Unix,Cisco,TCP/IP,Security

Rusty Russell, mailing list netfilter@lists.samba.orgv1.0.1 Mon May
1 18:09:31 CST 2000 перевод, Евгений Данильченко aka virii5, eugene@kriljon.ru

Этот документ описывает как можно использовать iptables для фильтрования пакетов
в 2.4 Linux ядрах.

• 1.Введение
• 2.Наш официальный Web-сайт. Наш лист рассылки.
• 3.Что такое — фильтр пакетов?
  • 3.1 Почему я должен использовать фильтр пакетов?
  • 3.2 Как я могу сделать фильтрование пакетов в Linux?
• 4.Кто ты такой и почему ты роешься в моем ядре?
• 5.Краткая инструкция по использованию фильтра пакетов от Rusty
• 6.Как пакеты проходят фильтры
• 7.Применение iptables
  • 7.1 Что вы видите когда ваш компьютер грузится
  • 7.2 Работа с одним правилом
  • 7.3 Спецификации фильтра
  • 7.4 Спецификации цели
  • 7.5 Работа со всей цепочкой правил
• 8.Применение ipchains и ipfwadm
• 9.Совместная работа NAT и фильтра пакетов
• 10.Различия между iptables и ipchains
• 11.Советы по организации правил для фильтра пакетов

1. Введение

Добро пожаловать, уважаемый читатель.

Предполагается что вы уже знакомы с такими понятиями как IP адрес, адрес сети,
маска, роутинг и DNS. Если нет, я рекомендую вам ознакомиться сперва с Network
Concepts HOWTO.

Это HOWTO начинается с легкого введения (которое оставит у вас чувство тепла
и неясности, и совсем незащищенным в реальной жизни) и заканчивается жестким разоблачением
(которое оставит всех, кроме крутых профи, запутанными, панически ищущими что-нибудь
потяжелее ;) )

Выша сеть не безопасна. Проблема в том чтобы разрешить быстрые, удобные
связи и в то же время, ограничить использование их только в хороших намерениях…
это приблизительно как разрешить обычный разговор и в то же время запретить кричать
«Пожар!» в переполненном театре. Так вот, — эта ваша проблема не ставится задачей
этого HOWTO.

Итак, только вы сами можете решить свои проблемы. Я только помогу вам в использовании
некоторых утилит и предупрежу о некоторых уязвимостях, в надежде что вы используете
это не с плохими намерениями.
2. Наш официальный Web-сайт. Наш лист рассылки.

Существуют три наших официальных сайта:

• Спасибо Filewatcher.
• Спасибо The Samba Team and SGI.
• Спасибо Jim Pick.

Официальный лист рассылки: Samba’s Listserver.
3. Что такое — фильтр пакетов?

Фильтр пакетов это программа которая просматривает заголовки пакетов
по мере их прохождения, и решает дальнейшую судьбу всего пакета. Фильтр может
сбросить DROP пакет (т.е. как будто пакет и не приходил вовсе), принять

ACCEPT пакет (т.е. пакет может пройти дальше), или сделать с ним что-то
еще более сложное.

Под Linux, фильтр пакетов встроен в ядро (как модуль, или как неотъемлемая
часть ядра), и мы можем делать с пакетами несколько хитроумных вещей, но основной
принцип в просмотре заголовков пакетов и решении их дальнейшей судьбы сохраняется.
3.1 Почему я должен использовать фильтр пакетов? Читать далее…