- •Засоби аналізу та управління мережами методичні вказівки
- •Утиліта traceroute/tracert
- •Утиліта nslookup
- •Послідовність виконання роботи
- •Послідовність виконання роботи
- •Лабораторна Робота №3
- •Стани в просторі користувача
- •Послідовність виконання роботи
- •Послідовність виконання роботи
- •Неявні критерії
- •Icmp критерії
- •Icmp критерії
- •Послідовність виконання роботи
- •Критерій mac
- •Критерій Mark
- •Критерій Multiport
- •Критерий State
- •Критерій tos
- •Критерій ttl
- •Послідовність виконання роботи
- •Послідовність виконання роботи
- •Контрольні запитання
- •Засоби аналізу та управління мережами методичні вказівки
Послідовність виконання роботи
Ознайомитись з поданими вище теоретичними відомостями.
Додати декілька правил до таблиць Filter, NAT та Mangle за допомогою команди APPEND
Вставити декілька правил до таблиць Filter, NAT та Mangle за допомогою команди INSERT
Перевірити чи додались нові правила до таблиць.
Видалити додані правила.
Перевірити чи правила були видалені.
Скласти звіт з виконання лабораторної роботи обсягом дві-три сторінки друкованого тексту та захистити його.
Контрольні запитання
Які команди використовуються в IPTABLES для додавання нових правил?
Які команди використовуються в IPTABLES для видалення правил?
Які додаткові ключі можуть бути використані в IPTABLES?
Лабораторна Робота №5
Основні критерії для побудови правил в IPTABLES
Мета роботи: Ознайомитись з основними критеріями для побудови правил в Iptables
Завдання: Створити нові правила згідно з отриманим завданням та перевірити їх дію
Теоретичні відомості
Загальні критерії
Загальні критерії можна використовувати в будь-яких правилах, вони не залежать від типу протоколу і не потребують завантаження модулів розширення.
Таблиця 8
Загальні критерії
Критерій |
-p, --protocol |
Приклад |
iptables -A INPUT -p tcp |
Опис |
Цей критерій використовується для задання типу протоколу (TCP, UDP, ICMP або ALL - всі протоколи). Список протоколів можна побачити в файлі /etc/protocols. В якості протоколу допускається передавати номер протоколу, так наприклад, протоколу ICMP відповідає число 1, TCP -- 6 і UDP -- 17. Для логічної інверсії критерію, перед іменем протоколу використовується символ !, наприклад --protocol ! tcp передбачає пакети протоколів, UDP и ICMP. |
Критерій |
-s, --src, --source |
Приклад |
iptables -A INPUT -s 192.168.1.1 |
Опис |
IP-адреса(и) відправника пакета. Адреса відправника може вказуватись як показано в прикладі (для єдиної IP-адреси), а можна вказувати адресу в вигляді address/mask, наприклад: 192.168.0.0/255.255.255.0, або 192.168.0.0/24, визначаючи діапазон адрес. Символ !, встановлений перед адресою, означає логічне заперечення, тобто --source ! 192.168.0.0/24 означає будь-яку адресу крім адрес 192.168.0.x. |
Критерій |
-d, --dst, --destination |
Приклад |
iptables -A INPUT -d 192.168.1.1 |
Опис |
IP-адреса(и) отримувача. Синтаксис схожий з критерієм --source, за винятком того, що мається на увазі адреса місця призначення. Точно так же можна визначати як єдину IP-адресу, так і діапазон адрес. Символ ! використовується для логічної інверсії критерію. |
Критерій |
-i, --in-interface |
Приклад |
iptables -A INPUT -i eth0 |
Опис |
Інтерфейс, з якого було отримано пакет. Використання цього критерію допускається тільки в ланцюжках INPUT, FORWARD і PREROUTING. При відсутності цього критерію вважається будь-який інтерфейс, що рівнозначно використанню критерію -i +. Символ ! інвертує результат співпадіння. Якщо ім'я інтерфейсу закінчується символом +, то критерій задає всі інтерфейси, які починаються з заданої стрічки, наприклад -i PPP+ означає будь-який PPP інтерфейс, а запис -i ! eth+ -- будь-який інтерфейс, крім будь-якого eth. |
Критерій |
-o, --out-interface |
Приклад |
iptables -A FORWARD -o eth0 |
Опис |
Задає ім'я вихідного інтерфейсу. Цей критерій допускається використовувати тільки в ланцюжках OUTPUT, FORWARD і POSTROUTING. При відсутності цього критерію вважається будь-який інтерфейс, що рівнозначно використанню критерію -o +. Символ ! інвертує результат співпадіння. Якщо ім'я інтерфейсу закінчується символом +, то критерій задає всі інтерфейси, які починаються з заданої стрічки, наприклад -o eth+ означає будь-який eth інтерфейс, а запись -o ! eth+ - будь-який інтерфейс, крім будь-якого eth. |
Критерій |
-f, --fragment |
Приклад |
iptables -A INPUT -f |
Опис |
Правило поширюється на всі фрагменти фрагментованого пакета, крім першого. Це зроблено тому, що немає можливості визначити вхідний/вихідний порт для фрагменту пакета, а для ICMP-пакетів визначити їх тип. З допомогою фрагментованих пакетів можуть здійснюватись атаки на мережевий екран, так як фрагменти пакетів можуть не відловлюватись іншими правилами. Допускається використання символу ! для інверсії результату порівняння, тільки в цьому випадку символ ! має передувати критерію -f, наприклад ! -f. Інверсія критерію трактується як "всі перші фрагменти фрагментованих пакетів і/або нефрагментовані пакети, але не другі і наступні фрагменти фрагментованих пакетів". |