SlideShare uma empresa Scribd logo
1 de 59
Baixar para ler offline
‫حق‬ ‫بسمه‬
‫لینوکس‬/‫گنو‬ ‫در‬ ‫فایروال‬
)
1
(
‫دخت‬ ‫اسمعیل‬ ‫یاشار‬ ‫مهندس‬ : ‫نویسنده‬
: ‫نسخه‬
۰.3
)
2
(
: ‫نویسنده‬ ‫درباره‬
‫رشته‬ ‫آموخته‬ ‫دانش‬ ‫دخت‬ ‫اسمعیل‬ ‫یاشار‬ ‫بنده‬
cyber security
. ‫هستم‬
‫از‬ ‫بیش‬
۱۵
. ‫دارم‬ ‫فعالیت‬ ‫سابقه‬ ‫سال‬
‫مولف‬ - ‫مدرس‬ - ‫مشاور‬ : ‫داد‬ ‫شرح‬ ‫زیر‬ ‫های‬ ‫ساختار‬ ‫در‬ ‫میتوان‬ ‫را‬ ‫بنده‬ ‫های‬ ‫فعالیت‬ ‫جمله‬ ‫از‬
gnu/linux system/network/security/cloud Engineer/administrator & oracle dba | Linux Trainer |devops
. (: ‫جدید‬ ‫دنیاهای‬ ‫کشف‬ ‫و‬ ‫تحقیق‬ ‫و‬ ‫مطالعه‬ ‫به‬ ‫مند‬ ‫علقه‬
. ‫کنم‬ ‫اشاره‬ ‫استراتژی‬ ‫های‬ ‫بازی‬ ‫و‬ ‫اوتلو‬ ‫و‬ ‫شطرنج‬ ‫بازی‬ ‫به‬ ‫میتوانم‬ ‫من‬ ‫های‬ ‫سرگرمی‬ ‫از‬ ‫واقع‬ ‫در‬
‫تبریز‬ ‫لگ‬ ‫گذاران‬ ‫بنیان‬ ‫از‬ ‫یکی‬ ‫و‬ ‫لینوکس‬/‫گنو‬ ‫و‬ ‫باز‬ ‫متن‬ ‫دنیای‬ ‫عاشق‬ . ‫هستم‬ ‫عاشق‬ ‫یک‬ ‫من‬
: ‫کنید‬ ‫پیدا‬ ‫و‬ ‫کنید‬ ‫دنبال‬ ‫را‬ ‫من‬ ‫میتوانید‬ ‫چطور‬ ‫خب‬
Mob : 09141100257
Telegram ID
Telegram channel
Instagram Account
Linkedin Account
. ‫بشنوم‬ ‫را‬ ‫انتقادتون‬ ‫یا‬ ‫پیشنهاد‬ ‫هرگونه‬ ‫میشم‬ ‫خوشحال‬ ‫همچنین‬
: ‫کنید‬ ‫پیدا‬ ‫را‬ ‫من‬ ‫از‬ ‫ی‬ ‫دیگر‬ ‫های‬ ‫کتاب‬ ‫میتونید‬ ‫چطور‬
‫توی‬
slideshare
. ‫کنید‬ ‫پیدا‬ ‫را‬ ‫کردم‬ ‫منتشر‬ ‫آزاد‬ ‫بصورت‬ ‫که‬ ‫دیگری‬ ‫های‬ ‫کتاب‬ ‫میتونید‬ ‫بگردید‬ ‫من‬ ‫اسم‬ ‫دنبال‬ ‫گوگل‬ ‫یا‬
)
3
(
: ‫مشاوره‬
