- •Засоби аналізу та управління мережами методичні вказівки
- •Утиліта traceroute/tracert
- •Утиліта nslookup
- •Послідовність виконання роботи
- •Послідовність виконання роботи
- •Лабораторна Робота №3
- •Стани в просторі користувача
- •Послідовність виконання роботи
- •Послідовність виконання роботи
- •Неявні критерії
- •Icmp критерії
- •Icmp критерії
- •Послідовність виконання роботи
- •Критерій mac
- •Критерій Mark
- •Критерій Multiport
- •Критерий State
- •Критерій tos
- •Критерій ttl
- •Послідовність виконання роботи
- •Послідовність виконання роботи
- •Контрольні запитання
- •Засоби аналізу та управління мережами методичні вказівки
Icmp критерії
ICMP використовується, як правило, для передачі повідомлень про помилки і для керування з'єднанням. ICMP не базується на IP протоколі, але взаємодіє з ним, оскільки допомагає обробляти помилкові ситуації. Заголовки ICMP пакетов подібні на IP заголовки, але мають відмінності. Головна властивість цього протоколу полягає в типі заголовку, який містить інформацію про те, що це за пакет. Наприклад, при спробі встановити з'єднання з недоступним хостом, отримується повідомлення ICMP host unreachable. Існує один специфічний критерий для ICMP пакетів. Це розширення завантажується автоматично, коли вказується критерій --protocol icmp. Крім того, для перевірки ICMP пакетів можуть використовуватись і загальні критерії, оскільки відомі і адреса відправника і адреса отримувача і т.д.
Таблиця 11
Icmp критерії
Критерій |
--icmp-type |
Приклад |
iptables -A INPUT -p icmp --icmp-type 8 |
Опис |
Тип повідомлення ICMP визначається номером або іменем. Числові значення визначаються в RFC 792. Щоб отримати список імен ICMP значень, можна використати команду iptables --protocol icmp --help. Символ ! інвертує критерій, наприклад --icmp-type ! 8. |
Послідовність виконання роботи
Ознайомитись з поданими вище теоретичними відомостями.
Додати декілька правил до таблиці Filter, які блокують доступ до даного мережевого вузла з певних IP адрес.
Перевірити блокування доступу до вузла з заблокованих мережевих вузлів.
Вставити декілька правил до таблиці Filter, які дозволяють доступ до даного мережевого вузла з заблокованих раніше вузлів таким чином, щоб дозволяючі правила були в таблиці перед забороняючими правилами.
Перевірити можливість доступу з дозволених мережевих вузлів.
Видалити додані дозволяючі правила.
Вставити декілька правил до таблиці Filter, які дозволяють доступ до даного мережевого вузла з заблокованих раніше вузлів таким чином, щоб дозволяючі правила були в таблиці після забороняючих правил.
Перевірити можливість доступу з дозволених мережевих вузлів.
Скласти звіт з виконання лабораторної роботи обсягом дві-три сторінки друкованого тексту та захистити його.
Контрольні запитання
Пояснити різницю між налаштуваннями з пунктів 4 та 7.
Перерахуйте загальні критерії побудови правил в IPTABLES.
Перерахуйте неявні критерії побудови правил в IPTABLES.
Лабораторна Робота №6
Явні критерії для побудови правил в IPTABLES
Мета роботи: Ознайомитись з явними критеріями для побудови правил в Iptables
Завдання: Створити нові правила з використанням явних критеріїв та перевірити їхню дію
Теоретичні відомості
Явні критерії
Перед використанням цих розширень, вони мають бути завантажені явно, з допомогою ключа -m або --match. Так, наприклад, при використанні критерію state, необхідно явно вказати це в стрічці правила: -m state. Різниця між явними і неявними критеріями полягає тільки в тому, що перші потрібно завантажувати явно, а другі завантажуються автоматично.
Критерій Limit
З допомогою цього критерію встановлюється граничне число пакетів за одиницю часу, яке може пропустити правило. Можна використовувати символ ! для інверсії, наприклад -m limit ! --limit 5/s, що означає, що пакети будуть проходити правило тільки після перевищення обмеження.
При використанні правила --limit 3/minute --limit-burst 5 кожний наступний пакет після 5-ого буде викликати спрацьовування критерія. Через 20 секунд рівень пакетів буде знижено (згідно з величиною --limit), дозволяючи прийняти ще один пакет без спрацьовування критерія.
Ключі критерія limit
Ключ |
--limit |
Приклад |
iptables -A INPUT -m limit --limit 3/hour |
Опис |
Встановлюється середня швидкість "звільнення ємності" за одиницю часу. В якості аргумента вказується число пакетів і час. Можна використовувати такі одиниці часу: /second /minute /hour /day. По замовчуванню прийнято значення 3 пакета в годину - 3/hour. Використання ознаки інверсії умови ! в даному критерії недопустимо. |
Ключ |
--limit-burst |
Приклад |
iptables -A INPUT -m limit --limit-burst 5 |
Опис |
Встановлює максимальне значення числа burst limit для критерія limit. Це число збільшується на одиницю якщо отримано пакет, який поподає під дію даного правила, і при цьому середня швидкість (задається ключом --limit) поступлення пакетів вже досягнута. Так відбувається поки число burst limit не досягне максимального значення, яке встановлюється ключом --limit-burst. Після цього правило починає пропускати пакети зі швидкістю, яка задається ключом --limit. По замовчуванню приймається значення 5. |