Enviar pesquisa
Carregar
how use iptables
•
0 gostou
•
96 visualizações
Yashar Esmaildokht
Seguir
how use and manage iptables
Leia menos
Leia mais
Dados e análise
Denunciar
Compartilhar
Denunciar
Compartilhar
1 de 59
Baixar agora
Baixar para ler offline
Recomendados
Iptables
Iptables
Yashar Esmaildokht
Beowolf
Beowolf
Yashar Esmaildokht
Zabbix monitoring website
Zabbix monitoring website
Yashar Esmaildokht
Partition in oracle mysql |Mariadb
Partition in oracle mysql |Mariadb
Yashar Esmaildokht
Pdn tech-netfilter&iptables-ver2.1.0
Pdn tech-netfilter&iptables-ver2.1.0
pdnsoftco
Pdn tech-netfilter&iptables-ver2.1.0
Pdn tech-netfilter&iptables-ver2.1.0
pdnsoftco
Package management
Package management
Yashar Esmaildokht
HotSpot
HotSpot
Mohammad Amin Amjadi
Mais conteúdo relacionado
Semelhante a how use iptables
تجارت الکترونبکی با opencart
تجارت الکترونبکی با opencart
Yashar Esmaildokht
Supervisor
Supervisor
Yashar Esmaildokht
ips/ids
ips/ids
Yashar Esmaildokht
Zfs and btrfs
Zfs and btrfs
Yashar Esmaildokht
Nfs Acl
Nfs Acl
Yashar Esmaildokht
openstack designate
openstack designate
Yashar Esmaildokht
nbd and it's benefits
nbd and it's benefits
Yashar Esmaildokht
nbd
nbd
Yashar Esmaildokht
Wazuh و Ossec Wazuh به ossec از مهاجرت نحوه همچنین
Wazuh و Ossec Wazuh به ossec از مهاجرت نحوه همچنین
Yashar Esmaildokht
سطح دسترسی و کنترل لیست و سهمیه بندی در گنو/لینوکس
سطح دسترسی و کنترل لیست و سهمیه بندی در گنو/لینوکس
Yashar Esmaildokht
امنیت شبکه
امنیت شبکه
arichoana
Soap vs restful
Soap vs restful
sajjad Mohammadi
Ossec و Wazuh
Ossec و Wazuh
Yashar Esmaildokht
بسم الله الرحمن الرحیم
بسم الله الرحمن الرحیم
gueste46ff9c
طراحی شبکه های کامپیوتری
طراحی شبکه های کامپیوتری
tarasad
Systemd and its various uses and capabilities.
Systemd and its various uses and capabilities.
Yashar Esmaildokht
Presentation research method
Presentation research method
amirhosseinshahed
مرجع oracle mysql |mariadb
مرجع oracle mysql |mariadb
Yashar Esmaildokht
Cisco Exploration 2 In Persion-Muhibullah Aman
Cisco Exploration 2 In Persion-Muhibullah Aman
Muhibullah Aman
مسیردهی و پروتوکولهای مسیریابی
مسیردهی و پروتوکولهای مسیریابی
Muhibullah Aman
Semelhante a how use iptables
(20)
تجارت الکترونبکی با opencart
تجارت الکترونبکی با opencart
Supervisor
Supervisor
ips/ids
ips/ids
Zfs and btrfs
Zfs and btrfs
Nfs Acl
Nfs Acl
openstack designate
openstack designate
nbd and it's benefits
nbd and it's benefits
nbd
nbd
Wazuh و Ossec Wazuh به ossec از مهاجرت نحوه همچنین
Wazuh و Ossec Wazuh به ossec از مهاجرت نحوه همچنین
سطح دسترسی و کنترل لیست و سهمیه بندی در گنو/لینوکس
سطح دسترسی و کنترل لیست و سهمیه بندی در گنو/لینوکس
امنیت شبکه
امنیت شبکه
Soap vs restful
Soap vs restful
Ossec و Wazuh
Ossec و Wazuh
بسم الله الرحمن الرحیم
بسم الله الرحمن الرحیم
طراحی شبکه های کامپیوتری
طراحی شبکه های کامپیوتری
Systemd and its various uses and capabilities.
Systemd and its various uses and capabilities.
Presentation research method
Presentation research method
مرجع oracle mysql |mariadb
مرجع oracle mysql |mariadb
Cisco Exploration 2 In Persion-Muhibullah Aman
Cisco Exploration 2 In Persion-Muhibullah Aman
مسیردهی و پروتوکولهای مسیریابی
مسیردهی و پروتوکولهای مسیریابی
Mais de Yashar Esmaildokht
how install and config sdn in proxmox virtualization
how install and config sdn in proxmox virtualization
Yashar Esmaildokht
service registery and the service discovery
service registery and the service discovery
Yashar Esmaildokht
process
process
Yashar Esmaildokht
bcache and cachefs its benefits.
bcache and cachefs its benefits.
Yashar Esmaildokht
radosgw
radosgw
Yashar Esmaildokht
cachefs
cachefs
Yashar Esmaildokht
how add and remove Mgr in ceph cluster
how add and remove Mgr in ceph cluster
Yashar Esmaildokht
how add and delete new mon in ceph cluster
how add and delete new mon in ceph cluster
Yashar Esmaildokht
raid with megacli
raid with megacli
Yashar Esmaildokht
Openstack Rally
Openstack Rally
Yashar Esmaildokht
OpenStack and its service
OpenStack and its service
Yashar Esmaildokht
Load Balancing-as-a-Service (LBaaS) with octavia in openstack
Load Balancing-as-a-Service (LBaaS) with octavia in openstack
Yashar Esmaildokht
نحوه ایجاد snapshot و ایجاد point در سیستمهای گنو/لینوکسی برای ایجاد sys...
نحوه ایجاد snapshot و ایجاد point در سیستمهای گنو/لینوکسی برای ایجاد sys...
Yashar Esmaildokht
linux industry
linux industry
Yashar Esmaildokht
security book
security book
Yashar Esmaildokht
squid
squid
Yashar Esmaildokht
how upgrade ceph
how upgrade ceph
Yashar Esmaildokht
how create linux image for cloud
how create linux image for cloud
Yashar Esmaildokht
how config Naxsi
how config Naxsi
Yashar Esmaildokht
How Create Waf With Naxsi
How Create Waf With Naxsi
Yashar Esmaildokht
Mais de Yashar Esmaildokht
(20)
how install and config sdn in proxmox virtualization
how install and config sdn in proxmox virtualization
service registery and the service discovery
service registery and the service discovery
process
process
bcache and cachefs its benefits.
bcache and cachefs its benefits.
radosgw
radosgw
cachefs
cachefs
how add and remove Mgr in ceph cluster
how add and remove Mgr in ceph cluster
how add and delete new mon in ceph cluster
how add and delete new mon in ceph cluster
raid with megacli
raid with megacli
Openstack Rally
Openstack Rally
OpenStack and its service
OpenStack and its service
Load Balancing-as-a-Service (LBaaS) with octavia in openstack
Load Balancing-as-a-Service (LBaaS) with octavia in openstack
نحوه ایجاد snapshot و ایجاد point در سیستمهای گنو/لینوکسی برای ایجاد sys...
نحوه ایجاد snapshot و ایجاد point در سیستمهای گنو/لینوکسی برای ایجاد sys...
linux industry
linux industry
security book
security book
squid
squid
how upgrade ceph
how upgrade ceph
how create linux image for cloud
how create linux image for cloud
how config Naxsi
how config Naxsi
How Create Waf With Naxsi
How Create Waf With Naxsi
how use iptables
1.
حق بسمه لینوکس/گنو در
فایروال ) 1 (
2.
دخت اسمعیل یاشار
مهندس : نویسنده : نسخه ۰.3 ) 2 (
3.
