OS Linux / iptables-tutorial / iptables-tutorial
.htmlIptables Tutorial 1.1.19 Iptables Tutorial 1.1.19 бЧФПТ: Oskar Andreasson љљљљљblueflux@koffein.net
љљљљљљCopyright (C) 2001-2003 Oskar Andreasson
љљљљ
рЕТЕЧПД: бОДТЕК лЙУЕМЕЧ љљљљљkis_an@mail.ru
љљљљ
рПУМЕДОАА ЧЕТУЙА ДПЛХНЕОФБ НПЦОП РПМХЮЙФШ РП БДТЕУХ: http://iptables-tutorial.frozentux.net .
дПРХУЛБЕФУС ЛПРЙТПЧБОЙЕ Й/ЙМЙ НПДЙЖЙЛБГЙС ДБООПЗП ДПЛХНЕОФБ ЙМЙ ЕЗП ЮБУФЙ, Ч УППФЧЕФУФЧЙЙ У УПЗМБЫЕОЙСНЙ, РТЙОСФЩНЙ Ч GNU Free Documentation License, ЧЕТУЙЙ 1.1. оЕЙЪНЕОСЕНЩНЙ ТБЪДЕМБНЙ СЧМСАФУС ТБЪДЕМ "чЧЕДЕОЙЕ" Й ЧУЕ РПДТБЪДЕМЩ ЬФПЗП ТБЪДЕМБ, Б ФБЛ ЦЕ ТБЪДЕМЩ, ОБЮЙОБАЭЙЕУС УМПЧБНЙ "Original Author: Oskar Andreasson", лПРЙС GNU Free Documentation License ЧЛМАЮЕОБ Ч ДБООЩК ДПЛХНЕОФ Й ОБИПДЙФУС Ч УЕЛГЙЙ "GNU Free Documentation License".
чУЕ УГЕОБТЙЙ Ч ДБООПН ТХЛПЧПДУФЧЕ РПДРБДБАФ РПД ДЕКУФЧЙЕ GNU General Public License. пОЙ СЧМСАФУС УЧПВПДОП ТБУРТПУФТБОСЕНЩНЙ Й НПЗХФ ЛПРЙТПЧБФШУС Й/ЙМЙ НПДЙЖЙГЙТПЧБФШУС Ч УППФЧЕФУФЧЙЙ У ХУМПЧЙСНЙ GNU General Public License ЧЕТУЙЙ 2.
уГЕОБТЙЙ ТБУРТПУФТБОСАФУС Ч ОБДЕЦДЕ ОБ ФП, ЮФП ПОЙ ВХДХФ РПМЕЪОЩ ЧБН, ОП веъ лблйи мйвп збтбофйк. ъБ ДПРПМОЙФЕМШОПК ЙОЖПТНБГЙЕК ПВТБЭБКФЕУШ Л ФЕЛУФХ GNU General Public License.
у ДБООЩН ДПЛХНЕОФПН ДПМЦОБ ТБУРТПУФТБОСФШУС ЛПРЙС GNU General Public License, Ч УЕЛГЙЙ "GNU General Public License"; Ч УМХЮБЕ ЕЕ ПФУХФУФЧЙС ЧЩ НПЦЕФЕ ОБРЙУБФШ РП БДТЕУХ Free Software Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA 02111-1307 USA
уПДЕТЦБОЙЕ рПУЧСЭЕОЙС пВ БЧФПТЕ лБЛ ЮЙФБФШ ЬФПФ ДПЛХНЕОФ рТЕДЧБТЙФЕМШОЩЕ ХУМПЧЙС фЙРПЗТБЖУЛЙЕ УПЗМБЫЕОЙС 1. чЧЕДЕОЙЕ 1.1. рПЮЕНХ ВЩМП ОБРЙУБОП ДБООПЕ ТХЛПЧПДУФЧП 1.2. лБЛ ПО ВЩМ ОБРЙУБО 1.3. фЕТНЙОЩ, ЙУРПМШЪХЕНЩЕ Ч ДБООПН ДПЛХНЕОФЕ 2. рПДЗПФПЧЛБ 2.1. зДЕ ЧЪСФШ iptables 2.2. оБУФТПКЛБ СДТБ 2.3. хУФБОПЧЛБ РБЛЕФБ 2.3.1. уВПТЛБ РБЛЕФБ 2.3.2. хУФБОПЧЛБ Ч Red Hat 7.1 3. рПТСДПЛ РТПИПЦДЕОЙС ФБВМЙГ Й ГЕРПЮЕЛ 3.1. пВЭЙЕ РПМПЦЕОЙС 3.2. фБВМЙГБ Mangle 3.3. фБВМЙГБ Nat 3.4. фБВМЙГБ Filter 4. нЕИБОЙЪН ПРТЕДЕМЕОЙС УПУФПСОЙК 4.1. чЧЕДЕОЙЕ 4.2. фБВМЙГБ ФТБУУЙТПЧЭЙЛБ 4.3. уПУФПСОЙС Ч РТПУФТБОУФЧЕ РПМШЪПЧБФЕМС 4.4. TCP УПЕДЙОЕОЙС 4.5. UDP УПЕДЙОЕОЙС 4.6. ICMP УПЕДЙОЕОЙС 4.7. рПЧЕДЕОЙЕ РП-ХНПМЮБОЙА 4.8. фТБУУЙТПЧЛБ ЛПНРМЕЛУОЩИ РТПФПЛПМПЧ 5. уПИТБОЕОЙЕ Й ЧПУУФБОПЧМЕОЙЕ ВПМШЫЙИ ОБВПТПЧ РТБЧЙМ 5.1. рМАУЩ 5.2. й НЙОХУЩ 5.3. iptables-save 5.4. iptables-restore 6. лБЛ УФТПЙФШ РТБЧЙМБ 6.1. пУОПЧЩ 6.2. фБВМЙГЩ 6.3. лПНБОДЩ 6.4. лТЙФЕТЙЙ 6.4.1. пВЭЙЕ ЛТЙФЕТЙЙ 6.4.2. оЕСЧОЩЕ ЛТЙФЕТЙЙ 6.4.3. сЧОЩЕ ЛТЙФЕТЙЙ 6.4.4. лТЙФЕТЙК "НХУПТБ" (Unclean match) 6.5. дЕКУФЧЙС Й РЕТЕИПДЩ 6.5.1. дЕКУФЧЙЕ ACCEPT 6.5.2. дЕКУФЧЙЕ DNAT 6.5.3. дЕКУФЧЙЕ DROP 6.5.4. дЕКУФЧЙЕ LOG 6.5.5. дЕКУФЧЙЕ MARK 6.5.6. дЕКУФЧЙЕ MASQUERADE 6.5.7. дЕКУФЧЙЕ MIRROR 6.5.8. дЕКУФЧЙЕ QUEUE 6.5.9. дЕКУФЧЙЕ REDIRECT 6.5.10. дЕКУФЧЙЕ REJECT 6.5.11. дЕКУФЧЙЕ RETURN 6.5.12. дЕКУФЧЙЕ SNAT 6.5.13. дЕКУФЧЙЕ TOS 6.5.14. дЕКУФЧЙЕ TTL 6.5.15. дЕКУФЧЙЕ ULOG 7. жБКМ rc.firewall 7.1. рТЙНЕТ rc.firewall 7.2. пРЙУБОЙЕ УГЕОБТЙС rc.firewall 7.2.1. лПОЖЙЗХТБГЙС 7.2.2. ъБЗТХЪЛБ ДПРПМОЙФЕМШОЩИ НПДХМЕК 7.2.3. оБУФТПКЛБ /proc 7.2.4. тБЪНЕЭЕОЙЕ РТБЧЙМ РП ТБЪОЩН ГЕРПЮЛБН 7.2.5. хУФБОПЧЛБ РПМЙФЙЛ РП-ХНПМЮБОЙА 7.2.6. уПЪДБОЙЕ РПМШЪПЧБФЕМШУЛЙИ ГЕРПЮЕЛ Ч ФБВМЙГЕ filter 7.2.7. гЕРПЮЛБ INPUT 7.2.8. гЕРПЮЛБ FORWARD 7.2.9. гЕРПЮЛБ OUTPUT 7.2.10. гЕРПЮЛБ PREROUTING ФБВМЙГЩ nat 7.2.11. ъБРХУЛ SNAT Й ГЕРПЮЛБ POSTROUTING 8. рТЙНЕТЩ УГЕОБТЙЕЧ 8.1. уФТХЛФХТБ ЖБКМБ rc.firewall.txt 8.1.1. уФТХЛФХТБ 8.2. rc.firewall.txt 8.3. rc.DMZ.firewall.txt 8.4. rc.DHCP.firewall.txt 8.5. rc.UTIN.firewall.txt 8.6. rc.test-iptables.txt 8.7. rc.flush-iptables.txt 8.8. Limit-match.txt 8.9. Pid-owner.txt 8.10. Sid-owner.txt 8.11. Ttl-inc.txt 8.12. Iptables-save ruleset A. дЕФБМШОПЕ ПРЙУБОЙЕ УРЕГЙБМШОЩИ ЛПНБОД A.1. чЩЧПД УРЙУЛБ РТБЧЙМ A.2. йЪНЕОЕОЙЕ Й ПЮЙУФЛБ ЧБЫЙИ ФБВМЙГ B. пВЭЙЕ РТПВМЕНЩ Й ЧПРТПУЩ B.1. рТПВМЕНЩ ЪБЗТХЪЛЙ НПДХМЕК B.2. рБЛЕФЩ УП УФБФХУПН NEW Й УП УВТПЫЕООЩН ВЙФПН SYN B.3. SYN/ACK - РБЛЕФЩ Й РБЛЕФЩ УП УФБФХУПН NEW B.4. рПУФБЧЭЙЛЙ ХУМХЗ Internet, ЙУРПМШЪХАЭЙЕ ЪБТЕЪЕТЧЙТПЧБООЩЕ IP-БДТЕУБ B.5. лБЛ ТБЪТЕЫЙФШ РТПИПЦДЕОЙЕ DHCP ЪБРТПУПЧ ЮЕТЕЪ iptables B.6. рТПВМЕНЩ mIRC DCC C. фЙРЩ ICMP D. уУЩМЛЙ ОБ ДТХЗЙЕ ТЕУХТУЩ E. вМБЗПДБТОПУФЙ F. иТПОПМПЗЙС G. GNU Free Documentation License 0. PREAMBLE 1. APPLICABILITY AND DEFINITIONS 2. VERBATIM COPYING 3. COPYING IN QUANTITY 4. MODIFICATIONS 5. COMBINING DOCUMENTS 6. COLLECTIONS OF DOCUMENTS 7. AGGREGATION WITH INDEPENDENT WORKS 8. TRANSLATION 9. TERMINATION 10. FUTURE REVISIONS OF THIS LICENSE How to use this License for your documents H. GNU General Public License 0. Preamble 1. TERMS AND CONDITIONS FOR COPYING, DISTRIBUTION AND MODIFICATION 2. How to Apply These Terms to Your New Programs I. рТЙНЕТЩ УГЕОБТЙЕЧ I.1. рТЙНЕТ rc.firewall I.2. рТЙНЕТ rc.DMZ.firewall I.3. рТЙНЕТ rc.UTIN.firewall I.4. рТЙНЕТ rc.DHCP.firewall I.5. рТЙНЕТ rc.flush-iptables I.6. рТЙНЕТ rc.test-iptables рЕТЕЮЕОШ ФБВМЙГ 3-1. рПТСДПЛ ДЧЙЦЕОЙС ФТБОЪЙФОЩИ РБЛЕФПЧ 3-2. дМС МПЛБМШОПЗП РТЙМПЦЕОЙС 3-3. пФ МПЛБМШОЩИ РТПГЕУУПЧ 4-1. рЕТЕЮЕОШ УПУФПСОЙК Ч РТПУФТБОУФЧЕ РПМШЪПЧБФЕМС 4-2. Internal states 6-1. фБВМЙГЩ 6-2. лПНБОДЩ 6-3. дПРПМОЙФЕМШОЩЕ ЛМАЮЙ 6-4. пВЭЙЕ ЛТЙФЕТЙЙ 6-5. TCP ЛТЙФЕТЙЙ 6-6. UDP ЛТЙФЕТЙЙ 6-7. ICMP ЛТЙФЕТЙЙ 6-8. лМАЮЙ ЛТЙФЕТЙС limit 6-9. лМАЮЙ ЛТЙФЕТЙС MAC 6-10. лМАЮЙ ЛТЙФЕТЙС Mark 6-11. лМАЮЙ ЛТЙФЕТЙС Multiport 6-12. лМАЮЙ ЛТЙФЕТЙС Owner 6-13. лМАЮЙ ЛТЙФЕТЙС State 6-14. лМАЮЙ ЛТЙФЕТЙС TOS 6-15. лМАЮЙ ЛТЙФЕТЙС TTL 6-16. дЕКУФЧЙЕ DNAT 6-17. лМАЮЙ ДЕКУФЧЙС LOG 6-18. лМАЮЙ ДЕКУФЧЙС MARK 6-19. дЕКУФЧЙЕ MASQUERADE 6-20. дЕКУФЧЙЕ REDIRECT 6-21. дЕКУФЧЙЕ REJECT 6-22. дЕКУФЧЙЕ SNAT 6-23. дЕКУФЧЙЕ TOS 6-24. дЕКУФЧЙЕ TTL 6-25. дЕКУФЧЙЕ ULOG C-1. ICMP types рПУЧСЭЕОЙС рТЕЦДЕ ЧУЕЗП, С ИПФЕМ ВЩ РПУЧСФЙФШ ДБООЩК ДПЛХНЕОФ НПЕК ЪБНЕЮБФЕМШОПК РПДТХЗЕ оЙОЕМШ (Ninel). пОБ РПДДЕТЦЙЧБЕФ НЕОС ВПМШЫЕ, ЮЕН С ЛПЗДБ-МЙВП УНПЗХ РПДДЕТЦБФШ ЕЕ.
чП-ЧФПТЩИ - ЧУЕН ТБЪТБВПФЮЙЛБН Linux УДЕМБЧЫЙН ЬФХ ЪБНЕЮБФЕМШОХА ПРЕТБГЙПООХА УЙУФЕНХ, ЪБ ЙИ ОЕЧЕТПСФОП ОБРТСЦЕООЩК ФТХД.