. ‫بود‬ ‫خواهم‬ ‫شما‬ ‫دسترس‬ ‫در‬ ‫من‬ . ‫فرمایید‬ ‫حاصل‬ ‫تماس‬ . ‫کردم‬ ‫اشاره‬ ‫قبل‬ ‫صفحه‬ ‫در‬ ‫که‬ ‫هایی‬ ‫کانال‬ ‫از‬ ‫میتوانید‬ ‫مشاوره‬ ‫جهت‬
)
4
(
: ‫خواننده‬ ‫با‬ ‫سخنی‬
‫کتاب‬ . ‫گرفتم‬ ‫تصمیم‬ ‫من‬ . ‫کرد‬ ‫منتشر‬ ‫مختلف‬ ‫های‬ ‫روش‬ ‫با‬ ‫رو‬ ‫اثر‬ ‫یک‬ ‫میشه‬ ‫و‬ . ‫هست‬ ‫وقت‬ ‫نیازمند‬ ‫ایجاد‬ ‫برای‬ ‫ساختاری‬ ‫هر‬ ‫چون‬
. ‫کنم‬ ‫دریافت‬ ‫حمایت‬ ‫و‬ ‫دانلود‬ ‫هزینه‬ ‫و‬ . ‫کنم‬ ‫منتشر‬ ‫آزاد‬ ‫بصورت‬ ‫مینویسم‬ ‫که‬ ‫هایی‬
‫شاید‬ . ‫کنم‬ ‫چاپ‬ ‫را‬ ‫ها‬ ‫کتاب‬ ‫این‬ ‫اگر‬ ‫حقیقت‬ ‫در‬
. ‫است‬ ‫بهتر‬ ‫روش‬ ‫این‬ ‫بنظرم‬ . ‫کنیم‬ ‫ب‬ ‫حسا‬ … ‫و‬ ‫درختان‬ ‫قطعی‬ ‫و‬ … ‫و‬ ‫چاپ‬ ‫تا‬ ‫گرفتن‬ ‫مجوز‬ ‫زمان‬ ‫هرینه‬ ‫ولی‬ . ‫بیاد‬ ‫بدست‬ ‫بیشتری‬ ‫سود‬
. ‫بدن‬ ‫انجام‬ ‫خرید‬ ‫و‬ ‫کنن‬ ‫حمایت‬ ‫عزیزان‬ ‫امیدوارم‬
. ‫روش‬ ‫این‬ ‫با‬ ‫بیشتر‬ ‫های‬ ‫انتشار‬ ‫برای‬ ‫میشه‬ ‫دلگرمی‬ ‫باعث‬ ‫این‬ ‫که‬
. ‫هست‬ ‫باز‬ ‫متن‬ ‫توسعه‬ ‫من‬ ‫تلش‬
‫دونیت‬
)
5
(
iptables
‫یک‬
‫فایروال‬
‫برای‬
‫گنو‬
/
‫لینوکس‬
‫است‬
.
‫است‬ ‫نصب‬ ‫فرض‬‫پیش‬ ‫بصورت‬ ‫لینوکس‬ ‫های‬‫توزیع‬ ‫بیشتر‬ ‫بروی‬ ‫که‬
.
‫سطح‬ ‫در‬ ‫سیاستی‬ ‫هر‬ ‫اجرای‬ ‫به‬ ‫قادر‬ ‫که‬ ‫است‬ ‫ابزاری‬ ‫نام‬ ‫تیبلز‬‫پی‬‫آی‬
‫شود‬‫می‬ ‫مربوط‬ ‫ترانسفر‬ ‫لیه‬ ‫در‬ ‫آن‬ ‫حصر‬ ‫و‬ ‫حد‬ ‫بی‬ ‫انعطاف‬ ‫به‬ ،‫هسته‬ ‫سطح‬ ‫افزار‬‫نرم‬ ‫این‬ ‫اصلی‬ ‫محبوبیت‬ ‫و‬ ‫شهرت‬ ‫اما‬ ‫است‬ ‫شبکه‬ ‫بالتر‬ ‫و‬ ‫تر‬‫پایین‬ ‫های‬‫لیه‬ ‫حدودی‬ ‫تا‬ ‫و‬ ‫ترانسفر‬ ‫لیه‬
‫ها‬‫بسته‬ ‫روتینگ‬ ‫از‬ ‫حرف‬ ‫که‬ ‫آنجا‬
)
Packets
(
‫است‬ ‫آنها‬ ‫وضعیت‬ ‫و‬
.