: نویسنده درباره رشته
آموخته دانش دخت اسمعیل یاشار بنده cyber security . هستم از بیش ۱۵ . دارم فعالیت سابقه سال مولف - مدرس - مشاور : داد شرح زیر های ساختار در میتوان را بنده های فعالیت جمله از gnu/linux system/network/security/cloud Engineer/administrator & oracle dba | Linux Trainer |devops . (: جدید دنیاهای کشف و تحقیق و مطالعه به مند علقه . کنم اشاره استراتژی های بازی و اوتلو و شطرنج بازی به میتوانم من های سرگرمی از واقع در تبریز لگ گذاران بنیان از یکی و لینوکس/گنو و باز متن دنیای عاشق . هستم عاشق یک من : کنید پیدا و کنید دنبال را من میتوانید چطور خب Mob : 09141100257 Telegram ID Telegram channel Instagram Account Linkedin Account . بشنوم را انتقادتون یا پیشنهاد هرگونه میشم خوشحال همچنین : کنید پیدا را من از ی دیگر های کتاب میتونید چطور توی slideshare . کنید پیدا را کردم منتشر آزاد بصورت که دیگری های کتاب میتونید بگردید من اسم دنبال گوگل یا ) 3 (
4.
: مشاوره . بود
خواهم شما دسترس در من . فرمایید حاصل تماس . کردم اشاره قبل صفحه در که هایی کانال از میتوانید مشاوره جهت ) 4 (
5.
: خواننده با
سخنی کتاب . گرفتم تصمیم من . کرد منتشر مختلف های روش با رو اثر یک میشه و . هست وقت نیازمند ایجاد برای ساختاری هر چون . کنم دریافت حمایت و دانلود هزینه و . کنم منتشر آزاد بصورت مینویسم که هایی شاید . کنم چاپ را ها کتاب این اگر حقیقت در . است بهتر روش این بنظرم . کنیم ب حسا … و درختان قطعی و … و چاپ تا گرفتن مجوز زمان هرینه ولی . بیاد بدست بیشتری سود . بدن انجام خرید و کنن حمایت عزیزان امیدوارم . روش این با بیشتر های انتشار برای میشه دلگرمی باعث این که . هست باز متن توسعه من تلش دونیت ) 5 (
6.
iptables یک فایروال برای گنو / لینوکس است . است نصب فرضپیش
بصورت لینوکس هایتوزیع بیشتر بروی که . سطح در سیاستی هر اجرای به قادر که است ابزاری نام تیبلزپیآی شودمی مربوط ترانسفر لیه در آن حصر و حد بی انعطاف به ،هسته سطح افزارنرم این اصلی محبوبیت و شهرت اما است شبکه بالتر و ترپایین هایلیه حدودی تا و ترانسفر لیه هابسته روتینگ از حرف که آنجا ) Packets ( است آنها وضعیت و . Iptables تیم توسط netfilter شد طراحی . نام به ،آن طراحی ایزنجیره ساختار علت به ابتدا در ipchain نام بعدها اما یافت شهرت iptables شد گذاشته آن بر . این آتش دیوار ) Firewall ( شد اضافه آن به مانندی ماژول هایقسمت زمان مرور به اما کند اعمال ورودی هایبسته روی فقط محدودی بسیار هایسیاست توانستمی تنها ابتدا در . ) 6 (
7.
محلی یشبکه یک
در .شودمی استفاده آتش دیواره از نیازها از بسیاری رفع و ترافیک کنترل ،امنیت برقراری ،شبکه آدرس یترجمه ،بهتر مدیریت ،حفاظت برای ،لینوکس عاملسیستم آتش دیواره IPTables ساختار معرفی به ابتدا ،مقاله این در .است IPTables و هاقانون ،هازنجیره ،هاجدول از ساختار این .پردازیممی .است شده تشکیل هاانطباق IPTables انطباق تعدادی از قانون هر و قانون تعدادی از زنجیره هر ،زنجیره تعدادی از جدول هر .است فرضپیش جدول چهار دارای خواهد اجرا بسته مورد در قانون آن هدف ،باشد داشته انطباق قانون یک با کامل طور به ایبسته اگر .است هدف مجموعه یک دارای قانون هر .است شده تشکیل .دهیممی توضیح کامل طور به را آتش دیواره از عبورکننده هایبسته سرنوشت ادامه در .شد یا ابزار یک ،همچنین .است شده طراحی شبکه آن به ناخواسته هایدسترسی مسدودکردن منظور به که است کامپیوتری یشبکه یک از بخشی آتش دیواره یک بر مختلف امنیتی هایدامنه بین کامپیوتری ترافیک کل نمودن پراکسی یا رمزگشایی و رمزنگاری ،ردکردن ،دادناجازه منظور به که است ابزارها از ایمجموعه آتش هایدیواره .شود سازیپیاده دو این از ترکیبی یا و افزارنرم ،افزارسخت روی تواندمی آتش دیواره .شودمی استفاده معیارها و قوانین از ایمجموعه اساس از اینترنت از دریافتی و ارسالی هایپیام کلیه .شوندمی استفاده اینترنت به متصل داخلی یشبکه به اینترنت ناخواسته کاربران دسترسی از جلوگیری برای معمول برای .کندمی مسدود ،کنندنمی برآورده را شده مشخص امنیتی معیارهای که هاییآن و کندمی بررسی را هاپیام یهمه آتش دیواره .کنندمی عبور آتش دیواره نام به ابزاری از لینوکس عاملسیستم آتش دیواره تنظیم IPTables .شودمی استفاده Netfilter و IPTables یهسته درون افزارینرم ساختارهای 2.4 . x یهسته و 2.6 . x .داد انجام را هابسته اصلح و شبکه آدرس یترجمه ، هابسته فیلترکردن توانمی هاآن کمک به که باشندمی آتش دیواره :است زیر موارد شامل که دهدمی ارائه سرویس چندین آتش دیواره • آدرس از حفاظت IP هایشبکه مثال عنوان )به مختلف هایشبکه .کنندمی عمل مسیریاب یک مانند آتش هایدیواره از بسیاری :ترافیک کنترل و 192.168.1.1/24 و 10.100.100.0/24 ایجاد به کمک برای ابزار این از فقط شبکه مدیران از بسیاری .کنند برقرار ارتباط یکدیگر با توانندمی ( از استفاده با و است آتش دیواره اجزای از یکی خصوصیت این .کنندمی استفاده اضافی هایزیرشبکه IPTables و IPChains بنابراین .است شده کامل آدرس یک با IP اما ،دهدنمی انجام را شبکه آدرس یترجمه لزوما آتش دیواره چهاگر .آوریم وجودبه گسترده یشبکه یا محلی یشبکه یک توانیممی مانند آتش هایدیواره اکثر IPTables .کنندمی فراهم را امکان این • شبکه تفکیک .کندمی کمک ترافیک مدیریت در و است هاشبکه دیگر و شبکه یک بین مرز یک ایجاد برای ابتدایی ابزار یک آتش دیواره : • سمع استراق و پویشی ، دهیسرویس از جلوگیری هایحمله برابر در محافظت ترافیک که کندمی عمل منفرد نقطه یک عنوان به آتش دیواره : .کندمی کنترل را شبکه از خروجی و ورودی • کردن فیلتر IP دیواره یک کاربرد ترینشدهشناخته کردن فیلتر .دارد پورت و آدرس مبنای بر را اتصال کردنرد یا پذیرفتن توانایی آتش دیواره :پورت و اساس بر بلکه هابسته مقصد مبنای بر تنها نه و بوده پیچیده بسیار تواندمی و است همراه هابسته کردن فیلتر با کردن فیلتر از نوع این .است آتش .باشد نیز بسته مبدا • بررسی با را ترافیک که است آتش دیواره نوع یک پراکسی یدهندهسرویس کلی طور به :محتوا کردن فیلتر URL .کندمی مدیریت ،صفحه محتوای و .کند مسدود و شناسایی ،است مدنظر که محتوایی تواندمی ،شود تنظیم درستی به ،پراکسی بر مبتنی آتش دیواره اگر • بسته مسیر تعویض یدهندهسرویس اگر مثل .بفرستد دیگر میزبان یک یا دیگر پورت یک به را ترافیک باید آتش دیواره اوقات بعضی : Squid روی پورت به شده فرستاده ترافیک تمام آتش دیواره کار این با ،است شده نصب آتش دیواره از غیر میزبانی 80 و 443 هایاتصال در استاندارد های)پورت HTTP و HTTPS .فرستدمی پراکسی یدهندهسرویس به بیشتر پردازش برای را ( :از عبارتند آتش دیواره انواع • .کندمی رد یا قبول را آن کاربر توسط شده تعریف قوانین اساس بر و کندمی نگاه شبکه از شده خارج یا شده وارد بسته هر به :بسته فیلترکننده جعل برای و بوده مشکل آن پیکربندی اما است شفاف ،کاربران برای و کندمی عمل موثر طور به بسته فیلترکننده افزارنرم IP .است مستعد • کاربرد یدروازه هایدهندهسرویس مانند خاص هایکاربرد در : FTP و Telnet اما ،است مفید بسیار افزارنرم این .کندمی اعمال را امنیتی هایمکانیزم .شود کارآیی کاهش باعث است ممکن • مدار سطح دروازه اتصال یک کههنگامی : TCP یا UDP ،شودمی برقرار اتصال که ایلحظه از .کندمی اعمال را امنیتی هایمکانیزم ،شودمی برقرار ) 7 (
8.