пВ БЧФПТЕ с ЮЕМПЧЕЛ, ЛПФПТЩК ЙНЕЕФ ОБ УЧПЕН РПРЕЮЕОЙЙ ДПУФБФПЮОП НОПЗП УФБТЕОШЛЙИ ЛПНРШАФЕТПЧ, ПВЯЕДЙОЕООЩИ НОПА Ч МПЛБМШОХА УЕФШ У ЧЩИПДПН Ч йОФЕТОЕФ, Й ПВЕУРЕЮЙЧБАЭЙК ЙИ ВЕЪПРБУОПУФШ. й Ч ЬФПН ПФОПЫЕОЙЙ РЕТЕИПД ПФ ipchains Л iptables СЧМСЕФУС ПРТБЧДБООЩН. тБОЕЕ ДМС РПЧЩЫЕОЙС ВЕЪПРБУОПУФЙ УЧПЕК УЕФЙ, ЧЩ НПЗМЙ ПФУЕЛБФШ ЧУЕ РБЛЕФЩ, ЪБЛТЩЧБС ПРТЕДЕМЕООЩЕ РПТФЩ, ПДОБЛП ЬФП РПТПЦДБМП РТПВМЕНЩ У РБУУЙЧОЩН FTP (passive FTP) ЙМЙ ЙУИПДСЭЙН DCC Ч IRC (outgoing DCC in IRC), ДМС ЛПФПТЩИ РПТФЩ ОБ УЕТЧЕТЕ ОБЪОБЮБАФУС ДЙОБНЙЮЕУЛЙ Й РПФПН УППВЭБАФУС ЛМЙЕОФХ ДМС ЧЩРПМОЕОЙС УПЕДЙОЕОЙС. ч УБНПН ОБЮБМЕ С УФПМЛОХМУС У ОЕЛПФПТЩНЙ 'ВПМЕЪОСНЙ', РЕТЕЛПЮЕЧБЧЫЙНЙ ЙЪ ipchains, Й УЮЙФБМ ЛПД iptables ОЕ УПЧУЕН ЗПФПЧЩН Л ПЛПОЮБФЕМШОПНХ ЧЩРХУЛХ. уЕЗПДОС ЦЕ С НПЗ ВЩ РПТЕЛПНЕОДПЧБФШ ЧУЕН, ЛФП ЙУРПМШЪХЕФ Ч УЧПЕК ТБВПФЕ ipchains Й ipfwadm 'РЕТЕУЕУФШ' ОБ iptables!
лБЛ ЮЙФБФШ ЬФПФ ДПЛХНЕОФ ьФПФ ДПЛХНЕОФ ОБРЙУБО, ФБЛ ЮФПВЩ ПВМЕЗЮЙФШ ЮЙФБФЕМСН РПОЙНБОЙЕ ЪБНЕЮБФЕМШОПЗП НЙТБ iptables. ъДЕУШ ЧЩ ОЕ ОБКДЕФЕ ЙОЖПТНБГЙЙ ПВ ПЫЙВЛБИ Ч iptables ЙМЙ Ч netfilter. еУМЙ ЧЩ УФПМЛОЕФЕУШ У ОЙНЙ, ФП НПЦЕФЕ УЧСЪСФШУС У ЛПНБОДПК ТБЪТБВПФЮЙЛПЧ, Б ПОЙ Ч ПФЧЕФ НПЗХФ УППВЭЙФШ ЧБН, ДЕКУФЧЙФЕМШОП МЙ УХЭЕУФЧХЕФ ФБЛБС ПЫЙВЛБ. оБ УЕЗПДОСЫОЙК ДЕОШ iptables Й netfilter РТБЛФЙЮЕУЛЙ ОЕ УПДЕТЦБФ ПЫЙВПЛ, ИПФС ЙЪТЕДЛБ ПДОБ - ДЧЕ "РТПУЛБЛЙЧБАФ". йОЖПТНБГЙС П ФБЛЙИ ПЫЙВЛБИ ПВСЪБФЕМШОП РПСЧМСЕФУС ОБ ЗМБЧОПК УФТБОЙГЕ РТПЕЛФБ Netfilter.
чЩЫЕУЛБЪБООПЕ ФБЛЦЕ ПЪОБЮБЕФ, ЮФП РТЙ ОБРЙУБОЙЙ ОБВПТПЧ РТБЧЙМ, РТЙМБЗБЕНЩИ Л ДБООПНХ ТХЛПЧПДУФЧХ, ОЕ ХЮЙФЩЧБМПУШ ЧПЪНПЦОПЕ ОБМЙЮЙЕ ЛБЛЙИ-МЙВП ПЫЙВПЛ ЧОХФТЙ netfilter. пУОПЧОБС ГЕМШ РТЙНЕТПЧ - РПЛБЪБФШ РПТСДПЛ ОБРЙУБОЙС ОБВПТБ РТБЧЙМ Й РТПВМЕНЩ, У ЛПФПТЩНЙ ЧЩ НПЦЕФЕ УФПМЛОХФШУС. оБРТЙНЕТ, Ч ЬФПН ДПЛХНЕОФЕ ОЕ РПСУОСЕФУС, ЛБЛ ЪБЛТЩФШ ХСЪЧЙНПУФШ Apache 1.2.12 ОБ HTTP РПТФХ (ЖБЛФЙЮЕУЛЙ Ч РТЙНЕТБИ ЧЩ ОБКДЕФЕ, ЛБЛ ЪБЛТЩФШ ЬФПФ РПТФ, ОП РП ДТХЗПК РТЙЮЙОЕ).
ьФПФ ДПЛХНЕОФ ВЩМ ОБРЙУБО У ГЕМША ДБФШ ОБЮЙОБАЭЙН ИПТПЫЙК, РТПУФПК Й Ч ФП ЦЕ ЧТЕНС ДПУФБФПЮОП РПМОЩК ХЮЕВОЙЛ РП iptables. пО ОЕ УПДЕТЦЙФ ЙОЖПТНБГЙЙ РП ДЕКУФЧЙСН Й ЛТЙФЕТЙСН ЙЪ patch-o-matic РП ФПК РТПУФПК РТЙЮЙОЕ, ЮФП РПФТЕВПЧБМПУШ ВЩ УМЙЫЛПН НОПЗП ХУЙМЙК, ЮФПВЩ ЪБРПНОЙФШ ЧЕУШ УРЙУПЛ ЙЪНЕОЕОЙК. еУМЙ Х ЧБУ ЧПЪОЙЛОЕФ ОЕПВИПДЙНПУФШ Ч РПМХЮЕОЙЙ ЙОЖПТНБГЙЙ РП НПДЙЖЙЛБГЙСН patch-o-matic, ФП ЧБН УМЕДХЕФ ПВТБЭБФШУС Л ДПЛХНЕОФБГЙЙ, ЛПФПТБС УПРТПЧПЦДБЕФ ЛПОЛТЕФОЩК patch-o-matic, ПОБ ДПУФХРОБ ОБ ЗМБЧОПК УФТБОЙГЕ РТПЕЛФБ Netfilter.
рТЕДЧБТЙФЕМШОЩЕ ХУМПЧЙС дБООПЕ ТХЛПЧПДУФЧП РТЕДРПМБЗБЕФ ОБМЙЮЙЕ Х ЮЙФБФЕМС ОБЮБМШОЩИ УЧЕДЕОЙК П Linux/Unix, СЪЩЛЕ УГЕОБТЙЕЧ ЛПНБОДОПК ПВПМПЮЛЙ. лТПНЕ ФПЗП, ЧЩ ДПМЦОЩ ЪОБФШ - ЛБЛ РЕТЕУПВТБФШ СДТП ПРЕТБГЙПООПК УЙУФЕНЩ Й ЙНЕФШ ОЕЛПФПТПЕ РТЕДУФБЧМЕОЙЕ П ЕЗП ЧОХФТЕООЕН ХУФТПКУФЧЕ.
с РПУФБТБМУС, ОБУЛПМШЛП ЬФП ЧПЪНПЦОП, УДЕМБФШ ДПЛХНЕОФ ДПУФХРОЩН ДМС РПОЙНБОЙС ЛБЛ НПЦОП ВПМЕЕ ЫЙТПЛПНХ ЛТХЗХ ЮЙФБФЕМЕК, ПДОБЛП С ОЕ ЧУЕУЙМЕО, Й РПЬФПНХ ПФ ЧБУ ЧУЕ-ФБЛЙ РПФТЕВХЕФУС ОБМЙЮЙЕ ОЕЛПФПТЩИ РПЪОБОЙК.
фЙРПЗТБЖУЛЙЕ УПЗМБЫЕОЙС ч ДБООПН ДПЛХНЕОФЕ РТЙОСФЩ УМЕДХАЭЙЕ УПЗМБЫЕОЙС РП ЧЩДЕМЕОЙА ЙОЖПТНБГЙЙ ТБЪМЙЮОПЗП ТПДБ:
лПНБОДЩ, ЧЧПДЙНЩЕ РПМШЪПЧБФЕМЕН, Й ЧЩЧПД, РПМХЮБЕНЩК Ч ТЕЪХМШФБФЕ ТБВПФЩ ЛПНБОД, ПФПВТБЦБАФУС НПОПЫЙТЙООЩН ЫТЙЖФПН, ЛТПНЕ ФПЗП, ЧЧПД РПМШЪПЧБФЕМС ПФПВТБЦБЕФУС ЦЙТОЩН ЫТЙЖФПН:
[blueflux@work1 neigh]$ ls default eth0 lo [blueflux@work1 neigh]$
чУЕ ЛПНБОДЩ Й ЙНЕОБ РТПЗТБНН ПФПВТБЦБАФУС ЦЙТОЩН ЫТЙЖФПН .
чУЕ ХРПНЙОБОЙС ПВ БРРБТБФОПН ПВЕУРЕЮЕОЙЙ, Б ФБЛ ЦЕ П ЧОХФТЕООЙИ НЕИБОЙЪНБИ СДТБ ЙМЙ БВУФТБЛФОЩИ РПОСФЙСИ УЙУФЕНЩ (ОБРТЙНЕТ: РЕФМЕЧПК (loopback) ЙОФЕТЖЕКУ), ПФПВТБЦБАФУС ЛХТУЙЧПН.
йНЕОБ ЖБКМПЧ Й РХФЙ Л ЖБКМБН ПФПВТБЦБАФУС ФБЛЙН ПВТБЪПН: /usr/local/bin/iptables.
зМБЧБ 1. чЧЕДЕОЙЕ 1.1. рПЮЕНХ ВЩМП ОБРЙУБОП ДБООПЕ ТХЛПЧПДУФЧП уЛБЦЕН ФБЛ, С РПУЮЙФБМ, ЮФП УХЭЕУФЧХЕФ ДПУБДОЩК РТПВЕМ Ч HOWTO РП ЮБУФЙ ЙОЖПТНБГЙЙ ПВ iptables Й ЖХОЛГЙСИ УЕФЕЧПЗП ЖЙМШФТБ (netfilter), ТЕБМЙЪПЧБООЩИ Ч ОПЧПК УЕТЙЙ СДЕТ 2.4.x Linux. лТПНЕ ЧУЕЗП РТПЮЕЗП, С РПРЩФБМУС ПФЧЕФЙФШ ОБ ОЕЛПФПТЩЕ ЧПРТПУЩ РП РПЧПДХ ОПЧЩИ ЧПЪНПЦОПУФЕК, ОБРТЙНЕТ РТПЧЕТЛЙ УПУФПСОЙС РБЛЕФПЧ (state matching). вПМШЫЙОУФЧП ЙЪ ОЙИ РТПЙММАУФТЙТПЧБОЩ Ч ЖБКМЕ УЛТЙРФБ rc.firewall.txt, ЛПФПТЩК ЧЩ НПЦЕФЕ ЧУФБЧЙФШ Ч /etc/rc.d/. дМС ФЕИ, ЛПНХ ЙОФЕТЕУОП, ЗПФПЧ УППВЭЙФШ, ЮФП ЬФПФ ЖБКМ РЕТЧПОБЮБМШОП ВЩМ ПУОПЧБО ОБ masquerading HOWTO.
фБН ЦЕ ЧЩ ОБКДЕФЕ ОЕВПМШЫПК УГЕОБТЙК rc.flush-iptables.txt, ОБРЙУБООЩК НОПА, ЛПФПТЩК ЧЩ НПЦЕФЕ ЙУРПМШЪПЧБФШ, ДМС УЧПЙИ ОХЦД, РТЙ ОЕПВИПДЙНПУФЙ ТБУЫЙТСС РПД УЧПА ЛПОЖЙЗХТБГЙА.
1.2. лБЛ ПО ВЩМ ОБРЙУБО с ЛПОУХМШФЙТПЧБМУС У нБТЛПН вХЮЕТПН (Marc Boucher) Й ДТХЗЙНЙ ЮМЕОБНЙ ЛПНБОДЩ ТБЪТБВПФЮЙЛПЧ netfilter. рПМШЪХСУШ УМХЮБЕН, ЧЩТБЦБА ПЗТПНОХА РТЙЪОБФЕМШОПУФШ ЪБ ЙИ РПНПЭШ Ч УПЪДБОЙЙ ДБООПЗП ТХЛПЧПДУФЧБ, ЛПФПТПЕ ЙЪОБЮБМШОП ВЩМП ОБРЙУБОП ДМС boingworld.com, Б ФЕРЕТШ ДПУФХРОП ОБ НПЕН РЕТУПОБМШОПН УБКФЕ frozentux.net. у РПНПЭША ЬФПЗП ДПЛХНЕОФБ ЧЩ РТПКДЕФЕ РТПГЕУУ ОБУФТПКЛЙ ЫБЗ ЪБ ЫБЗПН Й, ОБДЕАУШ, ЮФП Л ЛПОГХ ЙЪХЮЕОЙС ЕЗП ЧЩ ВХДЕФЕ ЪОБФШ П РБЛЕФЕ iptables ЪОБЮЙФЕМШОП ВПМШЫЕ. вПМШЫБС ЮБУФШ НБФЕТЙБМБ ВБЪЙТХЕФУС ОБ ЖБКМЕ rc.firewall.txt, ФБЛ ЛБЛ С УЮЙФБА, ЮФП ТБУУНПФТЕОЙЕ РТЙНЕТБ -- МХЮЫЙК УРПУПВ ЙЪХЮЕОЙС iptables. с РТПКДХ РП ПУОПЧОЩН ГЕРПЮЛБН РТБЧЙМ Ч РПТСДЛЕ ЙИ УМЕДПЧБОЙС. ьФП ОЕУЛПМШЛП ХУМПЦОСЕФ ЙЪХЮЕОЙЕ, ЪБФП ЙЪМПЦЕОЙЕ УФБОПЧЙФУС МПЗЙЮОЕЕ. й, ЧУСЛЙК ТБЪ, ЛПЗДБ Х ЧБУ ЧПЪОЙЛОХФ ЪБФТХДОЕОЙС, ЧЩ НПЦЕФЕ ПВТБЭБФШУС Л ЬФПНХ ТХЛПЧПДУФЧХ.
1.3. фЕТНЙОЩ, ЙУРПМШЪХЕНЩЕ Ч ДБООПН ДПЛХНЕОФЕ ьФПФ ДПЛХНЕОФ УПДЕТЦЙФ ОЕУЛПМШЛП ФЕТНЙОПЧ, ЛПФПТЩЕ УМЕДХЕФ РПСУОЙФШ РТЕЦДЕ, ЮЕН ЧЩ УФПМЛОЕФЕУШ У ОЙНЙ.
