iptables
Z Wikipedii
| iptables | |
| Filtr pakietów | |
| Producent | Netfilter Core Team |
| System operacyjny | Linux |
| Pierwsze wydanie | 1998 |
| Aktualna wersja stabilna | 1.4.5 (2009-09-16) |
| Licencja | GNU General Public License |
| www.netfilter.org | |
iptables to program sterujący filtrem pakietów (głównie używanym jako zapora sieciowa bądź NAT) opracowany dla systemu operacyjnego Linux. Autor Rusty Russell napisał pierwszą wersję w 1999 roku w języku C. Program może być używany jako filtr pakietów, bądź tzw. stanowa zapora dla systemów Linux z jądrem począwszy od serii 2.4.x, kontrolujący połączenia wchodzące i wychodzące do sieci komputerowej lub stacji roboczej. Wymaga jądra skompilowanego z modułem ip_tables.
Przykładowe działanie programu na tablicy filtrującej (ang. filter) polega na wykonywaniu operacji na trzech podstawowych łańcuchach reguł filtrowania pakietów IP. Łańcuch INPUT opisuje działania dla pakietów przychodzących, łańcuch OUTPUT – pakietów wychodzących, a łańcuch FORWARD – dla pakietów przechodzących pomiędzy interfejsami. Pierwotne działania to ACCEPT (zaakceptowanie pakietu), DROP (usunięcie) i REJECT (odrzucenie z powiadomieniem nadawcy). Reguły pozwalają na podjęcie określonych działań z uwzględnieniem rodzaju i przeznaczenia pakietu, np. port, host, wykorzystany protokół, czas życia (TTL) itp. Ponadto program może być używany do tłumaczenia adresów sieciowych NAT oraz do modyfikowania pakietów przed lub po wykonaniu trasowania (ang. packet mangling).
Spis treści |
[edytuj] Przykład
Źródło: dokumentacja na stronie netfilter[1].
Za pomocą iptables blokujemy wysyłanie pakietów ICMP na adres 127.0.0.1 (loopback).
# ping -c 1 127.0.0.1 PING 127.0.0.1 (127.0.0.1): 56 data bytes 64 bytes from 127.0.0.1: icmp_seq=0 ttl=64 time=0.2 ms --- 127.0.0.1 ping statistics --- 1 packets transmitted, 1 packets received, 0% packet loss round-trip min/avg/max = 0.2/0.2/0.2 ms # iptables -A INPUT -s 127.0.0.1 -p icmp -j DROP # ping -c 1 127.0.0.1 PING 127.0.0.1 (127.0.0.1): 56 data bytes --- 127.0.0.1 ping statistics --- 1 packets transmitted, 0 packets received, 100% packet loss