.شوند مبادله بیشتر
کنترل بدون هامیزبان بین توانندمی هابسته • .کندمی پنهان را شبکه واقعی هایآدرس موثری طور به و کندمی مسدود را شبکه از خروجی و ورودی هایپیام یکلیه :پراکسی یدهندهسرویس پایه مفاهیم به مربوط متون در IPTables ممکن که روندمی کاربه یکدیگر جای به اصطلحات این ،موارد از بسیاری در .اندشده داده توضیح ادامه در که دارد وجود مفاهیمی .شود مطالب بدفهمی باعث است Netfilter ابزاری ترینشدهشناخته .رودمی کار به هابسته دستکاری و مسدودکردن منظور به و دارد قرار لینوکس یهسته در که است هاقلب از ایمجموعه حاوی چارچوبی از که Netfilter مانند نیز دیگری ابزارهای .کندمی فیلتر را هابسته که است آتش دیواره ،کندمی استفاده NAT استفاده آن از بسته بندیصف و دارحالت پیگیری ، ،کرد فراهم لینوکس برای را آتش دیواره ابزارهای از ایمجموعه که ایپروژه نام همچنین .کنندمی Netfilter شدند تهیه پروژه این در که اجزایی اکثر .است بوده .شدند تهیه نیز هاییکتابخانه و کاربر فضای ابزارهای از ایمجموعه اما هستند هسته در بارگذاری قابل هایماژول IPFilter یلیه های سرآیند اساس بر هابسته محدودکردن معیار .دهدمی انجام را کاربری رابط یک از عبور حین در هابسته انتخابی عبوردادن یا مسدودکردن 3 ) IPv4، IPv6 یلیه و ( 4 ) TCP، UDP، ICMP4 .است مقصد و مبدا پروتکل و پورت ،مقصد و مبدا آدرس ،دارد کاربرد همه از بیش که معیاری .است ( IPFilter از یکی برای ابتدا که است آتش هایدیواره انواع OpenBSD مزایای از برخی ذکر به ادامه در .دارد وجود نیز دیگر عامل هایسیستم در اکنون اما ،یافت توسعه IPFilter .پردازیممی • از خاصی انواع به توانمی ،است متصل اینترنت مانند خارجی یشبکه یک به داخلی هایشبکه و است لینوکس ،عامل سیستم کههنگامی :کنترل به هابسته رفتن از توانمی بنابراین ،است مقصد آدرس حاوی هابسته سرآیند ،مثال برای .نمود مسدود را آن از خاصی انواع و داد عبور یاجازه ترافیک از هاییآگهی و تبلیغات ،وب هایصفحه در دیگر مثالی عنوان به .نمود جلوگیری خارجی یشبکه از خاصی بخش doubleclick.net و دارند وجود به توانمی ،کندمی هاآن بارگذاری صرف را زیادی زمان مرورگر IPFilter از ایبسته هیچ گفت doubleclick.net .نکند دریافت • داخلی یشبکه به وارده ترافیک روی بر باید بنابراین .است داخلی منظم یشبکه و اینترنت آشفته دنیای بین رابط تنها لینوکس :امنیت ممکن مثال عنوان به .بود نگران باید وارده هایبسته مورد در اما شود خارج شبکه از چیزی چه که نباشد مهم است ممکن .کرد اعمال هاییمحدودیت طریق از کسی که نخواهید است Telnet دهندهسرویس یک و کنید استفاده اینترنت از تنها بخواهید است ممکن .کند برقرار ارتباط دهندهسرویس با داشتن با کارها این تمامی .گیردمی را اتصالی هرگونه جلوی بنابراین .نباشید IPFilter .است پذیرامکان • مراقبت در .کندمی ارسال شبکه از خارج به را بسته زیادی تعداد ،است شده پیکربندی نامناسبی طور به که محلی یشبکه در سیستمی اوقات گاهی : است مناسب جااین IPFilter .دهد گزارش را غیرطبیعی رویداد هر وقوع که کرد تنظیم طوری را ) شبکه آدرس یترجمه NAT ( آدرس یک به نیاز وب دهندگانسرویس و دیگرکامپیوترها با ارتباط در کامپیوتری هر IP به کاری هایشبکه و خانگی استفاده رشد و اینترنت گسترش با .دارد هایآدرس تعداد رسدمی نظر IP آدرس قالب مجدد طراحی ،ساده حل راه یک .نباشد کافی موجود IP را بیشتری هایآدرس تعداد داشتن امکان که است جااین در .است اینترنت زیرساخت کل اصلح نیازمند و شود سازیپیاده حل راه این تا کشدمی طول سال چندین اما ،دهدمی NAT .کندمی حل را مشکل NAT یک صورت این در .کند عمل مشخص محلی یشبکه یک و اینترنت بین رابط عنوان به که دهدمی را امکان این مسیریاب یک مثل منفرد دستگاه یک به IP هایآدرس تعداد کمبود .شود استفاده کامپیوتر یمجموعه یک برای تواندمی منفرد IP از استفاده دلیل تنها NAT و امنیت برقراری چون دیگری فواید .نیست از استفاده مزایای از نیز بهتر مدیریت NAT مفهوم .است NAT ورود یدروازه عنوان به (مسیریاب یا کامپیوتر )مثل دستگاه یك که است معنا این به و ساده بسیار که دستگاهي آدرس به را کاري هايایستگاه هايآدرس کار این با و کندمي عمل اینترنت به NAT دیگر بیان به ،کندمي ترجمه است فعال آن روي NAT روي را شبکه اینترنت دیگر سوي از .کندمي پنهان اینترنت دید از را شبکه کلي طور به و کاري هايایستگاه و شودمی فعال است متصل اینترنت به که دستگاهي .باشدمي متصل اینترنت به که بیندمي ساده دستگاه یك صورتبه NAT کاري هايایستگاه روي دوباره تنظیمات به نیازي و کندنمي ایجاد تغییر شبکه روي که است دستگاهي آدرس همان که را شبکه از خروجي یدروازه آدرس بایستمي کاري هايایستگاه فقط .نیست NAT .بدانند را است شده فعال آن روي ) 8 (
9.