DNAT - ПФ БОЗМ. Destination Network Address Translation -- йЪНЕОЕОЙЕ уЕФЕЧПЗП бДТЕУБ рПМХЮБФЕМС. DNAT - ЬФП ЙЪНЕОЕОЙЕ БДТЕУБ ОБЪОБЮЕОЙС Ч ЪБЗПМПЧЛЕ РБЛЕФБ. ъБЮБУФХА ЙУРПМШЪХЕФУС Ч РБТЕ У SNAT. пУОПЧОПЕ РТЙНЕОЕОЙЕ -- ЙУРПМШЪПЧБОЙЕ ЕДЙОУФЧЕООПЗП ТЕБМШОПЗП IP-БДТЕУБ ОЕУЛПМШЛЙНЙ ЛПНРШАФЕТБНЙ ДМС ЧЩИПДБ Ч йОФЕТОЕФ Й РТЕДПУФБЧМЕОЙС ДПРПМОЙФЕМШОЩИ УЕФЕЧЩИ ХУМХЗ ЧОЕЫОЙН ЛМЙЕОФБН.
"рПФПЛ" (Stream) - РПД ЬФЙН ФЕТНЙОПН РПДТБЪХНЕЧБЕФУС УПЕДЙОЕОЙЕ, ЮЕТЕЪ ЛПФПТПЕ РЕТЕДБАФУС Й РТЙОЙНБАФУС РБЛЕФЩ. с ЙУРПМШЪПЧБМ ЬФПФ ФЕТНЙО ДМС ПВПЪОБЮЕОЙС УПЕДЙОЕОЙК, ЮЕТЕЪ ЛПФПТЩЕ РЕТЕДБЕФУС РП НЕОШЫЕК НЕТЕ 2 РБЛЕФБ Ч ПВЕЙИ ОБРТБЧМЕОЙСИ. ч УМХЮБЕ TCP ЬФП НПЦЕФ ПЪОБЮБФШ УПЕДЙОЕОЙЕ, ЮЕТЕЪ ЛПФПТПЕ РЕТЕДБЕФУС SYN РБЛЕФ Й ЪБФЕН РТЙОЙНБЕФУС SYN/ACK РБЛЕФ. оП ЬФП ФБЛ ЦЕ НПЦЕФ РПДТБЪХНЕЧБФШ Й РЕТЕДБЮХ SYN РБЛЕФБ Й РТЙЕН УППВЭЕОЙС ICMP Host unreachable. дТХЗЙНЙ УМПЧБНЙ, С ЙУРПМШЪХА ЬФПФ ФЕТНЙО Ч ДПУФБФПЮОП ЫЙТПЛПН ДЙБРБЪПОЕ РТЙНЕОЕОЙК.
SNAT - ПФ БОЗМ. Source Network Address Translation -- йЪНЕОЕОЙЕ уЕФЕЧПЗП бДТЕУБ пФРТБЧЙФЕМС. SNAT - ЬФП ЙЪНЕОЕОЙЕ ЙУИПДОПЗП БДТЕУБ Ч ЪБЗПМПЧЛЕ РБЛЕФБ. пУОПЧОПЕ РТЙНЕОЕОЙЕ -- ЙУРПМШЪПЧБОЙЕ ЕДЙОУФЧЕООПЗП ТЕБМШОПЗП IP-БДТЕУБ ОЕУЛПМШЛЙНЙ ЛПНРШАФЕТБНЙ ДМС ЧЩИПДБ Ч йОФЕТОЕФ. ч ОБФПСЭЕЕ ЧТЕНС ДЙБРБЪПО ТЕБМШОЩИ IP-БДТЕУПЧ, РП УФБОДБТФХ IPv4, ОЕДПУФБФПЮОП ЫЙТПЛ, Й ЕЗП ОЕ ИЧБФБЕФ ОБ ЧУЕИ (РЕТЕИПД ОБ IPv6 ТБЪТЕЫЙФ ЬФХ РТПВМЕНХ).
"уПУФПСОЙЕ" (State) - РПД ЬФЙН ФЕТНЙОПН РПДТБЪХНЕЧБЕФУС УПУФПСОЙЕ, Ч ЛПФПТПН ОБИПДЙФУС РБЛЕФ, УПЗМБУОП RFC 793 - RFC 793 - Transmission Control Protocol, Б ФБЛЦЕ ФТБЛФПЧЛБН, ЙУРПМШЪХЕНЩН Ч netfilter/iptables. иПЮХ ПВТБФЙФШ ЧБЫЕ ЧОЙНБОЙЕ ОБ ФПФ ЖБЛФ, ЮФП ПРТЕДЕМЕОЙС УПУФПСОЙК РБЛЕФПЧ, ЛБЛ ДМС ЧОХФТЕООЙИ ФБЛ Й ДМС ЧОЕЫОЙИ УПУФПСОЙК, ЙУРПМШЪХЕНЩЕ Netfilter, ОЕ РПМОПУФША УППФЧЕФУФЧХАФ ХЛБЪБООПНХ ЧЩЫЕ RFC 793.
"рТПУФТБОУФЧП РПМШЪПЧБФЕМС" (User space) - РПД ЬФЙН ФЕТНЙОПН С РПДТБЪХНЕЧБА ЧУЕ, ЮФП ТБУРПМПЦЕОП ЪБ РТЕДЕМБНЙ СДТБ, ОБРТЙНЕТ: ЛПНЕОДБ iptables -h ЧЩРПМОСЕФУС ЪБ РТЕДЕМБНЙ СДТБ, Ч ФП ЧТЕНС ЛБЛ ЛПНБОДБ iptables -A FORWARD -p tcp -j ACCEPT ЧЩРПМОСЕФУС (ЮБУФЙЮОП) Ч РТПУФТБОУФЧЕ СДТБ, РПУЛПМШЛХ ПОБ ДПВБЧМСЕФ ОПЧПЕ РТБЧЙМП Л ЙНЕАЭЕНХУС ОБВПТХ.
"рТПУФТБОУФЧП СДТБ" (Kernel space) - Ч ВПМШЫЕК ЙМЙ НЕОШЫЕК УФЕРЕОЙ СЧМСЕФУС ХФЧЕТЦДЕОЙЕН, ПВТБФОЩН ФЕТНЙОХ "рТПУФТБОУФЧП РПМШЪПЧБФЕМС". рПДТБЪХНЕЧБЕФ НЕУФП ЙУРПМОЕОЙС - Ч РТЕДЕМБИ СДТБ.
"Userland" - УН. "рТПУФТБОУФЧП РПМШЪПЧБФЕМС".
зМБЧБ 2. рПДЗПФПЧЛБ гЕМША ДБООПК ЗМБЧЩ СЧМСЕФУС ПЛБЪБОЙЕ РПНПЭЙ Ч РПОЙНБОЙЙ ФПК ТПМЙ, ЛПФПТХА netfilter Й iptables ЙЗТБАФ Ч Linux УЕЗПДОС. фБЛ ЦЕ ПОБ ДПМЦОБ РПНПЮШ ЧБН ХУФБОПЧЙФШ Й ОБУФТПЙФШ НЕЦУЕФЕЧПК ЬЛТБО (firewall).
2.1. зДЕ ЧЪСФШ iptables рБЛЕФЩ iptables НПЗХФ ВЩФШ ЪБЗТХЦЕОЩ У ДПНБЫОЕК УФТБОЙГЩ РТПЕЛФБ Netfilter. лТПНЕ ФПЗП, ДМС ТБВПФЩ iptables УППФЧЕФУФЧХАЭЙН ПВТБЪПН ДПМЦОП ВЩФШ УЛПОЖЙЗХТЙТПЧБОП СДТП ЧБЫЕК Linux-УЙУФЕНЩ. оБУФТПКЛБ СДТБ ВХДЕФ ПВУХЦДБФШУС ОЙЦЕ.
2.2. оБУФТПКЛБ СДТБ дМС ПВЕУРЕЮЕОЙС ВБЪПЧЩИ ЧПЪНПЦОПУФЕК iptables, У РПНПЭША ХФЙМЙФЩ make config ЙМЙ ЕК РПДПВОЩИ (make menuconfig ЙМЙ make xconfig РТЙН. РЕТЕЧ.), Ч СДТП ДПМЦОЩ ВЩФШ ЧЛМАЮЕОЩ УМЕДХАЭЙЕ ПРГЙЙ:
CONFIG_PACKET - ьФБ ПРГЙС ОЕПВИПДЙНБ ДМС РТЙМПЦЕОЙК, ТБВПФБАЭЙИ ОЕРПУТЕДУФЧЕООП У УЕФЕЧЩНЙ ХУФТПКУФЧБНЙ, ОБРТЙНЕТ: tcpdump ЙМЙ snort.
уФТПЗП ЗПЧПТС, ПРГЙС CONFIG_PACKET ОЕ ФТЕВХЕФУСДМС ТБВПФЩ iptables, ОП, РПУЛПМШЛХ ПОБ ЙУРПМШЪХЕФУС ДПЧПМШОП ЮБУФП, С ЧЛМАЮЙМ ЕЕ Ч УРЙУПЛ. еУМЙ ЧБН ЬФБ ПРГЙС ОЕ ОХЦОБ, ФП НПЦЕФЕ ЕЕ ОЕ ЧЛМАЮБФШ.
CONFIG_NETFILTER - ьФБ ПРГЙС ОЕПВИПДЙНБ, ЕУМЙ ЧЩ УПВЙТБЕФЕУШ ЙУРПМШЪПЧБФШ ЛПНРШАФЕТ Ч ЛБЮЕУФЧЕ УЕФЕЧПЗП ЬЛТБОБ (firewall) ЙМЙ ЫМАЪБ (gateway) Ч йОФЕТОЕФ. дТХЗЙНЙ УМПЧБНЙ, ЧБН ПОБ ПРТЕДЕМЕООП РПОБДПВЙФУС, ЙОБЮЕ ЪБЮЕН ФПЗДБ ЮЙФБФШ ЬФП ТХЛПЧПДУФЧП!
й ЛПОЕЮОП ОХЦОП ДПВБЧЙФШ ДТБКЧЕТЩ ДМС ЧБЫЙИ ХУФТПКУФЧ, Ф.Е. ДМС ЛБТФЩ Ethernet, PPP Й SLIP. ьФЙ ПРГЙЙ ОЕПВИПДЙНЩ ДМС ПВЕУРЕЮЕОЙС ВБЪПЧЩИ ЧПЪНПЦОПУФЕК iptables, ДМС РПМХЮЕОЙС ДПРПМОЙФЕМШОЩИ ЧПЪНПЦОПУФЕК РТЙДЕФУС ЧЛМАЮЙФШ Ч СДТП ОЕЛПФПТЩЕ ДПРПМОЙФЕМШОЩЕ ПРГЙЙ. оЙЦЕ РТЙЧПДЙФУС УРЙУПЛ ПРГЙК ДМС СДТБ 2.4.9 Й ЙИ ЛТБФЛПЕ ПРЙУБОЙЕ:
CONFIG_IP_NF_CONNTRACK - фТБУУЙТПЧЛБ УПЕДЙОЕОЙК. фТБУУЙТПЧЛБ УПЕДЙОЕОЙК, УТЕДЙ ЧУЕЗП РТПЮЕЗП, ЙУРПМШЪХЕФУС РТЙ ФТБОУМСГЙЙ УЕФЕЧЩИ БДТЕУПЧ Й НБУЛБТБДЙОЗЕ (NAT Й Masquerading). еУМЙ ЧЩ УПВЙТБЕФЕУШ УФТПЙФШ УЕФЕЧПК ЬЛТБО (firewall) ДМС МПЛБМШОПК УЕФЙ, ФП ЧБН ПРТЕДЕМЕООП РПФТЕВХЕФУС ЬФБ ПРГЙС. л РТЙНЕТХ, ЬФПФ НПДХМШ ОЕПВИПДЙН ДМС ТБВПФЩ rc.firewall.txt.
CONFIG_IP_NF_FTP - фТБУУЙТПЧЛБ FTP УПЕДЙОЕОЙК. пВНЕО РП FTP ЙДЕФ УМЙЫЛПН ЙОФЕОУЙЧОП, ЮФПВЩ ЙУРПМШЪПЧБФШ ПВЩЮОЩЕ НЕФПДЩ ФТБУУЙТПЧЛЙ. еУМЙ ОЕ ДПВБЧЙФШ ЬФПФ НПДХМШ, ФП ЧЩ УФПМЛОЕФЕУШ У ФТХДОПУФСНЙ РТЙ РЕТЕДБЮЕ РТПФПЛПМБ FTP ЮЕТЕЪ УЕФЕЧПК ЬЛТБО (firewall).
CONFIG_IP_NF_IPTABLES - ьФБ ПРГЙС ОЕПВИПДЙНБ ДМС ЧЩРПМОЕОЙС ПРЕТБГЙК ЖЙМШФТБГЙЙ, РТЕПВТБЪПЧБОЙС УЕФЕЧЩИ БДТЕУПЧ (NAT) Й НБУЛБТБДЙОЗБ (masquerading). вЕЪ ОЕЕ ЧЩ ЧППВЭЕ ОЙЮЕЗП ОЕ УНПЦЕФЕ ДЕМБФШ У iptables.
CONFIG_IP_NF_MATCH_LIMIT - ьФПФ НПДХМШ ОЕПВСЪБФЕМЕО, ПДОБЛП ПО ЙУРПМШЪХЕФУС Ч РТЙНЕТБИ rc.firewall.txt. пО РТЕДПУФБЧМСЕФ ЧПЪНПЦОПУФШ ПЗТБОЙЮЕОЙС ЛПМЙЮЕУФЧБ РТПЧЕТПЛ ДМС ОЕЛПФПТПЗП РТБЧЙМБ. оБРТЙНЕТ, -m limit --limit 3/minute ХЛБЪЩЧБЕФ, ЮФП ЪБДБООПЕ РТБЧЙМП НПЦЕФ РТПРХУФЙФШ ОЕ ВПМЕЕ 3-И РБЛЕФПЧ Ч НЙОХФХ. фБЛЙН ПВТБЪПН, ДБООЩК НПДХМШ НПЦЕФ ЙУРПМШЪПЧБФШУС ДМС ЪБЭЙФЩ ПФ ОБРБДЕОЙК ФЙРБ "пФЛБЪ Ч ПВУМХЦЙЧБОЙЙ".
CONFIG_IP_NF_MATCH_MAC - ьФПФ НПДХМШ РПЪЧПМЙФ УФТПЙФШ РТБЧЙМБ, ПУОПЧБООЩЕ ОБ MAC-БДТЕУБГЙЙ. лБЛ ЙЪЧЕУФОП, ЛБЦДБС УЕФЕЧБС ЛБТФБ ЙНЕЕФ УЧПК УПВУФЧЕООЩК ХОЙЛБМШОЩК Ethernet-БДТЕУ, ФБЛЙН ПВТБЪПН, УХЭЕУФЧХЕФ ЧПЪНПЦОПУФШ ВМПЛЙТПЧБФШ РБЛЕФЩ, РПУФХРБАЭЙЕ У ПРТЕДЕМЕООЩИ MAC-БДТЕУПЧ (Ф.Е. У ПРТЕДЕМЕООЩИ УЕФЕЧЩИ ЛБТФ). уМЕДХЕФ, ПДОБЛП, ПФНЕФЙФШ ЮФП ДБООЩК НПДХМШ ОЕ ЙУРПМШЪХЕФУС Ч rc.firewall.txt ЙМЙ ЗДЕ МЙВП ЕЭЕ Ч ДБООПН ТХЛПЧПДУФЧЕ.