Iptables
‫تیم‬ ‫توسط‬
netfilter
‫شد‬ ‫طراحی‬
.
‫نام‬ ‫به‬ ،‫آن‬ ‫طراحی‬ ‫ای‬‫زنجیره‬ ‫ساختار‬ ‫علت‬ ‫به‬ ‫ابتدا‬ ‫در‬
ipchain
‫نام‬ ‫بعدها‬ ‫اما‬ ‫یافت‬ ‫شهرت‬
iptables
‫شد‬ ‫گذاشته‬ ‫آن‬ ‫بر‬
.
‫این‬
‫آتش‬ ‫دیوار‬
)
Firewall
(
‫شد‬ ‫اضافه‬ ‫آن‬ ‫به‬ ‫مانندی‬ ‫ماژول‬ ‫های‬‫قسمت‬ ‫زمان‬ ‫مرور‬ ‫به‬ ‫اما‬ ‫کند‬ ‫اعمال‬ ‫ورودی‬ ‫های‬‫بسته‬ ‫روی‬ ‫فقط‬ ‫محدودی‬ ‫بسیار‬ ‫های‬‫سیاست‬ ‫توانست‬‫می‬ ‫تنها‬ ‫ابتدا‬ ‫در‬
.
)
6
(
‫محلی‬ ‫ی‬‫شبکه‬ ‫یک‬ ‫در‬
.‫شود‬‫می‬ ‫استفاده‬ ‫آتش‬ ‫دیواره‬ ‫از‬ ‫نیازها‬ ‫از‬ ‫بسیاری‬ ‫رفع‬ ‫و‬ ‫ترافیک‬ ‫کنترل‬ ،‫امنیت‬ ‫برقراری‬ ،‫شبکه‬ ‫آدرس‬ ‫ی‬‫ترجمه‬ ،‫بهتر‬ ‫مدیریت‬ ،‫حفاظت‬ ‫برای‬
،‫لینوکس‬ ‫عامل‬‫سیستم‬ ‫آتش‬ ‫دیواره‬
IPTables
‫ساختار‬ ‫معرفی‬ ‫به‬ ‫ابتدا‬ ،‫مقاله‬ ‫این‬ ‫در‬ .‫است‬
IPTables
‫و‬ ‫ها‬‫قانون‬ ،‫ها‬‫زنجیره‬ ،‫ها‬‫جدول‬ ‫از‬ ‫ساختار‬ ‫این‬ .‫پردازیم‬‫می‬
.‫است‬ ‫شده‬ ‫تشکیل‬ ‫ها‬‫انطباق‬
IPTables
‫انطباق‬ ‫تعدادی‬ ‫از‬ ‫قانون‬ ‫هر‬ ‫و‬ ‫قانون‬ ‫تعدادی‬ ‫از‬ ‫زنجیره‬ ‫هر‬ ،‫زنجیره‬ ‫تعدادی‬ ‫از‬ ‫جدول‬ ‫هر‬ .‫است‬ ‫فرض‬‫پیش‬ ‫جدول‬ ‫چهار‬ ‫دارای‬
‫خواهد‬ ‫اجرا‬ ‫بسته‬ ‫مورد‬ ‫در‬ ‫قانون‬ ‫آن‬ ‫هدف‬ ،‫باشد‬ ‫داشته‬ ‫انطباق‬ ‫قانون‬ ‫یک‬ ‫با‬ ‫کامل‬ ‫طور‬ ‫به‬ ‫ای‬‫بسته‬ ‫اگر‬ .‫است‬ ‫هدف‬ ‫مجموعه‬ ‫یک‬ ‫دارای‬ ‫قانون‬ ‫هر‬ .‫است‬ ‫شده‬ ‫تشکیل‬