IPTables سری از لینوکس
یهسته 1.1 داری IPFilter نام به ابزاری از هابسته فیلترکردن قوانین تنظیم برای .است بوده ipfwadm لینوکس در .شدمی استفاده 2.2 ابزاری نام به IPChains لینوکس برای سرانجام و شد معرفی 2.4 ابزار IPTables حقیقت در .شد معرفی IPTables آن به و گویدمی سخن هسته با که است ابزاری هایماژول قوانین دستکاری و ایجاد برای ،هابسته کردن فیلتر بر علوه .کند فیلتر را هاییبسته چه که گویدمی NAT زیرا ،شودمی استفاده نیز NAT طریق از نیز قوانین مجموعه IPFilter نام اغلب .شودمی پیکربندی IPTables شامل که آتش دیواره زیرساخت کل برای Netfilter و اتصال پیگیری ، NAT استفاده ،است اصلی هایویژگی .شودمی IPTables :از عبارتند • بسته فیلتر قوانین یمجموعه یکلیه کردنفهرست • بسته فیلتر قوانین یمجموعه در قوانین اصلح /کردن کم /افزودن • بسته فیلتر قوانین یمجموعه در قانون هر هایشمارنده کردن صفر /فهرست که این دلیل به IPTables کاربر توسط حتما باید ،دارد نیاز اجرا برای خاصی امتیازات به root لینوکس هایسیستم اکثر در .شود اجرا IPTables یشاخه در usr/sbin/iptables دستور اجرای با و شودمی نصب man iptables یپروژه .کرد پیدا دسترسی آن به مربوط مستندات به توانمی netfilter/IPTables سال در 1998 توسط میلدی Rusty Russell یدهندهتوسعه که IPChains تیم ،پروژه پیشرفت با .شد شروع بود نیز Netfilter شده داده توسعه افزارنرم .گرفت شکل لیسانس تحت هاآن توسط GNU/GPL چارچوب .است Xtables هر .هستند قوانین از هاییزنجیره شامل که دهدمی را هاییجدول تعریف امکان سیستم مدیر به یک .شوندمی پردازش هازنجیره پیمایش با هابسته .دارد سروکار ،بسته پردازش از خاصی نوع با جدول هر .شود برخورد چگونه بسته با که کندمی مشخص قانون حداقل شبکه از خروجی یا ورودی بسته هر .باشد داشته ادامه تواندمی جایی هر تا روند این و بفرستد دیگری زنجیره به را بسته یک تواندمی زنجیره یک در قانون انتهای به که ایبسته مثال برای .دارند هاییسیاست توکار جداول .بپیماید را ایزنجیره چه ابتدا در که کندمی مشخص بسته منبع .پیمایدمی را زنجیره یک انتهای به ایبسته اگر و است نشده تعریف سیاست هازنجیره این برای .کند ایجاد زنجیره دلخواه تعداد به تواندمی سیستم مدیر .شودمی حذف ،برسد زنجیره همچنین .یابدمی انطباق خاصی هایبسته انواع با زنجیره یک در قانون هر .گرددمی باز ،است کرده فراخوانی را آن که ایزنجیره به دوباره ،برسد هازنجیره گونهاین به بسته ،نکند پیدا انطباق بسته با قانون اگر .کندمی بررسی را آن ،قانون هر ،پیمایدمی را زنجیره یک ایبسته وقتی .باشد داشته هدف یک است ممکن قانون زنجیره در پیوسته پیمایش به بسته .شودمی برخورد بسته با شده مشخص هدف در چهآن طبق ،یابد انطباق بسته با قانون اگر و شودمی فرستاده بعدی قانون یا (شودمی حذف یا قبول بسته )مثل شودمی گرفته تصمیم بسته نهایی سرنوشت مورد در صورت این در که یابد انطباق بسته آن با قانون یک تا دهدمی ادامه .برسد زنجیره انتهای به بسته یا بازگردد فراخواننده یزنجیره به بسته و کند فراخوانی را بازگشت هدف ،قانون یک اصطلحات و عبارات IPTables .شوندمی داده شرح ،هستند لزم بعدی مطالب درک برای و دارند را کاربرد بیشترین که اصطلحاتی و عبارات از تعدادی ،بخش این ادامه در انطباق – تقدم : -- انطباق مثل .باشد اطلعاتی چه محتوی باید سرآیند یک که گویدمی قانون یک به که منفرد انطباق یک :اول معنی .رودمی کاربه مختلف معنی دو با کلمه این source :دوم معنی .است شده تشکیل انطباق چندین یا یک از قانون هر .باشد شبکه از خاصی محدوده یا خاص میزبان یک باید منبع آدرس که گویدمی ما به :اندشده آورده ادامه در هاانطباق پرکاربردترین از نمونه چند .است یافته انطباق قانون با بسته گوییممی کند صدق بسته یک مورد در قانون یک کل اگر • --) source (-s آدرس یک : IP .دهدمی انطباق را شبکه یا مبدا • --) destination (-d آدرس یک : IP .دهدمی انطباق را شبکه یا مقصد • --) protocol (-p یک روی : IP .دهدمی انجام انطباق • --) in-interface (-i .کندمی ایجاد ورودی رابط یک : • interface .کندمی ایجاد خروجی رابط یک : • -- state .دهدمی انطباق اتصال حالت از ایمجموعه روی : • -- string .دهدمی انجام انطباق ،کاربردی یلیه داده هایبایت از ایرشته روی : قانون ) rule ( : هایسازیپیاده اکثر در که است هدف یک همراه به انطباق چندین یا یک از ایمجموعه IPTables از بعضی در .است انطباق چندین از ایمجموعه قانون یک ، .باشیم داشته قانون هر برای هدف چندین توانیممی هاسازیپیاده ) 9 (
10.