CONFIG_IP_NF_MATCH_MARK - жХОЛГЙС НБТЛЙТПЧЛЙ РБЛЕФПЧ MARK. оБРТЙНЕТ, РТЙ ЙУРПМШЪПЧБОЙЙ ЖХОЛГЙЙ MARK НЩ РПМХЮБЕН ЧПЪНПЦОПУФШ РПНЕФЙФШ ФТЕВХЕНЩЕ РБЛЕФЩ, Б ЪБФЕН, Ч ДТХЗЙИ ФБВМЙГБИ, Ч ЪБЧЙУЙНПУФЙ ПФ ЪОБЮЕОЙС НЕФЛЙ, РТЙОЙНБФШ ТЕЫЕОЙЕ П НБТЫТХФЙЪБГЙЙ РПНЕЮЕООПЗП РБЛЕФБ. вПМЕЕ РПДТПВОПЕ ПРЙУБОЙЕ ЖХОЛГЙЙ MARK РТЙЧПДЙФУС ОЙЦЕ Ч ДБООПН ДПЛХНЕОФЕ.
CONFIG_IP_NF_MATCH_MULTIPORT - ьФПФ НПДХМШ РПЪЧПМЙФ УФТПЙФШ РТБЧЙМБ У РТПЧЕТЛПК ОБ РТЙОБДМЕЦОПУФШ РБЛЕФБ Л ДЙБРБЪПОХ ОПНЕТПЧ РПТФПЧ ЙУФПЮОЙЛБ/РТЙЕНОЙЛБ.
CONFIG_IP_NF_MATCH_TOS - ьФПФ НПДХМШ РПЪЧПМЙФ УФТПЙФШ РТБЧЙМБ, ПФФБМЛЙЧБСУШ ПФ УПУФПСОЙС РПМС TOS Ч РБЛЕФЕ. рПМЕ TOS ХУФБОБЧМЙЧБЕФУС ДМС Type Of Service. фБЛ ЦЕ УФБОПЧЙФУС ЧПЪНПЦОЩН ХУФБОБЧМЙЧБФШ Й УВТБУЩЧБФШ ВЙФЩ ЬФПЗП РПМС Ч УПВУФЧЕООЩИ РТБЧЙМБИ Ч ФБВМЙГЕ mangle ЙМЙ ЛПНБОДБНЙ ip/tc.
CONFIG_IP_NF_MATCH_TCPMSS - ьФБ ПРГЙС ДПВБЧМСЕФ ЧПЪНПЦОПУФШ РТПЧЕТЛЙ РПМС MSS Ч TCP-РБЛЕФБИ.
CONFIG_IP_NF_MATCH_STATE - ьФП ПДОП ЙЪ УБНЩИ УЕТШЕЪОЩИ ХУПЧЕТЫЕОУФЧПЧБОЙК РП УТБЧОЕОЙА У ipchains. ьФПФ НПДХМШ РТЕДПУФБЧМСЕФ ЧПЪНПЦОПУФШ ХРТБЧМЕОЙС TCP РБЛЕФБНЙ, ПУОПЧЩЧБСУШ ОБ ЙИ УПУФПСОЙЙ (state). л РТЙНЕТХ, ДПРХУФЙН, ЮФП НЩ ЙНЕЕН ХУФБОПЧМЕООПЕ TCP УПЕДЙОЕОЙЕ, У ФТБЖЖЙЛПН Ч ПВБ ЛПОГБ, ФПЗДБ РБЛЕФ РПМХЮЕООЩК РП ФБЛПНХ УПЕДЙОЕОЙА ВХДЕФ УЮЙФБФШУС ESTABLISHED (ХУФБОПЧМЕООПЕ УПЕДЙОЕОЙЕ -- РТЙН. ТЕД). ьФБ ЧПЪНПЦОПУФШ ЫЙТПЛП ЙУРПМШЪХЕФУС Ч РТЙНЕТЕ rc.firewall.txt.
CONFIG_IP_NF_MATCH_UNCLEAN - ьФПФ НПДХМШ ТЕБМЙЪХЕФ ЧПЪНПЦОПУФШ ДПРПМОЙФЕМШОПК РТПЧЕТЛЙ IP, TCP, UDP Й ICMP РБЛЕФПЧ ОБ РТЕДНЕФ ОБМЙЮЙС Ч ОЙИ ОЕУППФЧЕФУФЧЙК, "УФТБООПУФЕК", ПЫЙВПЛ. хУФБОПЧЙЧ ЕЗП НЩ, Л РТЙНЕТХ, РПМХЮЙН ЧПЪНПЦОПУФШ "ПФУЕЛБФШ" РПДПВОПЗП ТПДБ РБЛЕФЩ. пДОБЛП ИПЮЕФУС ПФНЕФЙФШ, ЮФП ДБООЩК НПДХМШ РПЛБ ОБИПДЙФУС ОБ ЬЛУРЕТЙНЕОФБМШОПК УФБДЙЙ Й ОЕ ЧП ЧУЕИ УМХЮБСИ ВХДЕФ ТБВПФБФШ ПДЙОБЛПЧП, РПЬФПНХ ОЙЛПЗДБ ОЕМШЪС ВХДЕФ ВЩФШ ХЧЕТЕООЩН, ЮФП НЩ ОЕ "УВТПУЙМЙ" ЧРПМОЕ РТБЧЙМШОЩЕ РБЛЕФЩ.
CONFIG_IP_NF_MATCH_OWNER - рТПЧЕТЛБ "ЧМБДЕМШГБ" УПЕДЙОЕОЙС (socket). дМС РТЙНЕТБ, НЩ НПЦЕН РПЪЧПМЙФШ ФПМШЛП РПМШЪПЧБФЕМА root ЧЩИПДЙФШ Ч Internet. ьФПФ НПДХМШ ВЩМ ОБРЙУБО ЛБЛ РТЙНЕТ ТБВПФЩ У iptables. уМЕДХЕФ ЪБНЕФЙФШ, ЮФП ДБООЩК НПДХМШ ЙНЕЕФ УФБФХУ ЬЛУРЕТЙНЕОФБМШОПЗП Й НПЦЕФ ОЕ ЧУЕЗДБ ЧЩРПМОСФШ УЧПЙ ЖХОЛГЙЙ.
CONFIG_IP_NF_FILTER - тЕБМЙЪБГЙС ФБВМЙГЩ filter Ч ЛПФПТПК Ч ПУОПЧОПН Й ПУХЭЕУФЧМСЕФУС ЖЙМШФТБГЙС. ч ДБООПК ФБВМЙГЕ ОБИПДСФУС ГЕРПЮЛЙ INPUT, FORWARD Й OUTPUT. ьФПФ НПДХМШ ПВСЪБФЕМЕО, ЕУМЙ ЧЩ РМБОЙТХЕФЕ ПУХЭЕУФЧМСФШ ЖЙМШФТБГЙА РБЛЕФПЧ.
CONFIG_IP_NF_TARGET_REJECT - дПВБЧМСЕФУС ДЕКУФЧЙЕ REJECT, ЛПФПТПЕ РТПЙЪЧПДЙФ РЕТЕДБЮХ ICMP-УППВЭЕОЙС ПВ ПЫЙВЛЕ Ч ПФЧЕФ ОБ ЧИПДСЭЙК РБЛЕФ, ЛПФПТЩК ПФЧЕТЗБЕФУС ЪБДБООЩН РТБЧЙМПН. ъБРПНОЙФЕ, ЮФП TCP УПЕДЙОЕОЙС, Ч ПФМЙЮЙЕ ПФ UDP Й ICMP, ЧУЕЗДБ ЪБЧЕТЫБАФУС ЙМЙ ПФЧЕТЗБАФУС РБЛЕФПН TCP RST.
CONFIG_IP_NF_TARGET_MIRROR - чПЪНПЦОПУФШ ПФРТБЧЛЙ РПМХЮЕООПЗП РБЛЕФБ ПВТБФОП (ПФТБЦЕОЙЕ). оБРТЙНЕТ, ЕУМЙ ОБЪОБЮЙФШ ДЕКУФЧЙЕ MIRROR ДМС РБЛЕФПЧ, ЙДХЭЙИ Ч РПТФ HTTP ЮЕТЕЪ ОБЫХ ГЕРПЮЛХ INPUT (Ф.Е. ОБ ОБЫ WEB-УЕТЧЕТ РТЙН. РЕТЕЧ.), ФП РБЛЕФ ВХДЕФ ПФРТБЧМЕО ПВТБФОП (ПФТБЦЕО) Й, Ч ТЕЪХМШФБФЕ, ПФРТБЧЙФЕМШ ХЧЙДЙФ УЧПА УПВУФЧЕООХА ДПНБЫОАА УФТБОЙЮЛХ. (фХФ ПДОЙ УРМПЫОЩЕ "ЕУМЙ": еУМЙ Х ПФРТБЧЙФЕМС УФПЙФ WEB-УЕТЧЕТ, ЕУМЙ ПО ТБВПФБЕФ ОБ ФПН ЦЕ РПТФХ, ЕУМЙ Х ПФРТБЧЙФЕМС ЕУФШ ДПНБЫОСС УФТБОЙЮЛБ, Й Ф.Д. . уХФШ-ФП УПВУФЧЕООП УЧПДЙФУС Л ФПНХ, ЮФП У ФПЮЛЙ ЪТЕОЙС ПФРТБЧЙФЕМС ЧУЕ ЧЩЗМСДЙФ ФБЛ, ЛБЛ ВХДФП ВЩ РБЛЕФ ПО ПФРТБЧЙМ ОБ УЧПА УПВУФЧЕООХА НБЫЙОХ, Б РТПЭЕ ЗПЧПТС, ДЕКУФЧЙЕ MIRROR НЕОСЕФ НЕУФБНЙ БДТЕУ ПФРТБЧЙФЕМС Й РПМХЮБФЕМС Й ЧЩДБЕФ ЙЪНЕОЕООЩК РЕЛЕФ Ч УЕФШ РТЙН. РЕТЕЧ.)
CONFIG_IP_NF_NAT - фТБОУМСГЙС УЕФЕЧЩИ БДТЕУПЧ Ч ТБЪМЙЮОЩИ ЕЕ ЧЙДБИ. у РПНПЭША ЬФПК ПРГЙЙ ЧЩ УНПЦЕФЕ ДБФШ ЧЩИПД Ч йОФЕТОЕФ ЧУЕН ЛПНРШАФЕТБН ЧБЫЕК МПЛБМШОПК УЕФЙ, ЙНЕС МЙЫШ ПДЙО ХОЙЛБМШОЩК IP-БДТЕУ. ьФБ ПРГЙС ОЕПВИПДЙНБ ДМС ТБВПФЩ РТЙНЕТБ rc.firewall.txt.
CONFIG_IP_NF_TARGET_MASQUERADE - нБУЛБТБДЙОЗ. ч ПФМЙЮЙЕ ПФ NAT, НБУЛБТБДЙОЗ ЙУРПМШЪХЕФУС Ч ФЕИ УМХЮБСИ, ЛПЗДБ ЪБТБОЕЕ ОЕЙЪЧЕУФЕО ОБЫ IP-БДТЕУ Ч йОФЕТОЕФЕ, Ф.Е. ДМС УМХЮБЕЧ DHCP, PPP, SLIP ЙМЙ ЛБЛПЗП-МЙВП ДТХЗПЗП УРПУПВБ РПДЛМАЮЕОЙС, РПДТБЪХНЕЧБАЭЕЗП ДЙОБНЙЮЕУЛПЕ РПМХЮЕОЙЕ IP-БДТЕУБ. нБУЛБТБДЙОЗ ДБЕФ ОЕУЛПМШЛП ВПМЕЕ ЧЩУПЛХА ОБЗТХЪЛХ ОБ ЛПНРШАФЕТ, РП УТБЧОЕОЙА У NAT, ПДОБЛП ПО ТБВПФБЕФ Ч УЙФХБГЙСИ, ЛПЗДБ ОЕЧПЪНПЦОП ЪБТБОЕЕ ХЛБЪБФШ УПВУФЧЕООЩК ЧОЕЫОЙК IP-БДТЕУ.
CONFIG_IP_NF_TARGET_REDIRECT - рЕТЕОБРТБЧМЕОЙЕ. пВЩЮОП ЬФП ДЕКУФЧЙЕ ЙУРПМШЪХЕФУС УПЧНЕУФОП У РТПЛУЙТПЧБОЙЕН. чНЕУФП ФПЗП, ЮФПВЩ РТПУФП РТПРХУФЙФШ РБЛЕФ ДБМШЫЕ, ЬФП ДЕКУФЧЙЕ РЕТЕОБРТБЧМСЕФ РБЛЕФ ОБ ДТХЗПК РПТФ УЕФЕЧПЗП ЬЛТБОБ (РТПЛУЙ-УЕТЧЕТХ РТЙН. РЕТЕЧ.). дТХЗЙНЙ УМПЧБНЙ, ФБЛЙН УРПУПВПН НЩ НПЦЕН ЧЩРПМОСФШ "РТПЪТБЮОПЕ РТПЛУЙТПЧБОЙЕ".
CONFIG_IP_NF_TARGET_LOG - дПВБЧМСЕФ ДЕКУФЧЙЕ LOG Ч iptables. нЩ НПЦЕН ЙУРПМШЪПЧБФШ ЬФПФ НПДХМШ ДМС ЖЙЛУБГЙЙ ПФДЕМШОЩИ РБЛЕФПЧ Ч УЙУФЕНОПН ЦХТОБМЕ (syslog). ьФБ ЧПЪНПЦОПУФШ НПЦЕФ ПЛБЪБФШУС ЧЕУШНБ РПМЕЪОПК РТЙ ПФМБДЛЕ ЧБЫЙИ УГЕОБТЙЕЧ.