.‫دهیم‬‫می‬ ‫توضیح‬ ‫کامل‬ ‫طور‬ ‫به‬ ‫را‬ ‫آتش‬ ‫دیواره‬ ‫از‬ ‫عبورکننده‬ ‫های‬‫بسته‬ ‫سرنوشت‬ ‫ادامه‬ ‫در‬ .‫شد‬
‫یا‬ ‫ابزار‬ ‫یک‬ ،‫همچنین‬ .‫است‬ ‫شده‬ ‫طراحی‬ ‫شبکه‬ ‫آن‬ ‫به‬ ‫ناخواسته‬ ‫های‬‫دسترسی‬ ‫مسدودکردن‬ ‫منظور‬ ‫به‬ ‫که‬ ‫است‬ ‫کامپیوتری‬ ‫ی‬‫شبکه‬ ‫یک‬ ‫از‬ ‫بخشی‬ ‫آتش‬ ‫دیواره‬ ‫یک‬
‫بر‬ ‫مختلف‬ ‫امنیتی‬ ‫های‬‫دامنه‬ ‫بین‬ ‫کامپیوتری‬ ‫ترافیک‬ ‫کل‬ ‫نمودن‬ ‫پراکسی‬ ‫یا‬ ‫رمزگشایی‬ ‫و‬ ‫رمزنگاری‬ ،‫ردکردن‬ ،‫دادن‬‫اجازه‬ ‫منظور‬ ‫به‬ ‫که‬ ‫است‬ ‫ابزارها‬ ‫از‬ ‫ای‬‫مجموعه‬
‫آتش‬ ‫های‬‫دیواره‬ .‫شود‬ ‫سازی‬‫پیاده‬ ‫دو‬ ‫این‬ ‫از‬ ‫ترکیبی‬ ‫یا‬ ‫و‬ ‫افزار‬‫نرم‬ ،‫افزار‬‫سخت‬ ‫روی‬ ‫تواند‬‫می‬ ‫آتش‬ ‫دیواره‬ .‫شود‬‫می‬ ‫استفاده‬ ‫معیارها‬ ‫و‬ ‫قوانین‬ ‫از‬ ‫ای‬‫مجموعه‬ ‫اساس‬
‫از‬ ‫اینترنت‬ ‫از‬ ‫دریافتی‬ ‫و‬ ‫ارسالی‬ ‫های‬‫پیام‬ ‫کلیه‬ .‫شوند‬‫می‬ ‫استفاده‬ ‫اینترنت‬ ‫به‬ ‫متصل‬ ‫داخلی‬ ‫ی‬‫شبکه‬ ‫به‬ ‫اینترنت‬ ‫ناخواسته‬ ‫کاربران‬ ‫دسترسی‬ ‫از‬ ‫جلوگیری‬ ‫برای‬ ‫معمول‬
‫برای‬ .‫کند‬‫می‬ ‫مسدود‬ ،‫کنند‬‫نمی‬ ‫برآورده‬ ‫را‬ ‫شده‬ ‫مشخص‬ ‫امنیتی‬ ‫معیارهای‬ ‫که‬ ‫هایی‬‫آن‬ ‫و‬ ‫کند‬‫می‬ ‫بررسی‬ ‫را‬ ‫ها‬‫پیام‬ ‫ی‬‫همه‬ ‫آتش‬ ‫دیواره‬ .‫کنند‬‫می‬ ‫عبور‬ ‫آتش‬ ‫دیواره‬
‫نام‬ ‫به‬ ‫ابزاری‬ ‫از‬ ‫لینوکس‬ ‫عامل‬‫سیستم‬ ‫آتش‬ ‫دیواره‬ ‫تنظیم‬
IPTables
.‫شود‬‫می‬ ‫استفاده‬
Netfilter
‫و‬
IPTables
‫ی‬‫هسته‬ ‫درون‬ ‫افزاری‬‫نرم‬ ‫ساختارهای‬
2.4
.
x
‫ی‬‫هسته‬ ‫و‬
2.6
.