قوانین یمجموعه : سازیپیاده در
قوانین از ایمجموعه IPTables .شوندمی نوشته پیکربندی فایل یک در قوانین یمجموعه .باشدمی پرش : jump دستورالعمل JUMP اگر .شودمی نوشته دیگر یزنجیره یک نام ،هدف نام نوشتن جای به که تفاوت این با .شودمی نوشته آن مانند دقیقا و است هدف یک مانند .شودمی پردازش آن در و شودمی فرستاده بعدی یزنجیره به بسته ،داشت انطباق قانون هدف : target باید که کندمی مشخص هدف تعریف ،کند پیدا انطباق کامل طور به قانون کل اگر .دارد هدف یمجموعه یک قوانین یمجموعه در موجود قانون هر کلی طور به آدرس یا و حذف ،قبول را آن باید که گویدمی مثل .کرد چه بسته با IP در .باشد نداشته یا باشد داشته هدف یا پرش است ممکن قانون یک .کرد ترجمه را آن :است شده آورده پرکاربرد هدف چند ادامه • ACCEPT .دهد ادامه خود راه به که دهدمی اجازه بسته یک به : • DROP .شودنمی انجام آن روی دیگری پردازش هیچ و کندمی حذف را بسته یک : • LOG در را بسته یک : syslog .کندمی ثبت • REJECT .کندمی ارسال ،مناسب پاسخ یک همزمان و کندمی حذف را بسته یک : • RETURN .شودمی فراخواننده یزنجیره در بسته یک پردازش ادامه باعث : جدول : table در و دارد خاصی هدف جدول هر IPTables جداول :دارد وجود جدول پنج ، Filter، Nat، Raw و Mangle و. security جدول ،مثال عنوان به Filter منظور به جدول و است شده طراحی هابسته کردن فیلتر Nat آدرس یترجمه برای فقط IP .شودمی استفاده هابسته اتصال پیگیری : هایویژگی ترینمهم از یکی Netfilter و کند پیگیری را هاجلسه یا شبکه هایاتصال کلیه که دهدمی هسته به را امکان این اتصال پیگیری .است اتصال پیگیری .کند مرتبط هم به ،دهندمی تشکیل را اتصال یک هم با که هاییبسته کلیه وسیلهبدین NAT و دارد نیاز هم به مرتبط هایبسته یترجمه برای اطلعات این به IPTables زیر شرح به مختلف هایحالت به را بسته هر ،اتصال پیگیری .کند عمل دارحالت آتش دیواره یک مانند و کند استفاده اطلعات این از تواندمی :کندمی بندیطبقه • جدید .جدید اتصال یک یبسته اولین : • شدهبرقرار .دارد وجود که است اتصالی از قسمتی که ایبسته : • وابسته .است مرتبط موجود اتصال یک به اتصال این و است کرده شروع را جدید اتصال یک که ایبسته : • نامعتبر .نیست ایشدهشناخته اتصال هیچ از قسمتی : • ردیابی عدم .ندهد انجام خاص بسته یک برای را اتصال پیگیری تا شودمی داده نسبت بسته یک به مدیر توسط که است خاصی حالت : زنجیره : chain یمجموعه یک جدول هر .دارد خاص هدف یک زنجیره هر .شودمی اعمال ،پیمایندمی را زنجیره که هاییبسته روی بر که است قانون یمجموعه یک زنجیره یک .کند تعریف را هاییزنجیره تواندمی نیز کاربر اما دارد توکار زنجیره از عبارتند توکار هایزنجیره ترینمهم INPUT، OUTPUT و FORWARD • INPUT انجام هاآن مسیریابی عمل هسته در کهاین از بعد البته .شوندمی وارد محلی یشبکه به که شودمی پیمایش هاییبسته توسط زنجیره این : .شود • OUTPUT .شوندمی تولید لینوکس سیستم در که است هاییبسته برای : • FORWARD در که شوند مسیریابی آتش دیواره در باید هابسته ،شودمی استفاده دیگر یشبکه به شبکه یک کردنمتصل برای آتش دیواره وقتی : .رودمی کاربه زنجیره این مورد این ) 10 (
11.
از عبارتند دیگر
یزنجیره دو PREROUTING و POSTROUTING .دهندمی انجام ،هسته توسط مسیریابی عمل از بعد و قبل را هابسته سرآیند اصلح که ) 11 (
12.
) 12 (
13.
: گفت میتوان
چنین کلی طور به Rule برای که است دستوری دربرگیرنده ،قانون یا .رود بکار باید آن روی بر کار یک وانجام ها بسته انتخاب مبدأ از شده ارسال های بسته تمام :مثل ۱۹۲.۱۶۸.۰.۱ آدرس یا .شوند حذف IP شده ارسال های بسته تمام مبدا کامپیوتر از ۱۹۲.۱۶۸.۰.۵ به ۸۰.۴۰.۵۰.۶۰ .یابد تغییر Chain مثل .باشد می قوانین از ای مجموعه ،زنجیر یا یک تشکیل یکدیگر با توانند می بال قانون دو chain نام به . testchain را بدهند ) 13 (
14.
: خلصه واقعدر Netfilter و IPTables کرنل درون
افزاری نرم ساختاری 2.4 . x کرنل و 2.6 . x بتوان آن کمک به شود می باعث که باشد می packet filtering ) فیلتر معرفی پرتکل های بسته کردن ( ، NAT ) شبکه آدرس ترجمه ( ها بسته به مربوط اعمال سایر و ) mangle ( داد انجام را . ها بسته ) Packet ( مدل شبکه لیه در که است پروتکلی داده واحد ، OSI باشد می عمل حال در " . پروتکل داده واحد " مخفف کلمه با PDU از که عبارت Protocol Data Unit شود می داده نشان ،باشد می . PDU متفاوت های لیه در و مختلف های پروتکل برای ها OSI دارد تفاوت یکدیگر با . مثل PDU ) پروتکل داده واحد یعنی ( لیه در 2 لیه در حالیکه در باشد می فریم ، 3 است بسته ، . اصطلح اوقات گاهی PDU گردد می شبکه دنیای به واردان تازه سردرگمی باعث . گویند می وقتی مثل PDU رسانه روی بر حرکت حال در ) سیم ( در یا و است فریم منظور ،دوم لیه . سوم لیه به مربوط که ها بسته ) یعنی Network ( گیرند می قرار ها فریم درون ،باشند می . بسته یک ساختار با صورتیکه در بپردازیم ها بسته بین از انتخاب به ،خاص قوانینی کمک به و محتویات این براساس و کرده وارسی آنرا محتویات توانیم می ،باشیم آشنا . مهم وظایف از یکی IPTables قوانین براساس که باشد می همیم نیز ) rule ( را دیگر گروهی عبور جلوی یا و بدهد عبور اجازه بعضی به و کرده بررسی را ها بسته محتویات ، بگیرد . IPTables است افزار نرم یک . خانواده تر قدیمی های نسخه با که کسانی Linux مانند Read Hat 7.x ،اند داشته سروکار IPChain آورند می خاطر به را . IPChain بزرگ پدر نوعی به که است قدیم فایروال یک IPTable گردد می محسوب ! IPTables کمک به Netfilter نوشت را قوانین توان می آن توسط که است فرمانی خط خاص دستورات از ای مجموعه دارای و است شده ساخته . مثل آدرس با کامپیوتر از ها بسته اگر گوییم می قوانین این طبق IP، 192.168.0.1 کن حذف را آنها ،بود ! • NAT مخفف که Network Address Translation معنی به و باشد می " شبکه آدرس ترجمه " انتقال برای ،گردد می باعث که است استانداردی ،است آدرس مجموعه یک از داخلی شبکه روی بر داده های بسته IP های آدرس از دیگری مجموعه از خارجی ترافیک برای و IP شود استفاده . شکل در 1 ، آدرس کننده ترجمه وسیله یک نقش تواند می ،خارجی و داخلی شبکه دو بین موجود کامپیوتر IP یا NAT کند بازی را . های آدرس ،کامپیوتر این IP های آدرس به را شبکه داخلی سمت در موجود IP میکند ترجمه ،هستند استفاده مورد اینترنت یا و شبکه خارجی سمت روی بر که خارجی . دلیل از یکی از استفاده و کار این NAT نشان را دیگر آدرس یک آنها به و کرده مخفی بیرونی کاربران دید از را خود داخلی های آدرس توانند می کاربران که است آن دهند . • ) 14 (
15.
) 15 (
16.