CONFIG_IP_NF_TARGET_TCPMSS - ьФБ ПРГЙС НПЦЕФ ЙУРПМШЪПЧБФШУС ДМС РТЕПДПМЕОЙС ПЗТБОЙЮЕОЙК, ОБЛМБДЩЧБЕНЩИ ОЕЛПФПТЩНЙ РТПЧБКДЕТБНЙ (Internet Service Providers), ЛПФПТЩЕ ВМПЛЙТХАФ ICMP Fragmentation Needed РБЛЕФЩ. ч ТЕЪХМШФБФЕ ФБЛЙИ ПЗТБОЙЮЕОЙК УЕТЧЕТЩ РТПЧБКДЕТПЧ НПЗХФ ОЕ РЕТЕДБЧБФШ web-УФТБОЙГЩ, ssh НПЦЕФ ТБВПФБФШ, Ч ФП ЧТЕНС ЛБЛ scp ПВТЩЧБЕФУС РПУМЕ ХУФБОПЧМЕОЙС УПЕДЙОЕОЙС Й РТ. дМС РТЕПДПМЕОЙС РПДПВОПЗП ТПДБ ПЗТБОЙЮЕОЙК НЩ НПЦЕН ЙУРПМШЪПЧБФШ ДЕКУФЧЙЕ TCPMSS ПЗТБОЙЮЙЧБС ЪОБЮЕОЙЕ MSS (Maximum Segment Size) (ПВЩЮОП MSS ПЗТБОЙЮЙЧБЕФУС ТБЪНЕТПН MTU ЙУИПДСЭЕЗП ЙОФЕТЖЕКУБ НЙОХУ 40 ВБКФ РТЙН. РЕТЕЧ.). фБЛЙН ПВТБЪПН НЩ РПМХЮБЕН ЧПЪНПЦОПУФШ РТЕПДПМЕФШ ФП, ЮФП БЧФПТЩ netfilter ОБЪЩЧБАФ "РТЕУФХРОПК ВЕЪНПЪЗМПУФША РТПЧБКДЕТПЧ ЙМЙ УЕТЧЕТПЧ" ("criminally braindead ISPs or servers") Ч УРТБЧЛЕ РП ЛПОЖЙЗХТБГЙЙ СДТБ.
CONFIG_IP_NF_COMPAT_IPCHAINS - дПВБЧМСЕФ УПЧНЕУФЙНПУФШ У ВПМЕЕ УФБТПК ФЕИОПМПЗЙЕК ipchains. чРПМОЕ ЧПЪНПЦОП, ЮФП РПДПВОПЗП ТПДБ УПЧНЕУФЙНПУФШ ВХДЕФ УПИТБОЕОБ Й Ч СДТБИ УЕТЙЙ 2.6.x.
CONFIG_IP_NF_COMPAT_IPFWADM - дПВБЧМСЕФ УПЧНЕУФЙНПУФШ У ipfwadm, ОЕ УНПФТС ОБ ФП ЮФП ЬФП ПЮЕОШ УФБТПЕ УТЕДУФЧП РПУФТПЕОЙС ВТБОДНБХЬТПЧ.
лБЛ ЧЩ НПЦЕФЕ ЧЙДЕФШ, С ДБМ ЛТБФЛХА ИБТБЛФЕТЙУФЙЛХ ЛБЦДПНХ НПДХМА. дБООЩЕ ПРГЙЙ ДПУФХРОЩ Ч СДТЕ ЧЕТУЙЙ 2.4.9. еУМЙ ЧБН РПФТЕВХАФУС ДПРПМОЙФЕМШОЩЕ ЧПЪНПЦОПУФЙ - УПЧЕФХА ПВТБФЙФШ ЧОЙНБОЙЕ ОБ ТБУЫЙТЕОЙС patch-o-matic, ЛПФПТЩЕ ДПВБЧМСАФ ДПУФБФПЮОП ВПМШЫПЕ ЛПМЙЮЕУФЧП ДПРПМОЙФЕМШОЩИ ЖХОЛГЙК Л Netfilter. Patch-o-matic - ЬФП ОБВПТ ДПРПМОЕОЙК, ЛПФПТЩЕ, ЛБЛ РТЕДРПМБЗБЕФУС, Ч ВХДХЭЕН ВХДХФ ЧЛМАЮЕОЩ Ч УПУФБЧ СДТБ.
дМС ТБВПФЩ УГЕОБТЙС rc.firewall.txt ЧБН ОЕПВИПДЙНП ВХДЕФ ДПВБЧЙФШ Ч СДТП УМЕДХАЭЙЕ ПРГЙЙ ЙМЙ УПВТБФШ УППФЧЕФУФЧХАЭЙЕ РПДЗТХЦБЕНЩЕ НПДХМЙ. ъБ ЙОЖПТНБГЙЕК РП ПРГЙСН, ОЕПВИПДЙНЩН ДМС ТБВПФЩ ДТХЗЙИ УГЕОБТЙЕЧ, ПВТБЭБКФЕУШ Л РТЙМПЦЕОЙА У РТЙНЕТБНЙ ЬФЙИ УГЕОБТЙЕЧ.
CONFIG_PACKET
CONFIG_NETFILTER
CONFIG_IP_NF_CONNTRACK
CONFIG_IP_NF_FTP
CONFIG_IP_NF_IRC
CONFIG_IP_NF_IPTABLES
CONFIG_IP_NF_FILTER
CONFIG_IP_NF_NAT
CONFIG_IP_NF_MATCH_STATE
CONFIG_IP_NF_TARGET_LOG
CONFIG_IP_NF_MATCH_LIMIT
CONFIG_IP_NF_TARGET_MASQUERADE
чЩЫЕ РТЙЧЕДЕО УРЙУПЛ НЙОЙНБМШОП ОЕПВИПДЙНЩИ ПРГЙК СДТБ ДМС УГЕОБТЙС rc.firewall.txt рЕТЕЮЕОШ ПРГЙК, ОЕПВИПДЙНЩИ ДМС ДТХЗЙИ РТЙНЕТПЧ УГЕОБТЙЕЧ ЧЩ УНПЦЕФЕ ОБКФЙ Ч УППФЧЕФУФЧХАЭЙИ ТБЪДЕМБИ ОЙЦЕ. уЕКЮБУ ЦЕ НЩ ПУФБОПЧЙНУС ОБ ЗМБЧОПН УГЕОБТЙЙ Й ОБЮОЕН ЕЗП ЙЪХЮЕОЙЕ.
2.3. хУФБОПЧЛБ РБЛЕФБ ч РЕТЧХА ПЮЕТЕДШ РПУНПФТЙН ЛБЛ УПВТБФШ (УЛПНРЙМЙТПЧБФШ) РБЛЕФ iptables. уВПТЛБ РБЛЕФБ Ч ЪОБЮЙФЕМШОПК УФЕРЕОЙ ЪБЧЙУЙФ ПФ ЛПОЖЙЗХТБГЙЙ СДТБ Й ЧЩ ДПМЦОЩ ЬФП РПОЙНБФШ. оЕЛПФПТЩЕ ДЙУФТЙВХФЙЧЩ РТЕДРПМБЗБАФ РТЕДХУФБОПЧЛХ РБЛЕФБ iptables, ПДЙО ЙЪ ОЙИ -- Red Hat. пДОБЛП, Ч RedHat ЬФПФ РБЛЕФ РП ХНПМЮБОЙА ЧЩЛМАЮЕО, РПЬФПНХ ОЙЦЕ НЩ ТБУУНПФТЙН ЛБЛ ЕЗП ЧЛМАЮЙФШ Ч ДБООПН Й Ч ДТХЗЙИ ДЙУФТЙВХФЙЧБИ.
2.3.1. уВПТЛБ РБЛЕФБ дМС ОБЮБМБ РБЛЕФ У ЙУИПДОЩНЙ ФЕЛУФБНЙ iptables ОХЦОП ТБУРБЛПЧБФШ. нЩ ВХДЕН ТБУУНБФТЙЧБФШ РБЛЕФ iptables 1.2.6a Й СДТП УЕТЙЙ 2.4. тБУРБЛХЕН ЛБЛ ПВЩЮОП, ЛПНБОДПК bzip2 -cd iptables-1.2.6a.tar.bz2 | tar -xvf - (ТБУРБЛПЧЛХ НПЦОП ЧЩРПМОЙФШ ФБЛЦЛ ЛПНБОДПК tar -xjvf iptables-1.2.6a.tar.bz2). еУМЙ ТБУРБЛПЧЛБ РТПЫМБ ХДБЮОП, ФП РБЛЕФ ВХДЕФ ТБЪНЕЭЕО Ч ЛБФБМПЗЕ iptables-1.2.6a. ъБ ДПРПМОЙФЕМШОПК ЙОЖПТНБГЙЕК ЧЩ НПЦЕФЕ ПВТБФЙФШУС Л ЖБКМХ iptables-1.2.6a/INSTALL, ЛПФПТЩК УПДЕТЦЙФ РПДТПВОХА ЙОЖПТНБГЙА РП УВПТЛЕ Й ХУФБОПЧЛЕ РБЛЕФБ.
дБМЕЕ ОЕПВИПДЙНП РТПЧЕТЙФШ ЧЛМАЮЕОЙЕ Ч СДТП ДПРПМОЙФЕМШОЩИ НПДХМЕК Й ПРГЙК. ыБЗЙ, ПРЙУЩЧБЕНЩЕ ЪДЕУШ, ВХДХФ ЛБУБФШУС ФПМШЛП ОБМПЦЕОЙС "ЪБРМБФ" (patches) ОБ СДТП. оБ ЬФПН ЫБЗЕ НЩ ХУФБОПЧЙН ПВОПЧМЕОЙС, ЛПФПТЩЕ, ЛБЛ ПЦЙДБЕФУС, ВХДХФ ЧЛМАЮЕОЩ Ч СДТП Ч ВХДХЭЕН.
оЕЛПФПТЩЕ ЙЪ ОЙИ ОБИПДСФУС РПЛБ ОБ ЬЛУРЕТЙНЕОФБМШОПК УФБДЙЙ Й ОБМПЦЕОЙЕ ЬФЙИ ЪБРМБФ НПЦЕФ ПЛБЪБФШУС ОЕ ЧУЕЗДБ ПРТБЧДБООПК, ПДОБЛП УТЕДЙ ОЙИ ЕУФШ ЮТЕЪЧЩЮБКОП ЙОФЕТЕУОЩЕ ЖХОЛГЙЙ Й ДЕКУФЧЙС.
чЩРПМОЙН ЬФПФ ЫБЗ, ОБВТБЧ ЛПНБОДХ (ЕУФЕУФЧЕООП, ПВМБДБС РТБЧБНЙ РПМШЪПЧБФЕМС root)
make pending-patches KERNEL_DIR=/usr/src/linux/
рЕТЕНЕООБС KERNEL_DIR ДПМЦОБ УПДЕТЦБФШ РХФШ Л ЙУИПДОЩН ФЕЛУФБН ЧБЫЕЗП СДТБ. пВЩЮОП ЬФП /usr/src/linux/. еУМЙ ЙУИПДОЩЕ ФЕЛУФЩ Х ЧБУ ТБУРПМПЦЕОЩ Ч ДТХЗПН НЕУФЕ, ФП, УППФЧЕФУФЧЕООП, ЧЩ ДПМЦОЩ ХЛБЪБФШ УЧПК РХФШ.
ъДЕУШ РТЕДРПМБЗБЕФУС ЧЩРПМОЙФШ ОЕУЛПМШЛП ПВОПЧМЕОЙК Й ДПРПМОЕОЙК, ЛПФПТЩЕ ПРТЕДЕМЕООП ЧПКДХФ Ч УПУФБЧ СДТБ, ОП ОЕУЛПМШЛП РПЪДОЕЕ, УЕКЮБУ ЦЕ НЩ ЧПЪШНЕН ЙИ ПФУАДБ ЧЩРПМОЙЧ ЛПНБОДХ:
make most-of-pom KERNEL_DIR=/usr/src/linux/
ч РТПГЕУУЕ ЧЩРПМОЕОЙС ЧЩЫЕРТЙЧЕДЕООПК ЛПНБОДЩ Х ЧБУ ВХДЕФ ЪБРТБЫЙЧБФШУС РПДФЧЕТЦДЕОЙЕ ОБ ПВОПЧМЕОЙЕ ЛБЦДПЗП ТБЪДЕМБ ЙЪ ФПЗП, ЮФП Ч НЙТЕ netfilter ОБЪЩЧБЕФУС patch-o-matic. юФПВЩ ХУФБОПЧЙФШ ЧУЕ "ЪБРМБФЛЙ" ЙЪ patch-o-matic, ЧБН ОХЦОП ЧЩРПМОЙФШ УМЕДХАЭХА ЛПНБОДХ:
make patch-o-matic KERNEL_DIR=/usr/src/linux/
оЕ ЪБВХДШФЕ ЧОЙНБФЕМШОП Й ДП ЛПОГБ РТПЮЙФБФШ УРТБЧЛХ РП ЛБЦДПК "ЪБРМБФЛЕ" ДП ФПЗП ЛБЛ ЧЩ ВХДЕФЕ ХУФБОБЧМЙЧБФШ ЮФП-МЙВП, РПУЛПМШЛХ ПДОЙ "ЪБРМБФЛЙ" НПЗХФ ПЛБЪБФШУС ОЕУПЧНЕУФЙНЩ У ДТХЗЙНЙ, Б ОЕЛПФПТЩЕ -- РТЙ УПЧНЕУФОПН ОБМПЦЕОЙЙ ДБЦЕ ТБЪТХЫЙФШ СДТП.
чЩ НПЦЕФЕ ЧППВЭЕ РТПРХУФЙФШ ПВОПЧМЕОЙЕ СДТБ, ДТХЗЙНЙ УМПЧБНЙ ПУПВПК ОХЦДЩ Ч ФБЛПН ПВОПЧМЕОЙЙ ОЕФ, ПДОБЛП patch-o-matic УПДЕТЦЙФ ДЕКУФЧЙФЕМШОП ЙОФЕТЕУОЩЕ ПВОПЧМЕОЙС, Й Х ЧБУ ЧРПМОЕ НПЦЕФ ЧПЪОЙЛОХФШ ЦЕМБОЙЕ РПУНПФТЕФШ ОБ ОЙИ. оЙЮЕЗП УФТБЫОПЗП ОЕ УМХЮЙФУС, ЕУМЙ ЧЩ ЪБРХУФЙФЕ ЬФЙ ЛПНБОДЩ Й РПУНПФТЙФЕ ЛБЛЙЕ ПВОПЧМЕОЙС ЙНЕАФУС.
рПУМЕ ЪБЧЕТЫЕОЙС ПВОПЧМЕОЙС, ЧБН ОЕПВИПДЙНП ВХДЕФ РЕТЕУПВТБФШ СДТП, ДПВБЧЙЧ Ч ОЕЗП ФПМШЛП ЮФП ХУФБОПЧМЕООЩЕ ПВОПЧМЕОЙС. оЕ ЪБВХДШФЕ УОБЮБМБ ЧЩРПМОЙФШ ЛПОЖЙЗХТЙТПЧБОЙЕ СДТБ, РПУЛПМШЛХ ХУФБОПЧМЕООЩЕ ПВОПЧМЕОЙС УЛПТЕЕ ЧУЕЗП ПЛБЦХФУС ЧЩЛМАЮЕООЩНЙ. ч РТЙОГЙРЕ, НПЦОП РПДПЦДБФШ У ЛПНРЙМСГЙЕК СДТБ ДП ФЕИ РПТ РПЛБ ЧЩ ОЕ ЪБЛПОЮЙФЕ ХУФБОПЧЛХ iptables.
