакетов, для которых справедливо правило. Правило фильтрует весь трафик, проходящий через указанный порт, порт определяется по правилам, описанным для ключа --sport.

--icmp-type тип - Определяет тип ICMP, для которого справедливо правило, тип может быть представлен любым именем или номером типа сообщения ICMP.

-i имя - Определяет имя входящего сетевого интерфейса, для которого справед- ливо правило. Правило действует только на пакеты, полученные через этот интерфейс. Символ + в конце имени позволяет задавать интерфейсы по маске (eth+ соответствует всем Ethernet-интерфейсам, имена которых начинаются с eth).

-о имя - Определяет имя исходящего сетевого интерфейса, для которого справедливо правило. Правило действует только на пакеты, передаваемые через этот интерфейс. Символ + в конце имени позволяет задавать интерфейсы по маске (eth+ соответствует всем Ethernet-интерфейсам, имена которых начинаются с eth).

-f - Указывает, что правило относится только ко второму и последующим фрагментам пакета, разбитого на несколько частей.


Обмениваться, хранить, передавать Ваши файлы стало просто как никогда.
yandex-disk
Читать подробнее: для чего Yandex-Диск проекту Mini-Server. Практика установки, настройки и использования сетевого хранилища на Ubuntu server LTS 12.04 в статье Резервное копирование сервера Ubuntu на Яндекс Диск.

>> Ubuntu 12.04 + Nginx Скачать сервер
>> Fedora 15 Скачать сервер
>> Простой Debian 6.0.6 Скачать сервер
>> CentOS 6.0 и
+ (5.6) другой
Скачать сервер
>> OpenSUSE 11.4
MAX
Скачать сервер

Вход на сайт

ВНИМАНИЕ!

Регистрация на сайте только по согласованию с администратором ресурса. Обращаться через форму обратной связи.