اندازی راه امکان NAT عامل
سیستم در Windows 2003 مختلف های خانواده ، Linux روترهای و Cisco دارد وجود . Mangling معنای به " پیچاندن " یا و " دادن فرم تغییر " و ... باشد می ! دنیای در IPTable شود می شنیده زیاد اصطلح این . است قرار چیزی چه ولی یابد؟ تغییر Mangling ) محتویات تغییر یا ( در خاصی فیلدهای محتویات تا دهد می را امکان این کرنل به Header دهد تغییر را ها بسته به مربوط . مورد در توضیح حتما یابد؟ تغییر فیلدها محتویات باید چرا ولی NAT اید نکرده فراموش را . وظیفه NAT تبدیل دیگری آدرس به را آدرس یک که بود آن کند . آدرس مثل IP از بسته یک فرستنده 192.168.0.5 به 80.40.50.60 شود عوض . فیلدهای از یکی در فرستنده آدرس Header شده ذخیره کمک به و است Mangling داد تغییر را فیلد این محتویات توان می . را تابع یک ،کند می عبور قلبی از بسته یک که دفعه هر تا دهد می اجازه کرنل درون های ماجول به که باشد می کرنل درون قلب تعدادی مانند دهد نشان العملی عکس نیاز صورت در و بزند صدا . IPTables آنکه از پیش ،کند می عبور ای بسته وقت هر و نموده استفاده کرنل های قلب از کند می چک آنرا ،گردد ارسال خاص شبکه یک به بتواند . از بتوان آنکه برای IPTables باشد شده اجرا و پیکربندی باید نیز سرویس و باشد شده ایجاد کرنل در آن از پشتیبانی قابلیت باید ،نمود استفاده . های خانواده اکثر در ویژگی این خوشبختانه Linux با و باشد شده فعال متوسط حالت در یا و نباشد فعال دلیلی به است ممکن ولی دارد وجود نکند کار قدرت حداکثر ! که است آن علت IPTables اعمال از بسیاری است ممکن و شود می گیر سخت بسیار ،گردد فعال حداکثر حالت به وقتی بیفتد کار از نیز ای شبکه جاری . قانون تعدادی ،فایروال اندازی راه با ) rule ( زنجیر و ) chain ( فایروال به متصل های شبکه بین خواهند می که هایی بسته برای و گردد می ایجاد گردد می استفاده ،یابند انتقال . • 4 . ساختار IPTables : از استفاده برای IPTables شد آشنا آن سازنده اجزاء با باید . فایروال IPTables دارای 3 شکل در که میباشد اصلی عنصر 2 است آمده . این 3 بلک از عبارتند فایروال ساختار سازنده : قانون و زنجیر ،جدول . ) 16 (
17.
Rule رود بکار باید
آن روی بر کار یک انجام و ها بسته انتخاب برای که است دستوری دربرگیرنده ،قانون یا . مثل : مبدا از شده ارسال های بسته تمام 192.168.0.1 شوند حذف ، . آدرس یا IP کامپیوتر از شده ارسال های بسته تمام مبدا 192.168.0.5 به 80.40.50.60 یابد تغییر . نمونه دو موارد این rule گردند می تشکیل عملکرد یک به مربوط بخش یک و بندی دسته و انتخاب به مربوط بخش یک از خود که دهند می نشان را . Chain باشد می قوانین از ای مجموعه ،زنجیر یا . یک تشکیل یکدیگر با توانند می بال قانون دو مثل chain نام به testchn بدهند را . Table باشد می زنجیرها از ای مجموعه ،جدول یا . مثل chain دو با فوق chain فرضی های نام به دیگر mainchn و changechn نام به جدول یک تشکیل input_tbl بدهند را . IPTables دارای فرض پیش شکل به 3 های نام به اصلی جدول filter ، nat و mangle باشد می . این به نیز را دیگری جداول نیاز برحسب میتوان البته نمود اضافه مجموعه . بندی دسته برای و کاربران توسط جداول این chain و ها rule دارد کاربرد خودشان توسط شده تعریف های . بخواهند که هم زمانی هر ولی نمایند حذف را خود جداول 3 فرض پیش جدول filter ، nat و mangle نیستند حذف قابل . گردد می ارائه فوق گانه سه جداول از کدام هر مورد در توضیحی زیر در : جدول filter : و قوانین کلیه گیرنده بر در chain باشد می ها بسته نمودن فیلتر های . سوی از ارسالی های بسته حذف به مربوط قوانین مثل شبکه 172.16.0.0 برای عبور مجوز صدور یا و کامپیوتر از ارسالی های بسته 10.10.5.8 و ... گیرند می قرار جدول این در همگی . علوه پورت مثل خاص پروتکل و پورت یک به مربوط های بسته که کرد تعریف جدول این در قوانینی توان می اینها بر 80 پروتکل به مربوط که http ) وب همان یا ( پورت به مربوط های بسته ولی باشند داشته عبور اجازه است 21 پروتکل یا ftp باشند نداشته عبور اجازه . این اصلی وظیفه پس کنند نمی فیلتر که است قوانینی یا و کننده فیلتر قوانین نگهداری جدول . مانند گوناگون معیارهای براساس نکردن فیلتر یا و کردن فیلتر عمل آدرس IP و پورت شماره یا و مقصد و مبدا ... پذیرد می صورت . • جدول nat : مورد در توضیح nat دارید خاطر به که را . و قوانین کلیه گیرنده بر در جدول این chain آدرس ترجمه وظیفه که است هایی IP را دارند برعهده . بگیرید نظر در را زیر قانون مثال بعنوان : کامپیوتر از ای بسته اگر 10.10.10.8 آدرس ،شد ارسال IP به را فرستنده 80.50.60.90 بدهید تغییر . دهد می انجام را آدرس ترجمه عمل بلکه ،دهد نمی انجام فیلتر مورد در عملی قانون این . جدول در آن جای بنابراین filter جدول در باید و نبوده nat قرار گیرد . جدول mangle : فیلدهای دستکاری به مربوط ،پیشرفته اعمال کلیه header می صورت جدول این در موجود قوانین توسط شبکه در ارسالی های بسته در گیرد . جدول تفاوت nat و mangle تغییر به مربوط قوانین فقط که است آن در آدرس IP جدول در پورت یا و nat به مربوط قوانین سایر ولی گیرند می قرار فیلدهای تغییر header جدول در ،دارند کاربرد پیشرفته حالت در که mangle گیرند می جای . • تعدادی ،جداول این از هرکدام درون chain گیرد می قرار فرض پیش شکل به . این جمله از chain به میتوان ها 8 عدد chain ،است آمده زیر در که اصلی ) 17 (
18.
کرد اشاره : chain های input، forward و output جدول filter 1 chain
های prerouting و postrouting جدول nat 2 chain های prerouting ، input و output جدول mangle 3 از تعدادی فقط ها این البته chain تمام بر علوه و بوده فرض پیش های chain ساخت امکان فرض پیش های chain دارد وجود نیز کاربران توسط . شکل 3 های جدول در موجود قوانین و باشد می چگونه ها بسته حرکت نحوه ،مقاله این در بحث مورد مدل شبکه در که دهد می نشان IPTable چه در ، دهند می قرار بررسی مورد را فایروال به خروجی یا و ورودی های بسته نقاطی . ساختار کل تواند می شبکه مدیر IPTables عملکرد .نماید فعال کامپیوتر اینترفیس هر روی بر را آن از قسمتی فقط یا و IPTables یک تا شود می باعث .گردد فایروال به تبدیل کامپیوتر شکل در که همانطور 3 بسته جریان .است شده داده نشان جدا نمودار دو در برعکس و داخل به خارجی شبکه از بسته یک حرکت مسیر ،است مشخص :باشد می شکل بدین ساختار این درون شبکه کارت طریق از فایروال به بسته یک ورود هنگام به eth0 زنجیر قسمت اولین ، prerouting جدول در mangle با را ترکیب این .باشد می mangle / prerouting ،باشید داشته یاد به اگر .دهیم می نشان mangling در خاصی فیلدهای بتواند کرنل که شود می باعث (محتویات )تغییر header تغییر را .سازند می ممکن را عمل این زنجیر این در موجود قوانین .دهید از mangle / prerouting وارد بسته ، nat / prerouting که گردید بیان قبل .شود می nat آدرس ترجمه برای IP .رود می بکار دیگر شبکه به شبکه یک از آدرس توانند می ،زنجیر این در موجود قوانین IP .کنند عوض را مقصد پورت آدرس یا و مقصد فایروال یک روی بر اگر بنابراین IPTables پروتکل به مربوط اگر ،اینترنتی کاربران سوی از فایروال به ورودی های بسته تمام که بنویسیم قوانینی بخواهیم http آدرس سمت به ،بودند 192.168.5.5 در باید ،شوند هدایت داخلی شبکه روی nat / prerouting به مربوط ورودی های بسته تمام مقصد آدرس ، http به را 192.168.5.5 .داد تغییر : باشید داشته خاطر به بنابراین nat / prerouting آدرس تغییر برای IP بخش .باشد می مقصد پورت آدرس یا و مقصد Route یا و زنجیر یا جدول یک ،است آمده شکل در که rule ) 18 (
19.