рТПДПМЦБС УВПТЛХ iptables, ЪБРХУФЙФЕ ЛПНБОДХ:
make KERNEL_DIR=/usr/src/linux/
еУМЙ Ч РТПГЕУУЕ УВПТЛЙ ЧПЪОЙЛМЙ ЛБЛЙЕ МЙВП РТПВМЕНЩ, ФП НПЦЕФЕ РПРЩФБФШУС ТБЪТЕЫЙФШ ЙИ УБНПУФПСФЕМШОП, МЙВП ПВТБФЙФШУС ОБ Netfilter mailing list, ЗДЕ ЧБН УНПЗХФ РПНПЮШ. фБН ЧЩ ОБКДЕФЕ РПСУОЕОЙС, ЮФП НПЗМП ВЩФШ УДЕМБОП ЧБНЙ ОЕРТБЧЙМШОП РТЙ ХУФБОПЧЛЕ, ФБЛ ЮФП УТБЪХ ОЕ РБОЙЛХКФЕ. еУМЙ ЬФП ОЕ РПНПЗМП -- РПУФБТБКФЕУШ РПТБЪНЩУМЙФШ МПЗЙЮЕУЛЙ, ЧПЪНПЦОП ЬФП РПНПЦЕФ. йМЙ ПВТБФЙФЕУШ Л ЪОБЛПНПНХ "ЗХТХ".
еУМЙ ЧУЕ РТПЫМП ЗМБДЛП, ФП УМЕДПЧБФЕМШОП ЧЩ ЗПФПЧЩ Л ХУФБОПЧЛЕ ЙУРПМОСЕНЩИ НПДХМЕК (binaries), ДМС ЮЕЗП ЪБРХУФЙФЕ УМЕДХАЭХА ЛПНБОДХ:
make install KERNEL_DIR=/usr/src/linux/
оБДЕАУШ, ЮФП ЪДЕУШ-ФП РТПВМЕН ОЕ ЧПЪОЙЛМП! фЕРЕТШ ДМС ЙУРПМШЪПЧБОЙС РБЛЕФБ iptables ЧБН ПРТЕДЕМЕООП РПФТЕВХЕФУС РЕТЕУПВТБФШ Й РЕТЕХУФБОПЧЙФШ СДТП, ЕУМЙ ЧЩ ДП УЙИ РПТ ЬФПЗП ОЕ УДЕМБМЙ. дПРПМОЙФЕМШОХА ЙОЖПТНБГЙА РП ХУФБОПЧЛЕ РБЛЕФБ ЧЩ ОБКДЕФЕ Ч ЖБКМЕ INSTALL.
2.3.2. хУФБОПЧЛБ Ч Red Hat 7.1 RedHAt 7.1, У ХУФБОПЧМЕООЩН СДТПН 2.4.x ХЦЕ ЧЛМАЮБЕФ РТЕДХУФБОПЧМЕООЩЕ netfilter Й iptables. пДОБЛП, ДМС УПИТБОЕОЙС ПВТБФОПК УПЧНЕУФЙНПУФЙ У РТЕДЩДХЭЙНЙ ДЙУФТЙВХФЙЧБНЙ, РП ХНПМЮБОЙА ТБВПФБЕФ РБЛЕФ ipchains. уЕКЮБУ НЩ ЛПТПФЛП ТБЪВЕТЕН - ЛБЛ ХДБМЙФШ ipchains Й ЪБРХУФЙФШ ЧНЕУФП ОЕЗП iptables.
чЕТУЙС iptables Ч Red Hat 7.1 УЙМШОП ХУФБТЕМБ Й, ОБЧЕТОПЕ ОЕРМПИЙН ТЕЫЕОЙЕН ВХДЕФ ХУФБОПЧЙФШ ВПМЕЕ ОПЧХА ЧЕТУЙА.
дМС ОБЮБМБ ОХЦОП ПФЛМАЮЙФШ ipchains, ЮФПВЩ РТЕДПФЧТБФЙФШ ЪБЗТХЪЛХ УППФЧЕФУФЧХАЭЙИ НПДХМЕК Ч ВХДХЭЕН. юФПВЩ ДПВЙФШУС ЬФПЗП, ОБН РПФТЕВХЕФУС ЙЪНЕОЙФШ ЙНЕОБ ОЕЛПФПТЩИ ЖБКМПЧ Ч ДЕТЕЧЕ ЛБФБМПЗПЧ /etc/rc.d/. уМЕДХАЭБС ЛПНБОДБ, ЧЩРПМОЙФ ФТЕВХЕНЩЕ ДЕКУФЧЙС:
chkconfig --level 0123456 ipchains off
ч ТЕЪХМШФБФЕ ЧЩРПМОЕОЙС ЬФПК ЛПНБОДЩ, Ч ОЕЛПФПТЩИ ЙНЕОБИ УУЩМПЛ, ХЛБЪЩЧБАЭЙИ ОБ ЖБКМЩ Ч ЛБФБМПЗЕ /etc/rc.d/init.d/ipchains, УЙНЧПМ S (ЛПФПТЩК УППВЭБЕФ, ЮФП ДБООЩК УГЕОБТЙК ПФТБВБФЩЧБЕФ ОБ ЪБРХУЛЕ УЙУФЕНЩ) ВХДЕФ ЪБНЕОЕО УЙНЧПМПН K (ПФ УМПЧБ Kill, ЛПФПТЩК ХЛБЪЩЧБЕФ ОБ ФП, ЮФП УГЕОБТЙК ПФТБВБФЩЧБЕФ, РТЙ ЪБЧЕТЫЕОЙЙ ТБВПФЩ УЙУФЕНЩ. фБЛЙН ПВТБЪПН НЩ РТЕДПФЧТБФЙН ЪБРХУЛ ОЕОХЦОПЗП УЕТЧЙУБ Ч ВХДХЭЕН.
пДОБЛП ipchains РП-РТЕЦОЕНХ ПУФБАФУС Ч ТБВПФЕ. фЕРЕТШ ОБДП ЧЩРПМОЙФШ ЛПНБОДХ, ЛПФПТБС ПУФБОПЧЙФ ЬФПФ УЕТЧЙУ:
service ipchains stop
й Ч ЪБЛМАЮЕОЙЕ ОЕПВИПДЙНП ЪБРХУФЙФШ УЕТЧЙУ iptables. дМС ЬФПЗП, ЧП-РЕТЧЩИ, ОБДП ПРТЕДЕМЙФШУС У ХТПЧОСНЙ ЪБРХУЛБ ПРЕТБГЙПООПК УЙУФЕНЩ, ОБ ЛПФПТЩИ ОХЦОП УФБТФПЧБФШ ЬФПФ УЕТЧЙУ. пВЩЮОП ЬФП ХТПЧОЙ 2, 3 Й 5. пВ ЬФЙИ ХТПЧОСИ НЩ ЪОБЕН:
2. нОПЗПРПМШЪПЧБФЕМШУЛЙК ТЕЦЙН ВЕЪ РПДДЕТЦЛЙ NFS ЙМЙ ФП ЦЕ УБНПЕ, ЮФП Й 3, ОП ВЕЪ УЕФЕЧПК РПДДЕТЦЛЙ.
3. рПМОПЖХОЛГЙПОБМШОЩК НОПЗПРПМШЪПЧБФЕМШУЛЙК ТЕЦЙН.
5. X11. дБООЩК ХТПЧЕОШ ЙУРПМШЪХЕФУС ДМС БЧФПНБФЙЮЕУЛПК ЪБЗТХЪЛЙ Xwindows.
юФПВЩ ЪБРХУФЙФШ iptables ОБ ЬФЙИ ХТПЧОСИ ОХЦОП ЧЩРПМОЙФШ ЛПНБОДХ:
chkconfig --level 235 iptables on
иПЮЕФУС ХРПНСОХФШ ПВ ХТПЧОСИ, ОБ ЛПФПТЩИ ОЕ ФТЕВХЕФУС ЪБРХУЛБ iptables: хТПЧЕОШ 1 -- ПДОПРПМШЪПЧБФЕМШУЛЙК ТЕЦЙН ТБВПФЩ, ЛБЛ РТБЧЙМП ЙУРПМШЪХЕФУС Ч ЬЛУФТЕООЩИ УМХЮБСИ, ЛПЗДБ НЩ "РПДОЙНБЕН" "ХРБЧЫХА" УЙУФЕНХ. хТПЧЕОШ 4 -- ЧППВЭЕ ОЕ ДПМЦЕО ЙУРПМШЪПЧБФШУС. хТПЧЕОШ ЧЩРПМОЕОЙС 6 -- ЬФП ХТПЧЕОШ ПУФБОПЧЛЙ УЙУФЕНЩ РТЙ ЧЩЛМАЮЕОЙЙ ЙМЙ РЕТЕЪБЗТХЪЛЕ ЛПНРШАФЕТБ.
дМС БЛФЙЧБГЙЙ УЕТЧЙУБ iptables РПДБДЙН ЛПНБОДХ:
service iptables start
йФБЛ, НЩ ЪБРХУФЙМЙ iptables, ОП Х ОБУ РПЛБ ЕЭЕ ОЕФ ОЙ ПДОПЗП РТБЧЙМБ. юФПВЩ ДПВБЧЙФШ ОПЧЩЕ РТБЧЙМБ Ч Red Hat 7.1 НПЦОП РПКФЙ ДЧХНС РХФСНЙ, ЧП-РЕТЧЩИ: РПДРТБЧЙФШ ЖБКМ /etc/rc.d/init.d/iptables, ОП ЬФПФ УРПУПВ ЙНЕЕФ ПДОП ОЕЗБФЙЧОПЕ УЧПКУФЧП -- РТЙ ПВОПЧМЕОЙЙ iptables ЙЪ RPM-РБЛЕФПЧ ЧУЕ ЧБЫЙ РТБЧЙМБ ВХДХФ ХФЕТСОЩ, Б ЧП-ЧФПТЩИ: ЪБОЕУФЙ РТБЧЙМБ Й УПИТБОЙФШ ЙИ ЛПНБОДПК iptables-save, УПИТБОЕООЩЕ ФБЛЙН ПВТБЪПН РТБЧЙМБ ВХДХФ БЧФПНБФЙЮЕУЛЙ ЧПУУФБОБЧМЙЧБФШУС РТЙ ЪБЗТХЪЛЕ УЙУФЕНЩ.
ч УМХЮБЕ, ЕУМЙ ЧЩ ЙЪВТБМЙ РЕТЧЩК ЧБТЙБОФ ХУФБОПЧЛЙ РТБЧЙМ Ч iptables, ФП ЧБН ОЕПВИПДЙНП ЪБОЕУФЙ ЙИ Ч УЕЛГЙА start УГЕОБТЙС /etc/rc.d/init.d/iptables (ДМС ХУФБОПЧЛЙ РТБЧЙМ РТЙ ЪБЗТХЪЛЕ УЙУФЕНЩ) ЙМЙ Ч ЖХОЛГЙА start(). дМС ЧЩРПМОЕОЙС ДЕКУФЧЙК РТЙ ПУФБОПЧЛЕ УЙУФЕНЩ -- ЧОЕУЙФЕ УППФЧЕФУФЧХАЭЙЕ ЙЪНЕОЕОЙС Ч УЕЛГЙА stop) ЙМЙ Ч ЖХОЛГЙА stop(). фБЛ ЦЕ ОЕ ЪБВХДШФЕ РТП УЕЛГЙЙ restart Й condrestart. иПЮЕФУС ЕЭЕ ТБЪ ОБРПНОЙФШ, ЮФП Ч УМХЮБЕ ПВОПЧМЕОЙС iptables ЙЪ RPM-РБЛЕФПЧ ЙМЙ ЮЕТЕЪ БЧФПНБФЙЮЕУЛПЕ ПВОПЧМЕОЙЕ РП УЕФЙ, ЧЩ НПЦЕФЕ ХФЕТСФШ ЧУЕ ЙЪНЕОЕОЙС, ЧОЕУЕООЩЕ Ч ЖБКМ /etc/rc.d/init.d/iptables.
чФПТПК УРПУПВ ЪБЗТХЪЛЙ РТБЧЙМ РТЕДРПЮФЙФЕМШОЕЕ. пО РТЕДРПМБЗБЕФ УМЕДХАЭЙЕ ЫБЗЙ. дМС ОБЮБМБ -- ЪБРЙЫЙФЕ РТБЧЙМБ Ч ЖБКМ ЙМЙ ОЕРПУТЕДУФЧЕООП, ЮЕТЕЪ ЛПНБОДХ iptables, УНПФТС ЮФП ДМС ЧБУ РТЕДРПЮФЙФЕМШОЕЕ. ъБФЕН ЙУРПМОЙФЕ ЛПНБОДХ iptables-save. ьФБ ЛПНБОДБ ЬЛЧЙЧБМЕОФОБ ЛПНБОДЕ iptables-save > /etc/sysconfig/iptables. ч ТЕЪХМШФБФЕ, ЧЕУШ ОБВПТ РТБЧЙМ ВХДЕФ УПИТБОЕО Ч ЖБКМЕ /etc/sysconfig/iptables, ЛПФПТЩК БЧФПНБФЙЮЕУЛЙ РПДЗТХЦБЕФУС РТЙ ЪБРХУЛЕ УЕТЧЙУБ iptables. дТХЗЙН УРПУПВПН УПИТБОЙФШ ОБВПТ РТБЧЙМ ВХДЕФ РПДБЮБ ЛПНБОДЩ service iptables save, ЛПФПТБС РПМОПУФША ЙДЕОФЙЮОБ ЧЩЫЕРТЙЧЕДЕООПК ЛПНБОДЕ. чРПУМЕДУФЧЙЙ, РТЙ РЕТЕЪБЗТХЪЛЕ ЛПНРШАФЕТБ, УГЕОБТЙК iptables ЙЪ rc.d ВХДЕФ ЧЩРПМОСФШ ЛПНБОДХ iptables-restore ДМС ЪБЗТХЪЛЙ ОБВПТБ РТБЧЙМ ЙЪ ЖБКМБ /etc/sysconfig/iptables.
