Механическое удерживание земляных масс: Механическое удерживание земляных масс на склоне обеспечивают контрфорсными сооружениями различных конструкций...
Таксономические единицы (категории) растений: Каждая система классификации состоит из определённых соподчиненных друг другу...
Топ:
Организация стока поверхностных вод: Наибольшее количество влаги на земном шаре испаряется с поверхности морей и океанов...
Оценка эффективности инструментов коммуникационной политики: Внешние коммуникации - обмен информацией между организацией и её внешней средой...
Интересное:
Средства для ингаляционного наркоза: Наркоз наступает в результате вдыхания (ингаляции) средств, которое осуществляют или с помощью маски...
Подходы к решению темы фильма: Существует три основных типа исторического фильма, имеющих между собой много общего...
Что нужно делать при лейкемии: Прежде всего, необходимо выяснить, не страдаете ли вы каким-либо душевным недугом...
Дисциплины:
2022-10-10 | 39 |
5.00
из
|
Заказать работу |
|
|
Порядокпрохожденияпакетовпоцепочкамследующий.Пакеты,предназначенныелокальномухосту,проходятсначалаправилацепочекPREROUTING в таблицах raw, mangle и nat, затем правила цепочек INPUTв таблицах mangle, filter и security. Транзитные пакеты сначала проходятправила цепочек PREROUTING в таблицах raw, mangle и nat, затем прави-ла цепочек FORWARD в таблицах mangle, filter и security, после чего пра-вила цепочек POSTROUTING в таблицах mangle и nat. Исходящие пакеты(сгенерированные приложениями, работающими на локальном хосте) сна-чала проходят правила цепочек OUTPUT в таблицах raw/rawpost, mangle,nat, filter и security, а затем правила цепочек POSTROUTING в таблицахmangleиnat.Порядокпрохожденияпакетовсхематическиизображеннарис.2.
Рисунок 2. Порядок прохождения пакетовпоцепочкамитаблицамNetfilter
Чтопредставляютсобойправила,управляющиеповедениемМЭ?Каждое правило состоит из критериев и действия. Если пакет соответ-ствует критерию (criterion), то выполняется указанное в правиле действие,или цель (target). Будем говорить, что такая ситуация соответствует приме-нению, или срабатыванию, правила. Критерий представляет собой некото-рое условие (предикат) или совокупность условий, с помощью которыхпроверяются атрибуты пакета и соединения и делается вывод о соответ-ствии пакета текущему правилу. Если критерий не задан, то под действиеправила подпадают все проходящие по рассматриваемой цепочке пакеты.Критериев в каждом правиле может быть указано несколько (при этом ониобъединяются неявной конъюнкцией). В случае, если правило сработало,увеличиваются счетчики пакетовибайтов(counters)дляэтогоправила.
Действием, или целью, называется некоторая операция с пакетом, ко-тораяприводитлибокизменениюпорядкаобработкинастоящегопакета
|
(например, к прекращению проверок и пропуску пакета или передаче паке-та в пользовательскую цепочку), либо к изменению его атрибутов, либо кего маркировке, либо к некоторому побочному эффекту (например, логи-рованиюпакета).
Некоторые действия являются завершающими, или терминальными. Это означает, что пакет перестает обрабатываться правилами МЭ в рас-сматриваемой базовой цепочке (тем не менее, это не значит, что пакет пре-кращает свое прохождение по сетевому стеку; например, к такому эффектуприводитдействиеACCEPT).
Другие действия можно назвать нетерминальными. Это означает, чтопосле выполнения операции с пакетом он проверяется следующим прави-лом в цепочке (так, например, работает действие MARK). Действие такжеможет быть не задано. В этом случае правило считается примененным, ипросто выполняетсянаращивание счетчиков.
ВсоставМЭвОСLinuxвходятследующиекомпонентыядра:
- ip_tables и ip 6 _tables — данные модули обеспечивают основнуюфункциональностьМЭ,втомчислетрансляциюсетевыхадресов(дляIPv4)и фильтрациюпакетов;
- arp_tables —модульфильтрациидляпротоколовARP/RARP;
- ebtables — модуль фильтрации канального уровня, выполняющийпроверку и модификациюEthernet-кадров;
- x_tables —общиймодульподдержкиоперацийМЭ;
- nf_conntrack —модульподдержкиотслеживаниясоединенийиклассификациипакетов.
Для управления МЭ существуют различные пользовательские утили-ты (все они для выполнения требуют наличия прав администратора систе-мы):
- iptables — утилита настройки фильтрации на сетевом и транспорт-номуровне (для стека IPv4);
- iptables-save и iptables-restore — утилиты для сохранения и восста-новления правил фильтрации на сетевом и транспортном уровнях (для сте-каIPv4);
- ip 6 tables — утилита настройки фильтрации на сетевом и транспорт-номуровне (для стека IPv6);
- ip6tables-save и ip6tables-restore — утилиты для сохранения и вос-становления правил фильтрации на сетевом и транспортном уровнях (длястекаIPv6);
- arptables —утилитанастройкифильтрациипротоколовARPиRARP;
- arptables-save и arptables-restore — утилиты для сохранения и вос-становленияправилфильтрациипротоколовARP иRARP;
|
- ebtables —утилитанастройкифильтрациинаканальном уровне(длясетевыхмостов);
- ebtables-save и ebtables-restore —утилитыдлясохраненияивосста-новленияправилфильтрациинаканальномуровне(длясетевыхмостов);
- ipset —утилитадляманипулированияспискамиIP-адресовипод-сетейдляобеспечения болееэффективнойработыправилМЭ;
- conntrack —утилитауправлениятаблицамисостояниясоединенийидругими функциямиподсистемы conntrack.
Вопросыкразделу2
1. Перечислитеосновныеловушки,используемыеМЭNetfilter.Каконисвязаны стаблицами ицепочками?
2. Чемпользовательскиецепочкиотличаютсяотвстроенных?
3. Естьлиупользовательских цепочекдействиепо умолчанию?
4. ПеречислитеосновныетаблицыМЭNetfilter.
5. ОпишитепорядокпрохожденияпакетовпоцепочкамитаблицамNetfilter.
6. Приведитепримерытерминальныхинетерминальныхдействий.
7. КакиеосновныекомпонентыядравходятвсоставМЭNetfilter?
8. ПоддерживаетлиNetfilterотслеживаниесоединений?
9. Длячегонужныутилитыiptables-saveиiptables-restore?
10. Чтосделаеткоманда“iptables-save|grepPREROUTING”?
Раздел3.
|
|
Биохимия спиртового брожения: Основу технологии получения пива составляет спиртовое брожение, - при котором сахар превращается...
Эмиссия газов от очистных сооружений канализации: В последние годы внимание мирового сообщества сосредоточено на экологических проблемах...
Типы сооружений для обработки осадков: Септиками называются сооружения, в которых одновременно происходят осветление сточной жидкости...
Состав сооружений: решетки и песколовки: Решетки – это первое устройство в схеме очистных сооружений. Они представляют...
© cyberpedia.su 2017-2024 - Не является автором материалов. Исключительное право сохранено за автором текста.
Если вы не хотите, чтобы данный материал был у нас на сайте, перейдите по ссылке: Нарушение авторских прав. Мы поможем в написании вашей работы!