- •Iptables
- •История
- •Архитектура
- •Основные понятия
- •Принцип работы
- •Основные компоненты
- •netfilter
- •iptables
- •conntrack
- •nfnetlink
- •ipset
- •ipvs
- •Механизм определения состояний
- •Критерий состояния соединения
- •Маркировка соединений
- •Использование статистики по соединениям
- •Ограничение количества соединений
- •Отслеживание информации о соединениях
- •Действия
- •Переходы
- •Встроенные действия
- •Терминальные и нетерминальные действия
- •Таблицы
- •Таблица mangle
- •Цепочки
- •Действия
- •Таблица nat
- •Цепочки
- •Действия
- •Таблица filter
- •Цепочки
- •Действия
- •Таблица security
- •Цепочки
- •Действия
- •Таблица raw
- •Цепочки
- •Действия
- •Таблица rawpost
- •Цепочки
- •Действия
- •Критерии
- •Универсальные критерии
- •Критерии, специфичные для протоколов
- •IPsec
- •Критерии состояния соединения
- •conntrack
- •state
- •Дополнительные критерии
- •Вспомогательные критерии
- •Критерии маркировки
- •Лимитирующие критерии
- •Критерий recent
- •Критерий u32
- •Прочие критерии
- •Критерии из набора xtables-addons
- •Программы
- •Основные
- •iptables
- •ipset
- •Вспомогательные
- •Фронтенды
- •С веб-интерфейсом
- •Модули ядра
- •Параметры sysctl/procfs
- •Псевдофайлы procfs
- •Параметры, относящиеся к протоколам
- •Расширения
- •Userspace-компоненты
- •Наборы дополнительных критериев и действий
- •Patch-o-Matic
- •Команды
- •Команды модификации правил
- •Параметры определения правил
- •Модули
- •Некоторые из встроенных (входящие в стандартный пакет)
- •state
- •connlimit
- •iprange
- •multiport
- •Примечания
- •Литература
- •Ссылки
- •Лицензия
Iptables |
30 |
Таблица filter
Предназначена для фильтрации трафика, то есть разрешения и запрещения пакетов и соединений.
Цепочки
Таблица filter содержит следующие цепочки:
•INPUT — эта цепочка обрабатывает трафик, поступающий непосредственно самому хосту.
•FORWARD — позволяет фильтровать транзитный трафик.
•OUTPUT — эта цепочка позволяет фильтровать трафик, исходящий от самого хоста.
Действия
Допустимыми действиями в таблице filter являются:
•ACCEPT — пропуск пакета. Пакет покидает текущую базовую цепочку и следует дальше по потоковой диаграмме (см. рис.).
•REJECT — заблокировать пакет и сообщить его источнику об отказе. По умолчанию об отказе сообщается отправкой ответного ICMP-пакета «icmp-port-unreachable». Однако, это действие поддерживает опцию --reject-with, позволяющую указать формулировку сообщения об отказе (возможные значения: icmp-net-unreachable, icmp-host-unreachable, icmp-proto-unreachable, icmp-net-prohibited, icmp-host-prohibited). Для протокола TCP поддреживается отказ в форме отправки RST-пакета (--reject-with tcp-reset).
•DROP — заблокировать пакет, не сообщая источнику об отказе. Более предпочтительна при фильтрации трафика на интерфейсах, подключенных к интернету, так как понижает информативность сканирования портов хоста злоумышленниками.
Также определенный интерес представляют действия, предоставляемые модулями xtables-addons [8] (в настоящее время этот проект уже включен [20] в Debian testing). Некоторые из них:
•STEAL — аналогично DROP, но в случае использования в цепочке OUTPUT при блокировании исходящего пакета не сообщает об ошибке приложению, пытавшемуся отправить этот пакет.
•TARPIT — «подвесить» TCP-соединение. Используется лишь в самых крайних случаях, например, при борьбе с DoS-атаками. Отвечает на входящее соединение, после чего уменьшает размер фрейма до нуля, блокируя возможность передачи данных. Соединение будет «висеть» в таком состоянии пока не истечет тайм-аут на атакующей стороне (обычно 20—30 минут). При этом на такое соединение расходуются системные ресурсы атакующей стороны (процессорное время и оперативная память), что может быть весьма ощутимо при значительном количестве соединений. В случае правильного использования действия TARPIT ресурсы атакуемой стороны практически не расходуются.
Под правильным применением понимается предотвращение обработки таких соединений подсистемой conntrack, так как в противном случае будут расходоваться системные ресурсы самого атакуемого хоста. Например, перед добавлением правила блокирования порта
iptables -I INPUT -p tcp --dport 25 -j TARPIT
обязательно добавляйте в таблицу raw соответствующее правило
iptables -t raw -I PREROUTING -p tcp --dport 25 -j NOTRACK
предотвращающее обработку блокируемых соединений подсистемой conntrack.
•DELUDE — создать видимость открытого TCP-порта. На SYN-пакеты отвечает пакетами SYN/ACK, на все прочие пакеты отвечает RST. Очень полезно для введения в заблуждение злоумышленника, сканирующего