й ОБЛПОЕГ, Ч ЪБЧЕТЫЕОЙЕ ХУФБОПЧЛЙ, ОЕРМПИП ВЩМП ВЩ ХДБМЙФШ УФБТЩЕ ЧЕТУЙЙ ipchains Й iptables. ьФП ОЕПВИПДЙНП УДЕМБФШ ДМС ФПЗП, ЮФПВЩ УЙУФЕНБ ОЕ "РЕТЕРХФБМБ" УФБТЩК РБЛЕФ iptables У ЧОПЧШ ХУФБОПЧМЕООЩН. хДБМЕОЙЕ УФБТПЗП РБЛЕФБ iptables ОЕПВИПДЙНП РТПЙЪЧЕУФЙ ФПМШЛП Ч ФПН УМХЮБЕ, ЕУМЙ ЧЩ РТПЙЪЧПДЙМЙ ХУФБОПЧЛХ ЙЪ ЙУИПДОЩИ ФЕЛУФПЧ. дЕМП Ч ФПН, ЮФП RPM РБЛЕФЩ ХУФБОБЧМЙЧБАФУС Ч ОЕУЛПМШЛП ЙОПЕ НЕУФП ОЕЦЕМЙ РБЛЕФЩ, УПВТБООЩЕ ЙЪ ЙУИПДОЩИ ФЕЛУФПЧ, Б РПЬФПНХ ОПЧЩК РБЛЕФ ОЕ "ЪБФЙТБЕФ" УФБТЩК. юФПВЩ ЧЩРПМОЙФШ ДЕЙОУФБММСГЙА РТЕДЩДХЭЕК ЧЕТУЙЙ iptables ЧЩРПМОЙФЕ УМЕДХАЭХА ЛПНБОДХ:
rpm -e iptables
бОБМПЗЙЮОЩН ПВТБЪПН ХДБМЙН Й ipchains, РПУЛПМШЛХ ПУФБЧМСФШ ЬФПФ РБЛЕФ Ч УЙУФЕНЕ ВПМЕЕ ОЕФ ОЙЛБЛПЗП УНЩУМБ.
rpm -e ipchains
зМБЧБ 3. рПТСДПЛ РТПИПЦДЕОЙС ФБВМЙГ Й ГЕРПЮЕЛ ч ЬФПК ЗМБЧЕ НЩ ТБУУНПФТЙН РПТСДПЛ РТПИПЦДЕОЙС ФБВМЙГ Й ГЕРПЮЕЛ Ч ЛБЦДПК ФБВМЙГЕ. ьФБ ЙОЖПТНБГЙС ВХДЕФ ПЮЕОШ ЧБЦОБ ДМС ЧБУ РПЪДОЕЕ, ЛПЗДБ ЧЩ ОБЮОЕФЕ УФТПЙФШ УЧПЙ ОБВПТЩ РТБЧЙМ, ПУПВЕООП ЛПЗДБ Ч ОБВПТЩ РТБЧЙМ ВХДХФ ЧЛМАЮБФШУС ФБЛЙЕ ДЕКУФЧЙС ЛБЛ DNAT, SNAT Й ЛПОЕЮОП ЦЕ TOS.
3.1. пВЭЙЕ РПМПЦЕОЙС лПЗДБ РБЛЕФ РТЙИПДЙФ ОБ ОБЫ ВТБОДНБХЬТ, ФП ПО УРЕТЧБ РПРБДБЕФ ОБ УЕФЕЧПЕ ХУФТПКУФЧП, РЕТЕИЧБФЩЧБЕФУС УППФЧЕФУФЧХАЭЙН ДТБКЧЕТПН Й ДБМЕЕ РЕТЕДБЕФУС Ч СДТП. дБМЕЕ РБЛЕФ РТПИПДЙФ ТСД ФБВМЙГ Й ЪБФЕН РЕТЕДБЕФУС МЙВП МПЛБМШОПНХ РТЙМПЦЕОЙА, МЙВП РЕТЕРТБЧМСЕФУС ОБ ДТХЗХА НБЫЙОХ. рПТСДПЛ УМЕДПЧБОЙС РБЛЕФБ РТЙЧПДЙФУС ОЙЦЕ:
фБВМЙГБ 3-1. рПТСДПЛ ДЧЙЦЕОЙС ФТБОЪЙФОЩИ РБЛЕФПЧ
ыБЗ фБВМЙГБ гЕРПЮЛБ рТЙНЕЮБОЙЕ 1 љ љ лБВЕМШ (Ф.Е. йОФЕТОЕФ) 2 љ љ уЕФЕЧПК ЙОФЕТЖЕКУ (ОБРТЙНЕТ, eth0) 3 mangle PREROUTING пВЩЮОП ЬФБ ГЕРПЮЛБ ЙУРПМШЪХЕФУС ДМС ЧОЕУЕОЙС ЙЪНЕОЕОЙК Ч ЪБЗПМПЧПЛ РБЛЕФБ, ОБРТЙНЕТ ДМС ЙЪНЕОЕОЙС ВЙФПЧ TOS Й РТ.. 4 nat PREROUTING ьФБ ГЕРПЮЛБ ЙУРПМШЪХЕФУС ДМС ФТБОУМСГЙЙ УЕФЕЧЩИ БДТЕУПЧ (Destination Network Address Translation). Source Network Address Translation ЧЩРПМОСЕФУС РПЪДОЕЕ, Ч ДТХЗПК ГЕРПЮЛЕ. мАВПЗП ТПДБ ЖЙМШФТБГЙС Ч ЬФПК ГЕРПЮЛЕ НПЦЕФ РТПЙЪЧПДЙФШУС ФПМШЛП Ч ЙУЛМАЮЙФЕМШОЩИ УМХЮБСИ 5 љ љ рТЙОСФЙЕ ТЕЫЕОЙС П ДБМШОЕКЫЕК НБТЫТХФЙЪБГЙЙ, Ф.Е. Ч ЬФПК ФПЮЛЕ ТЕЫБЕФУС ЛХДБ РПКДЕФ РБЛЕФ -- МПЛБМШОПНХ РТЙМПЦЕОЙА ЙМЙ ОБ ДТХЗПК ХЪЕМ УЕФЙ. 6 mangle FORWARD дБМЕЕ РБЛЕФ РПРБДБЕФ Ч ГЕРПЮЛХ FORWARD ФБВМЙГЩ mangle, ЛПФПТБС ДПМЦОБ ЙУРПМШЪПЧБФШУС ФПМШЛП Ч ЙУЛМАЮЙФЕМШОЩИ УМХЮБСИ, ЛПЗДБ ОЕПВИПДЙНП ЧОЕУФЙ ОЕЛПФПТЩЕ ЙЪНЕОЕОЙС Ч ЪБЗПМПЧПЛ РБЛЕФБ НЕЦДХ ДЧХНС ФПЮЛБНЙ РТЙОСФЙС ТЕЫЕОЙС П НБТЫТХФЙЪБГЙЙ. 7 Filter FORWARD ч ГЕРПЮЛХ FORWARD РПРБДБАФ ФПМШЛП ФЕ РБЛЕФЩ, ЛПФПТЩЕ ЙДХФ ОБ ДТХЗПК ИПУФ чУС ЖЙМШФТБГЙС ФТБОЪЙФОПЗП ФТБЖЙЛБ ДПМЦОБ ЧЩРПМОСФШУС ЪДЕУШ. оЕ ЪБВЩЧБКФЕ, ЮФП ЮЕТЕЪ ЬФХ ГЕРПЮЛХ РТПИПДЙФ ФТБЖЖЙЛ Ч ПВПЙИ ОБРТБЧМЕОЙСИ, ПВСЪБФЕМШОП ХЮЙФЩЧБКФЕ ЬФП ПВУФПСФЕМШУФЧП РТЙ ОБРЙУБОЙЙ РТБЧЙМ ЖЙМШФТБГЙЙ. 8 mangle POSTROUTING ьФБ ГЕРПЮЛБ РТЕДОБЪОБЮЕОБ ДМС ЧОЕУЕОЙС ЙЪНЕОЕОЙК Ч ЪБЗПМПЧПЛ РБЛЕФБ ХЦЕ РПУМЕ ФПЗП ЛБЛ РТЙОСФП РПУМЕДОЕЕ ТЕЫЕОЙЕ П НБТЫТХФЙЪБГЙЙ. 9 nat POSTROUTING ьФБ ГЕРПЮЛБ РТЕДОБЪОБЮЕОБ Ч РЕТЧХА ПЮЕТЕДШ ДМС Source Network Address Translation. оЕ ЙУРПМШЪХКФЕ ЕЕ ДМС ЖЙМШФТБГЙЙ ВЕЪ ПУПВПК ОБ ФП ОЕПВИПДЙНПУФЙ. ъДЕУШ ЦЕ ЧЩРПМОСЕФУС Й НБУЛБТБДЙОЗ (Masquerading). 10 љ љ чЩИПДОПК УЕФЕЧПК ЙОФЕТЖЕКУ (ОБРТЙНЕТ, eth1). 11 љ љ лБВЕМШ (РХУФШ ВХДЕФ LAN). лБЛ ЧЩ НПЦЕФЕ ЧЙДЕФШ, РБЛЕФ РТПИПДЙФ ОЕУЛПМШЛП ЬФБРПЧ, РТЕЦДЕ ЮЕН ПО ВХДЕФ РЕТЕДБО ДБМЕЕ. оБ ЛБЦДПН ЙЪ ОЙИ РБЛЕФ НПЦЕФ ВЩФШ ПУФБОПЧМЕО, ВХДШ ФП ГЕРПЮЛБ iptables ЙМЙ ЮФП МЙВП ЕЭЕ, ОП ОБУ ЗМБЧОЩН ПВТБЪПН ЙОФЕТЕУХЕФ iptables. ъБНЕФШФЕ, ЮФП ОЕФ ЛБЛЙИ МЙВП ГЕРПЮЕЛ, УРЕГЙЖЙЮОЩИ ДМС ПФДЕМШОЩИ ЙОФЕТЖЕКУПЧ ЙМЙ ЮЕЗП МЙВП РПДПВОПЗП. гЕРПЮЛХ FORWARD РТПИПДСФ чуе РБЛЕФЩ, ЛПФПТЩЕ ДЧЙЦХФУС ЮЕТЕЪ ОБЫ ВТБОДНБХЬТ/ ТПХФЕТ. оЕ ЙУРПМШЪХКФЕ ГЕРПЮЛХ INPUT ДМС ЖЙМШФТБГЙЙ ФТБОЪЙФОЩИ РБЛЕФПЧ, ПОЙ ФХДБ РТПУФП ОЕ РПРБДБАФ! юЕТЕЪ ЬФХ ГЕРПЮЛХ ДЧЙЦХФУС ФПМШЛП ФЕ РБЛЕФЩ, ЛПФПТЩЕ РТЕДОБЪОБЮЕОЩ ДБООПНХ ИПУФХ!
б ФЕРЕТШ ТБУУНПФТЙН РПТСДПЛ ДЧЙЦЕОЙС РБЛЕФБ, РТЕДОБЪОБЮЕООПЗП МПЛБМШОПНХ РТПГЕУУХ/РТЙМПЦЕОЙА:
фБВМЙГБ 3-2. дМС МПЛБМШОПЗП РТЙМПЦЕОЙС
ыБЗ фБВМЙГБ гЕРПЮЛБ рТЙНЕЮБОЙЕ 1 љ љ лБВЕМШ (Ф.Е. йОФЕТОЕФ) 2 љ љ чИПДОПК УЕФЕЧПК ЙОФЕТЖЕКУ (ОБРТЙНЕТ, eth0) 3 mangle PREROUTING пВЩЮОП ЙУРПМШЪХЕФУС ДМС ЧОЕУЕОЙС ЙЪНЕОЕОЙК Ч ЪБЗПМПЧПЛ РБЛЕФБ, ОБРТЙНЕТ ДМС ХУФБОПЧЛЙ ВЙФПЧ TOS Й РТ. 4 nat PREROUTING рТЕПВТБЪПЧБОЙЕ БДТЕУПЧ (Destination Network Address Translation). жЙМШФТБГЙС РБЛЕФПЧ ЪДЕУШ ДПРХУЛБЕФУС ФПМШЛП Ч ЙУЛМАЮЙФЕМШОЩИ УМХЮБСИ. 5 љ љ рТЙОСФЙЕ ТЕЫЕОЙС П НБТЫТХФЙЪБГЙЙ. 6 mangle INPUT рБЛЕФ РПРБДБЕФ Ч ГЕРПЮЛХ INPUT ФБВМЙГЩ mangle. ъДЕУШ ЧОЕУСФУС ЙЪНЕОЕОЙС Ч ЪБЗПМПЧПЛ РБЛЕФБ РЕТЕД ФЕН ЛБЛ ПО ВХДЕФ РЕТЕДБО МПЛБМШОПНХ РТЙМПЦЕОЙА. 7 filter INPUT ъДЕУШ РТПЙЪЧПДЙФУС ЖЙМШФТБГЙС ЧИПДСЭЕЗП ФТБЖЙЛБ. рПНОЙФЕ, ЮФП ЧУЕ ЧИПДСЭЙЕ РБЛЕФЩ, БДТЕУПЧБООЩЕ ОБН, РТПИПДСФ ЮЕТЕЪ ЬФХ ГЕРПЮЛХ, ОЕЪБЧЙУЙНП ПФ ФПЗП У ЛБЛПЗП ЙОФЕТЖЕКУБ ПОЙ РПУФХРЙМЙ. 8 љ љ мПЛБМШОЩК РТПГЕУУ/РТЙМПЦЕОЙЕ (Ф.Е., РТПЗТБННБ-УЕТЧЕТ ЙМЙ РТПЗТБННБ-ЛМЙЕОФ) чБЦОП РПНОЙФШ, ЮФП ОБ ЬФПФ ТБЪ РБЛЕФЩ ЙДХФ ЮЕТЕЪ ГЕРПЮЛХ INPUT, Б ОЕ ЮЕТЕЪ FORWARD.
й Ч ЪБЛМАЮЕОЙЕ НЩ ТБУУНПФТЙН РПТСДПЛ ДЧЙЦЕОЙС РБЛЕФПЧ, УПЪДБООЩИ МПЛБМШОЩНЙ РТПГЕУУБНЙ.