.نباشد Roué آدرس نیز گیری
تصمیم اساس .شود ارسال جدول کدام و زنجیر کدام به باید بسته گیرد می تصمیم که است قسمتی فقط IP .است مقصد بخش بنابراین route آدرس ، ()مسیریابی IP را بسته مقصد check آدرس اگر .کند می IP آدرس مساوی ،بسته مقصد IP است معلوم ،باشد فایروال خود و شده ارسال فایروال برای بسته که route قسمت به را بسته mangle / input آدرس اگر .نماید می ارسال IP ،باشد دیگری چیز هر مقصد route را بسته به filter / forward قسمت .کند می ارسال filter / input این .میدهد قرار بررسی مورد را شوند وارد فایروال به خواهند می که را هایی بسته تمام ، یا بسته کننده فیلتر یک ساده عبارت به .شود بلک باید یا و باشد می قبول مورد بسته یک آیا کند می معین که است قوانینی حاوی زنجیر packet-filter .باشد می عنوان با شکل روی بر دیگر قسمت یک local process ممکن فایروال روی بر موجود های پراسس از بعضی .است شده مشخص محلی های پراسس یا تواند می دسته این از مثال یک .نمایند برقرار ارتباط شبکه روی موجود های سرویس و وسایل سایر با شبکه کارت طریق از بخواهند است ping کردن سرویس بودن موجود یا و ،فایروال پشت از دیگر کامپیوترهای DNS سرویس یا و NTP .باشد فایروال کامپیوتر روی بر به ابتدا ها بسته نوع این mangle / output زنجیر .شوند می وارد mangle / output به شبیه عملکردی mangle / prerouting این در تفاوت ولی .دارند زنجیر به ،شوند می تولید فایروال خود توسط که هایی بسته فقط که است mangle / output .شوند می وارد زنجیر filter / output یک آیا که کنند می مشخص که هستند قوانینی شامل زنجیر این .کند می مدیریت را شوند می خارج فایروال از که را هایی بسته ، یک نیز بخش این ،ساده عبارت به .شود بلک یا و گیرد قرار موردقبول باید بسته packet-filter زنجیر ،موازی مسیر در .باشد می filter / forward بسته اجازه آن به یا و کرده حذف آنرا بسته ویژگیهای براساس و داده قرار بررسی مورد را شوند می فرستاده داخلی شبکه سمت به خارجی شبکه از که را هایی .دهند می عبور nat / postrouting آدرس توان می آن توسط که است قوانینی گیرنده بر در زنجیر این .باشد می ها بسته حرکتی مسیر در نقطه آخرین ، IP یا و مبدا زنجیر کنیم می یادآوری پس .داد تغییر را عبوری بسته یک مبدا پورت شماره nat / prerouting آدرس که است قوانینی برگیرنده در IP پورت یا و مقصد در ولی کنند می عوض را مقصد nat / postrouting آدرس که داریم قوانینی IP .کنند می عوض را مبدا پورت شماره و مبدا : واقعدر IPTables ابزار کمک به که است فایروال یک Netfilter از قبل نسل .است شده ساخته ، IPTables نام با IPchains درون .شود می شناخته IPTables ، شکل در که دارند قرار یکدیگر با خاصی ارتباط در زنجیرها .داریم را قوانین و زنجیرها ،جداول 3 جداول از هرکدام کاربرد خلصه شکل به .شد داده نشان جدول مطابق آنها درون زنجیر و 1 :باشد می زنجیر نام / جدول نام mangle / prerouting شود می استفاده ندرت به nat / prerouting آدرس تغییر IP مقصد پورت و مقصد filter / forward ) انتقال forward آن کنترل و دیگر شبکه به شبکه یک از بسته ( ) 19 (
20.
nat / postrouting آدرس
تغییر IP مبدا پورت و مبدا filter / input زنجیر input کند می چک را فایروال خود به ورودی های بسته که mangle / input شود می استفاده ندرت به mangle / output شود می استفاده ندرت به filter / output زنجیر output کند می چک را فایروال خود از خروجی های بسته که ) 20 (
21.
گیرد می انجام
زیر فرمان با که باشد می مرتبط سرویس نمودن فعال دستور این با کار برای اول قدم : service iptables start نکته : سرویس اینکه از قبل iptables سرویس بایستی شود اجرا ip6tables کنیم غیرفعال را . کنیم می وارد فرمان خط در را زیر دستورات کار این برای : service ip6tables stop chkconfig ip6tables off وضعیت شود فعال فرض پیش صورت به سرویس این سیستم شدن بوت موقع اینکه برای runlevel حالت در بایستی ON شود می داده قرار : chkconfig --level 345 iptables on ها پورت کردن بسته و باز : پورت کردن باز برای 80 کنیم می استفاده زیر فرمان از فایروال در : iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT - p معادل protocol و sport معادل و مبدا پورت dport باشد می مقصد پورت معادل . به نیاز صورت در همچنین از استفاده https پورت بایستی 443 باشد باز نیز : iptables -A INPUT -p tcp -m tcp --sport 443 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT شود می استفاده مشابه دستورات از نیز ها پورت سایر برای . دستور ساختار iptables : شود می تقسیم بخش دو به دستور این گرامر : chain,target iptables -A chain -j target chain پارامتر و است اصلی قسمت – A (append ( یک rule نماید می اضافه را . chain معادل تواند می input,ouput,forward می دائمی پارامترهای که باشد باشند . پارامتر – j (jump ( قوانین مجموعه در محلی iptables گیرد می انجام آنجا به پرش که کند می مشخص را . شامل ترتیب به آن مقادیر accept,drop,reject می باشند . پارامتر توسط – n توانید می نیز chain کنید اضافه سفارشی و جدید های . با کار policy های firewall : Iptbles پارامتر از – p ایجاد برای rule کند می استفاده فرض پیش های . زیر دستورات مثل کند می بلک را شبکه درگاه در دریافتی و ارسالی های پکت کلیه : iptables -P INPUT DROP iptables -P OUTPUT DROP های پکت که شود می توصیه همچنین forward نیز شده denied نشوند نمایان اینترنت در ناخواسته طور به داخلی شبکه کاربران تا شوند . rule انجام برای زیر رود می کار به کار این : iptables -P FORWARD DROP تنظیم از بعد policy chain توانید می rule را نظر مورد های کنید تعریف : قوانین بازیابی و ذخیره ی نحوه iptables : ) 21 (
22.
Rule های firewall کامپیوتر زمانیکه تا on اتوماتیک
صورت به سیستم مجدد اندازی راه با و باشند می معتبر باشد reset شوند می . از بعد قوانین این اینکه برای کنید زیراستفاده دستور از شوند اجرا اتوماتیک صورت به ،مجدد اندازی راه : /sbin/service iptables save نکته : سایر Rule مسیر در ها / etc/sysconfig/iptables شوند می ذخیره . ) 22 (
23.
1 . فایروال وضعیت نمایش : در
حاضر حال در که هایی رول شدن مشخص برای iptables فرمائید استفاده زیر دستور از توانید می ،دارند وجود : iptables -L -n -v باشد زیر شکل به تواند می دستور خروجی : Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination بود خواهد زیر شکل به وضعیت احتمال ،اید کرده اضافه هایی رول قبل از خود فایروال در اگر : Chain INPUT (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID 394 43586 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 93 17292 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0 1 142 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- br0 br0 0.0.0.0/0 0.0.0.0/0 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID 0 0 TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU 0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 wanin all -- vlan2 * 0.0.0.0/0 0.0.0.0/0 0 0 wanout all -- * vlan2 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0 Chain OUTPUT (policy ACCEPT 425 packets, 113K bytes) pkts bytes target prot opt in out source destination Chain wanin (1 references) pkts bytes target prot opt in out source destination ) 23 (
24.
