В простейшем случае брандмауэр - это фильтрующий маршрутизатор, который блокирует нежелательный трафик. Используйте возможности маршрутизации многосетевого узла под управлением Linux и функции фильтрации iptables для создания фильтрующего маршрутизатора.
Ядро Linux делит трафик маршрутизатора на три категории и применяет для каждой из категорий отдельный набор правил фильтров:
INPUT - Входящий трафик, адресованный процессу локальной системы, должен пройти через правила фильтра INPUT, прежде чем будет принят системой.
OUTPUT - Исходящий трафик, источником которого является локальная система, должен пройти через правила фильтра OUTPUT, прежде чем будет отправлен.
FORWARD - Трафик, исходящий от внешней системы и адресованный другой внешней системе, должен пройти через правила фильтра FORWARD.
Правила INPUT и OUTPUT используются в случае, когда система выступает в роли узла. Правила FORWARD используются, когда система выступает и роли маршрутизатора. Помимо трех стандартных категорий, iptables позво ляет пользователям создавать собственные категории.
Создание фильтрующих правил iptables
Ядро Linux хранит список правил для каждой из описанных категорий. Работа со списком правил осуществляется при помощи команды iptables. Используйте ключи команды iptables, описанные в табл. 12.2, для создания или удаления пользовательских цепочек правил, добавления правил в цепочку, удаления правил из цепочки, а также для изменения порядка следования правил в цепочке.
Таблица 12.2. Ключи командной строки iptables
| Ключ | Назначение |
| -A | Добавляет правила в конец набора |
| -D | Удаляет правила из набора |
| -Е | Изменяет имя набора |
| -F | Удаляет все правила из набора |
| -I | Вставляет правило в указанной точке цепочки (набора) |
| -L | Перечисляет все правила набора |
| -N | Создает пользовательский набор правил с указанным именем |
| -P | Устанавливает область применения цепочки |
| -R | Заменяет правило цепочки |
| -X | Удаляет указанный пользовательский набор правил |
| -Z | Обнуляет все счетчики пакетов и байтов |
Правило брандмауэра состоит из фильтра, с которым сопоставляются пакеты, и действия, предпринимаемого, если пакет соответствует фильтру. Действие может являться стандартным правилом либо переходом к пользовательскому набору правил, реализующему дополнительную обработку. Ключ командной строки - j цель указывает пользовательский набор правил или стандартное правило обработки пакета, цель может быть представлена именем набора правил либо ключевым словом стандартного правила. Существуют следующие ключевые слова для стандартных правил:
- Назад
- Вперёд >>