фБВМЙГБ 3-3. пФ МПЛБМШОЩИ РТПГЕУУПЧ
ыБЗ фБВМЙГБ гЕРПЮЛБ рТЙНЕЮБОЙЕ 1 љ љ мПЛБМШОЩК РТПГЕУУ (Ф.Е., РТПЗТБННБ-УЕТЧЕТ ЙМЙ РТПЗТБННБ-ЛМЙЕОФ). 2 љ љ рТЙОСФЙЕ ТЕЫЕОЙС П НБТЫТХФЙЪБГЙЙ. ъДЕУШ ТЕЫБЕФУС ЛХДБ РПКДЕФ РБЛЕФ ДБМШЫЕ -- ОБ ЛБЛПК БДТЕУ, ЮЕТЕЪ ЛБЛПК УЕФЕЧПК ЙОФЕТЖЕКУ Й РТ. 3 mangle OUTPUT ъДЕУШ РТПЙЪЧПДЙФУС ЧОЕУЕОЙЕ ЙЪНЕОЕОЙК Ч ЪБЗПМПЧПЛ РБЛЕФБ. чЩРПМОЕОЙЕ ЖЙМШФТБГЙЙ Ч ЬФПК ГЕРПЮЛЕ НПЦЕФ ЙНЕФШ ОЕЗБФЙЧОЩЕ РПУМЕДУФЧЙС. 4 nat OUTPUT ьФБ ГЕРПЮЛБ ЙУРПМШЪХЕФУС ДМС ФТБОУМСГЙЙ УЕФЕЧЩИ БДТЕУПЧ (NAT) Ч РБЛЕФБИ, ЙУИПДСЭЙИ ПФ МПЛБМШОЩИ РТПГЕУУПЧ ВТБОДНБХЬТБ. 5 Filter OUTPUT ъДЕУШ ЖЙМШФТХЕФУС ЙУИПДСЭЙК ФТБЖЖЙЛ. 6 mangle POSTROUTING гЕРПЮЛБ POSTROUTING ФБВМЙГЩ mangle Ч ПУОПЧОПН ЙУРПМШЪХЕФУС ДМС РТБЧЙМ, ЛПФПТЩЕ ДПМЦОЩ ЧОПУЙФШ ЙЪНЕОЕОЙС Ч ЪБЗПМПЧПЛ РБЛЕФБ РЕТЕД ФЕН, ЛБЛ ПО РПЛЙОЕФ ВТБОДНБХЬТ, ОП ХЦЕ РПУМЕ РТЙОСФЙС ТЕЫЕОЙС П НБТЫТХФЙЪБГЙЙ. ч ЬФХ ГЕРПЮЛХ РПРБДБАФ ЧУЕ РБЛЕФЩ, ЛБЛ ФТБОЪЙФОЩЕ, ФБЛ Й УПЪДБООЩЕ МПЛБМШОЩНЙ РТПГЕУУБНЙ ВТБОДНБХЬТБ. 7 nat POSTROUTING ъДЕУШ ЧЩРПМОСЕФУС Source Network Address Translation. оЕ УМЕДХЕФ Ч ЬФПК ГЕРПЮЛЕ РТПЙЪЧПДЙФШ ЖЙМШФТБГЙА РБЛЕФПЧ ЧП ЙЪВЕЦБОЙЕ ОЕЦЕМБФЕМШОЩИ РПВПЮОЩИ ЬЖЖЕЛФПЧ. пДОБЛП Й ЪДЕУШ НПЦОП ПУФБОБЧМЙЧБФШ РБЛЕФЩ, РТЙНЕОСС РПМЙФЙЛХ РП-ХНПМЮБОЙА DROP. 8 љ љ уЕФЕЧПК ЙОФЕТЖЕКУ (ОБРТЙНЕТ, eth0) 9 љ љ лБВЕМШ (Ф.Е., Internet) фЕРЕТШ НЩ ЪОБЕН, ЮФП ЕУФШ ФТЙ ТБЪМЙЮОЩИ ЧБТЙБОФБ РТПИПЦДЕОЙС РБЛЕФПЧ. тЙУХОПЛ ОЙЦЕ ВПМЕЕ ОБЗМСДОП ДЕНПОУФТЙТХЕФ ЬФП:
ьФПФ ТЙУХОПЛ ДБЕФ ДПЧПМШОП СУОПЕ РТЕДУФБЧМЕОЙЕ П РПТСДЛЕ РТПИПЦДЕОЙС РБЛЕФПЧ ЮЕТЕЪ ТБЪМЙЮОЩЕ ГЕРПЮЛЙ. ч РЕТЧПК ФПЮЛЕ РТЙОСФЙС ТЕЫЕОЙС П НБТЫТХФЙЪБГЙЙ (routing decision) ЧУЕ РБЛЕФЩ, РТЕДОБЪОБЮЕООЩЕ ДБООПНХ ИПУФХ ОБРТБЧМСАФУС Ч ГЕРПЮЛХ INPUT, ПУФБМШОЩЕ - Ч ГЕРПЮЛХ FORWARD.
пВТБФЙФЕ ЧОЙНБОЙЕ ФБЛЦЕ ОБ ФПФ ЖБЛФ, ЮФП РБЛЕФЩ, У БДТЕУПН ОБЪОБЮЕОЙС ОБ ВТБОДНБХЬТ, НПЗХФ РТЕФЕТРЕФШ ЙЪНЕОЕОЙЕ УЕФЕЧПЗП БДТЕУБ ОБЪОБЮЕОЙС (DNAT) Ч ГЕРПЮЛЕ PREROUTING ФБВМЙГЩ nat Й УППФЧЕФУФЧЕООП ДБМШОЕКЫБС НБТЫТХФЙЪБГЙС Ч РЕТЧПК ФПЮЛЕ ВХДЕФ ЧЩРПМОСФШУС Ч ЪБЧЙУЙНПУФЙ ПФ РТПЙЪЧЕДЕООЩИ ЙЪНЕОЕОЙК. ъБРПНОЙФЕ -- ЧУЕ РБЛЕФЩ РТПИПДСФ ЮЕТЕЪ ФБВМЙГЩ Й ГЕРПЮЛЙ РП ФПНХ ЙМЙ ЙОПНХ НБТЫТХФХ. дБЦЕ ЕУМЙ ЧЩРПМОСЕФУС DNAT Ч ФХ ЦЕ УЕФШ, ПФЛХДБ РБЛЕФ РТЙЫЕМ, ФП ПО ЧУЕ ТБЧОП РТПДПМЦЙФ ДЧЙЦЕОЙЕ РП ГЕРПЮЛБН.
ч УГЕОБТЙЙ rc.test-iptables.txt ЧЩ УНПЦЕФЕ ОБКФЙ ДПРПМОЙФЕМШОХА ЙОЖПТНБГЙА П РПТСДЛЕ РТПИПЦДЕОЙС РБЛЕФПЧ.
3.2. фБВМЙГБ Mangle лБЛ ХЦЕ ХРПНЙОБМПУШ ЧЩЫЕ, ЬФБ ФБВМЙГБ РТЕДОБЪОБЮЕОБ, ЗМБЧОЩН ПВТБЪПН ДМС ЧОЕУЕОЙС ЙЪНЕОЕОЙК Ч ЪБЗПМПЧЛЙ РБЛЕФПЧ (mangle - ЙУЛБЦБФШ, ЙЪНЕОСФШ. РТЙН. РЕТЕЧ.). ф.Е. Ч ЬФПК ФБВМЙГЕ ЧЩ НПЦЕФЕ ХУФБОБЧМЙЧБФШ ВЙФЩ TOS (Type Of Service) Й Ф.Д.
еЭЕ ТБЪ ОБРПНЙОБА ЧБН, ЮФП Ч ЬФПК ФБВМЙГЕ ОЕ УМЕДХЕФ РТПЙЪЧПДЙФШ МАВПЗП ТПДБ ЖЙМШФТБГЙА, НБУЛЙТПЧЛХ ЙМЙ РТЕПВТБЪПЧБОЙЕ БДТЕУПЧ (DNAT, SNAT, MASQUERADE).
ч ЬФПК ФБВМЙГЕ ДПРХУЛБЕФУС ЧЩРПМОСФШ ФПМШЛП ОЙЦЕРЕТЕЮЙУМЕООЩЕ ДЕКУФЧЙС:
TOS
TTL
MARK
дЕКУФЧЙЕ TOS ЧЩРПМОСЕФ ХУФБОПЧЛХ ВЙФПЧ РПМС Type of Service Ч РБЛЕФЕ. ьФП РПМЕ ЙУРПМШЪХЕФУС ДМС ОБЪОБЮЕОЙС УЕФЕЧПК РПМЙФЙЛЙ ПВУМХЦЙЧБОЙС РБЛЕФБ, Ф.Е. ЪБДБЕФ ЦЕМБЕНЩК ЧБТЙБОФ НБТЫТХФЙЪБГЙЙ. пДОБЛП, УМЕДХЕФ ЪБНЕФЙФШ, ЮФП ДБООПЕ УЧПКУФЧП Ч ДЕКУФЧЙФЕМШОПУФЙ ЙУРПМШЪХЕФУС ОБ ОЕЪОБЮЙФЕМШОПН ЛПМЙЮЕУФЧЕ НБТЫТХФЙЪБФПТПЧ Ч йОФЕТОЕФЕ. дТХЗЙНЙ УМПЧБНЙ, ОЕ УМЕДХЕФ ЙЪНЕОСФШ УПУФПСОЙЕ ЬФПЗП РПМС ДМС РБЛЕФПЧ, ХИПДСЭЙИ Ч йОФЕТОЕФ, РПФПНХ ЮФП ОБ ТПХФЕТБИ, ЛПФПТЩЕ ФБЛЙ ПВУМХЦЙЧБАФ ЬФП РПМЕ, НПЦЕФ ВЩФШ РТЙОСФП ОЕРТБЧЙМШОПЕ ТЕЫЕОЙЕ РТЙ ЧЩВПТЕ НБТЫТХФБ.
дЕКУФЧЙЕ TTL ЙУРПМШЪХЕФУС ДМС ХУФБОПЧЛЙ ЪОБЮЕОЙС РПМС TTL (Time To Live) РБЛЕФБ. еУФШ ПДОП ОЕРМПИПЕ РТЙНЕОЕОЙЕ ЬФПНХ ДЕКУФЧЙА. нЩ НПЦЕН РТЙУЧБЙЧБФШ ПРТЕДЕМЕООПЕ ЪОБЮЕОЙЕ ЬФПНХ РПМА, ЮФПВЩ УЛТЩФШ ОБЫ ВТБОДНБХЬТ ПФ ЮЕТЕУЮХТ МАВПРЩФОЩИ РТПЧБКДЕТПЧ (Internet Service Providers). дЕМП Ч ФПН, ЮФП ПФДЕМШОЩЕ РТПЧБКДЕТЩ ПЮЕОШ ОЕ МАВСФ ЛПЗДБ ПДОП РПДЛМАЮЕОЙЕ ТБЪДЕМСЕФУС ОЕУЛПМШЛЙНЙ ЛПНРШАФЕТБНЙ. Й ФПЗДБ ПОЙ ОБЮЙОБАФ РТПЧЕТСФШ ЪОБЮЕОЙЕ TTL РТЙИПДСЭЙИ РБЛЕФПЧ Й ЙУРПМШЪХАФ ЕЗП ЛБЛ ПДЙО ЙЪ ЛТЙФЕТЙЕЧ ПРТЕДЕМЕОЙС ФПЗП, ПДЙО ЛПНРШАФЕТ "УЙДЙФ" ОБ РПДЛМАЮЕОЙЙ ЙМЙ ОЕУЛПМШЛП.
дЕКУФЧЙЕ MARK ХУФБОБЧМЙЧБЕФ УРЕГЙБМШОХА НЕФЛХ ОБ РБЛЕФ, ЛПФПТБС ЪБФЕН НПЦЕФ ВЩФШ РТПЧЕТЕОБ ДТХЗЙНЙ РТБЧЙМБНЙ Ч iptables ЙМЙ ДТХЗЙНЙ РТПЗТБННБНЙ, ОБРТЙНЕТ iproute2. у РПНПЭША "НЕФПЛ" НПЦОП ХРТБЧМСФШ НБТЫТХФЙЪБГЙЕК РБЛЕФПЧ, ПЗТБОЙЮЙЧБФШ ФТБЖЖЙЛ Й Ф.Р.
3.3. фБВМЙГБ Nat ьФБ ФБВМЙГБ ЙУРПМШЪХЕФУС ДМС ЧЩРПМОЕОЙС РТЕПВТБЪПЧБОЙК УЕФЕЧЩИ БДТЕУПЧ NAT (Network Address Translation). лБЛ ХЦЕ ХРПНЙОБМПУШ ТБОЕЕ, ФПМШЛП РЕТЧЩК РБЛЕФ ЙЪ РПФПЛБ РТПИПДЙФ ЮЕТЕЪ ГЕРПЮЛЙ ЬФПК ФБВМЙГЩ, ФТБОУМСГЙС БДТЕУПЧ ЙМЙ НБУЛЙТПЧЛБ РТЙНЕОСАФУС ЛП ЧУЕН РПУМЕДХАЭЙН РБЛЕФБН Ч РПФПЛЕ БЧФПНБФЙЮЕУЛЙ. дМС ЬФПК ФБВМЙГЩ ИБТБЛФЕТОЩ ДЕКУФЧЙС:
DNAT
SNAT
MASQUERADE
дЕКУФЧЙЕ DNAT (Destination Network Address Translation) РТПЙЪЧПДЙФ РТЕПВТБЪПЧБОЙЕ БДТЕУПЧ ОБЪОБЮЕОЙС Ч ЪБЗПМПЧЛБИ РБЛЕФПЧ. дТХЗЙНЙ УМПЧБНЙ, ЬФЙН ДЕКУФЧЙЕН РТПЙЪЧПДЙФУС РЕТЕОБРТБЧМЕОЙЕ РБЛЕФПЧ ОБ ДТХЗЙЕ БДТЕУБ, ПФМЙЮОЩЕ ПФ ХЛБЪБООЩИ Ч ЪБЗПМПЧЛБИ РБЛЕФПЧ.
SNAT (Source Network Address Translation) ЙУРПМШЪХЕФУС ДМС ЙЪНЕОЕОЙС ЙУИПДОЩИ БДТЕУПЧ РБЛЕФПЧ. у РПНПЭША ЬФПЗП ДЕКУФЧЙС НПЦОП УЛТЩФШ УФТХЛФХТХ МПЛБМШОПК УЕФЙ, Б ЪБПДОП Й ТБЪДЕМЙФШ ЕДЙОУФЧЕООЩК ЧОЕЫОЙК IP БДТЕУ НЕЦДХ ЛПНРШАФЕТБНЙ МПЛБМШОПК УЕФЙ ДМС ЧЩИПДБ Ч йОФЕТОЕФ. ч ЬФПН УМХЮБЕ ВТБОДНБХЬТ, У РПНПЭША SNAT, БЧФПНБФЙЮЕУЛЙ РТПЙЪЧПДЙФ РТСНПЕ Й ПВТБФОПЕ РТЕПВТБЪПЧБОЙЕ БДТЕУПЧ, ФЕН УБНЩН ДБЧБС ЧПЪНПЦОПУФШ ЧЩРПМОСФШ РПДЛМАЮЕОЙЕ Л УЕТЧЕТБН Ч йОФЕТОЕФЕ У ЛПНРШАФЕТПЧ Ч МПЛБМШОПК УЕФЙ.
нБУЛЙТПЧЛБ (MASQUERADE) РТЙНЕОСЕФУС Ч ФЕИ ЦЕ ГЕМСИ, ЮФП Й SNAT, ОП Ч ПФМЙЮЙЕ ПФ РПУМЕДОЕК, MASQUERADE ДБЕФ ВПМЕЕ УЙМШОХА ОБЗТХЪЛХ ОБ УЙУФЕНХ. рТПЙУИПДЙФ ЬФП РПФПНХ, ЮФП ЛБЦДЩК ТБЪ, ЛПЗДБ ФТЕВХЕФУС ЧЩРПМОЕОЙЕ ЬФПЗП ДЕКУФЧЙС - РТПЙЪЧПДЙФУС ЪБРТПУ IP БДТЕУБ ДМС ХЛБЪБООПЗП Ч ДЕКУФЧЙЙ УЕФЕЧПЗП ЙОФЕТЖЕКУБ, Ч ФП ЧТЕНС ЛБЛ ДМС SNAT IP БДТЕУ ХЛБЪЩЧБЕФУС ОЕРПУТЕДУФЧЕООП. пДОБЛП, ВМБЗПДБТС ФБЛПНХ ПФМЙЮЙА, MASQUERADE НПЦЕФ ТБВПФБФШ Ч УМХЮБСИ У ДЙОБНЙЮЕУЛЙН IP БДТЕУПН, Ф.Е. ЛПЗДБ ЧЩ РПДЛМАЮБЕФЕУШ Л йОФЕ