Chain wanout (1
references) pkts bytes target prot opt in out source destination فرمائید استفاده زیر دستور از رول هر خط شماره همراه به ها رول نمایش برای : iptables -n -L -v --line-numbers بود خواهد زیر مشابه ،دستور خروجی احتمال : Chain INPUT (policy DROP) num target prot opt source destination 1 DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID 2 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 4 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy DROP) num target prot opt source destination 1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 2 DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID 3 TCPMSS tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU 4 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 5 wanin all -- 0.0.0.0/0 0.0.0.0/0 6 wanout all -- 0.0.0.0/0 0.0.0.0/0 7 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 Chain OUTPUT (policy ACCEPT) num target prot opt source destination Chain wanin (1 references) num target prot opt source destination Chain wanout (1 references) num target prot opt source destination دستور توضیح : L : - ها رول لیست v : - جزئیات نمایش n : - نمایش ip عددی بصورت پورت و 2 . فایروال وضعیت تغییر : ) 24 (
25.
کرد استفاده توان
می فایروال ریست و خاموش ، روشن برای زیر دستورات از : service iptables stop service iptables start service iptables restart نمائید وارد را زیر دستور ، بمانید باقی منوال همین به وضعیت نیز سرور ریستارت از پس و خاموش را فایروال خواهید می اگر : service iptables stop chkconfig iptables off 3 . فایروال های رول و قوانین حذف : آورید بدست را رول خط شماره زیر دستورات کمک به ابتدا : iptables -L INPUT -n --line-numbers iptables -L OUTPUT -n --line-numbers iptables -L OUTPUT -n --line-numbers | less iptables -L OUTPUT -n --line-numbers | grep 202.54.1.1 شماره خط در موجود رول حذف برای مثال عنوان به حال 4 فرمائید استفاده زیر دستور از توانید می : iptables -D INPUT 4 فرمایید استفاده خود نظر مورد پی ای به مروبطه قوانین حذف برای زیر دستور از یا و : iptables -D INPUT -s 202.54.1.1 -j DROP توضیح : D : - شده انتخاب زنجیره از رول چند یا یک حذف 3.1 فایروال از ها رول کلیه حذف ) Flush iptables :( ) 25 (
26.
فرمائید استفاده زیر
دستور از توانید می ها رول کلیه حذف برای : iptables -F تیبل در اگر و nat و mangle نمائید وارد است لزم نیز را زیر دستور دو ، کردید اضافه رولی نیز : iptables -t nat -F iptables -t mangle -F فرمائید استفاده زیر دستور از مجدد ها رول وضعیت مشاهده برای : iptables -L -v -n 4 . فایروال در فوروارد یا و خروجی ، ورودی ترافیک کردن مسدود نحوه : فرمائید استفاده زیر دستورات از توانید می ترافیک کل کردن مسدود برای ) به شما دسترسی از مانع تواند می دستورات این که نمائید دقت گردد سرور : (. iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP فرمائید استفاده زیر دستور از توانید می فایروال در شده اضافه تغییرات نمودن ذخیره برای : service iptables save ) 26 (
27.
iptables-save > iptable.rule :
کنیم ریستور را آن میتوانیم زیر دستور با سپس . کنیم ذخیره نظر مد مسیر در میتوانید را ها رول ما اینجا در iptables-restore < iptables.rule برای : نکته save فایل در را کردن ریستور به مربوط دستور توانیدمی دایمی بصورت کردن interfaces قرار ( شبکه کارت )تنظیمات : نمونه برای دهید pre-up iptables-restore < iptables.rule 5 . یک نمودن مسدود نحوه IP سرور روی بر : پی ای سوی از ورودی ترافیک توانید می شما اول دستورات کمک به 1.2.3.4 پی ای رنج برای ورودی ترافیک کل دوم دستور کردن وارد به و گردد می مسدود مثال مورد . iptables -A INPUT -s 1.2.3.4 -j DROP iptables -A INPUT -s 192.168.0.0/24 -j DROP 6 . خاص پورت یک روی بر ورودی ترافیک کردن مسدود نحوه : پورت روی بر را ورودی ترافیک توان می زیر دستورات کمک به 80 نمائید مسدود . پورت از سرور وب معمول که است توضیح به لزم 80 برای کند می استفاده سایت وب نمایش . iptables -A INPUT -p tcp --dport 80 -j DROP iptables -A INPUT -i eth1 -p tcp --dport 80 -j DROP ) 27 (
28.
پورت روی بر
ورودی ترافیک کردن مسدود برای 80 یک برای تنها IP رنج یک یا و IP فرمائید استفاده زیر دستورات از توانید می : iptables -A INPUT -p tcp -s 1.2.3.4 --dport 80 -j DROP iptables -A INPUT -i eth1 -p tcp -s 192.168.1.0/24 --dport 80 -j DROP 7 . خروجی ترافیک نمودن مسدود نحوه : یک برای خروجی ترافیک نمودن مسدود برای IP رنج یک یا و خاص IP فرمائید استفاده زیر دستورات از توانید می : iptables -A OUTPUT -d 1.2.3.4 -j DROP iptables -A OUTPUT -d 192.168.1.0/24 -j DROP iptables -A OUTPUT -o eth1 -d 192.168.1.0/24 -j DROP 8 . ها فعالیت کردن لگ : از جلوگیری برای مثال برای شوید مطلع است وقوع حال در سرور شبکه روی بر که هایی فعالیت ریز از تا استفا نیاز مواقع از خیلی IP spoofing اینترفیس روی بر eth1 فرمائید استفاده زیر دستور از توانید می . حالیکه در دستور این در ، گردد می مسدود مربوطه ترافیک پیشوند با نیز گرفته صورت های تلش IP_SPOOF A شود می ذخیره لگ در : iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j LOG --log-prefix "IP_SPOOF A: " iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP مسیر در ها لگ معمول / var/log/messages باشد متفاوت تواند می استفاده مورد لینوکس ویرایش به توجه با البته که دارند قرار . برای فرمائید استفاده زیر دستورات از توانید می مربوطه های لگ مشاهده : ) 28 (
29.
tail -f /var/log/messages grep
--color 'IP SPOOF' /var/log/messages سوکت قابلیت از توان می فایل لگ شدن حجیم از جلوگیری برای - m برای که نمود تنظیم توان می آن کمک به که کرد استفاده دستور در هر در مثال 5 از بیش دقیقه 7 در را مورد ننماید ذخیره لگ : iptables -A INPUT -i eth1 -s 10.0.0.0/8 -m limit --limit 5/m --limit-burst 7 -j LOG --log-prefix "IP_SPOOF A: " iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP 9 . شویم؟ آگاه شبکه روی بر فایروال توسط پورت یک بودن بسته یا باز از چگونه فرمایئد استفاده زیر دستور از توانید می پورت نبودن و بودن باز از آگاهی برای : netstat -tulpn پورت پورت آیا اینکه از اطلع برای tcp 80 فرمایید استفاده زیر دستور از خیر یا است باز : netstat -tulpn | grep :80 پورت اگر 80 نمائید وارد را زیر دستور نبود باز : service httpd start پورت که یابید اطمینان زیر دستور کمک به 80 است نشده بسته فایروال روی بر : iptables -L INPUT -v -n | grep 80 فرمایئد استفاده زیر دستور از توانید می بود مسدود صورتیکه در : ) 29 (
Baixar agora