x
.‫داد‬ ‫انجام‬ ‫را‬ ‫ها‬‫بسته‬ ‫اصلح‬ ‫و‬ ‫شبکه‬ ‫آدرس‬ ‫ی‬‫ترجمه‬ ، ‫ها‬‫بسته‬ ‫فیلترکردن‬ ‫توان‬‫می‬ ‫ها‬‫آن‬ ‫کمک‬ ‫به‬ ‫که‬ ‫باشند‬‫می‬
‫آتش‬ ‫دیواره‬
:‫است‬ ‫زیر‬ ‫موارد‬ ‫شامل‬ ‫که‬ ‫دهد‬‫می‬ ‫ارائه‬ ‫سرویس‬ ‫چندین‬ ‫آتش‬ ‫دیواره‬
•
‫آدرس‬ ‫از‬ ‫حفاظت‬
IP
‫های‬‫شبکه‬ ‫مثال‬ ‫عنوان‬ ‫)به‬ ‫مختلف‬ ‫های‬‫شبکه‬ .‫کنند‬‫می‬ ‫عمل‬ ‫مسیریاب‬ ‫یک‬ ‫مانند‬ ‫آتش‬ ‫های‬‫دیواره‬ ‫از‬ ‫بسیاری‬ :‫ترافیک‬ ‫کنترل‬ ‫و‬
192.168.1.1/24
‫و‬
10.100.100.0/24
‫ایجاد‬ ‫به‬ ‫کمک‬ ‫برای‬ ‫ابزار‬ ‫این‬ ‫از‬ ‫فقط‬ ‫شبکه‬ ‫مدیران‬ ‫از‬ ‫بسیاری‬ .‫کنند‬ ‫برقرار‬ ‫ارتباط‬ ‫یکدیگر‬ ‫با‬ ‫توانند‬‫می‬ (
‫از‬ ‫استفاده‬ ‫با‬ ‫و‬ ‫است‬ ‫آتش‬ ‫دیواره‬ ‫اجزای‬ ‫از‬ ‫یکی‬ ‫خصوصیت‬ ‫این‬ .‫کنند‬‫می‬ ‫استفاده‬ ‫اضافی‬ ‫های‬‫زیرشبکه‬
IPTables
‫و‬
IPChains
‫بنابراین‬ .‫است‬ ‫شده‬ ‫کامل‬
‫آدرس‬ ‫یک‬ ‫با‬
IP
‫اما‬ ،‫دهد‬‫نمی‬ ‫انجام‬ ‫را‬ ‫شبکه‬ ‫آدرس‬ ‫ی‬‫ترجمه‬ ‫لزوما‬ ‫آتش‬ ‫دیواره‬ ‫چه‬‫اگر‬ .‫آوریم‬ ‫وجود‬‫به‬ ‫گسترده‬ ‫ی‬‫شبکه‬ ‫یا‬ ‫محلی‬ ‫ی‬‫شبکه‬ ‫یک‬ ‫توانیم‬‫می‬
‫مانند‬ ‫آتش‬ ‫های‬‫دیواره‬ ‫اکثر‬
IPTables
.‫کنند‬‫می‬ ‫فراهم‬ ‫را‬ ‫امکان‬ ‫این‬
•
‫شبکه‬ ‫تفکیک‬
.‫کند‬‫می‬ ‫کمک‬ ‫ترافیک‬ ‫مدیریت‬ ‫در‬ ‫و‬ ‫است‬ ‫ها‬‫شبکه‬ ‫دیگر‬ ‫و‬ ‫شبکه‬ ‫یک‬ ‫بین‬ ‫مرز‬ ‫یک‬ ‫ایجاد‬ ‫برای‬ ‫ابتدایی‬ ‫ابزار‬ ‫یک‬ ‫آتش‬ ‫دیواره‬ :
•
‫سمع‬ ‫استراق‬ ‫و‬ ‫پویشی‬ ، ‫دهی‬‫سرویس‬ ‫از‬ ‫جلوگیری‬ ‫های‬‫حمله‬ ‫برابر‬ ‫در‬ ‫محافظت‬
‫ترافیک‬ ‫که‬ ‫کند‬‫می‬ ‫عمل‬ ‫منفرد‬ ‫نقطه‬ ‫یک‬ ‫عنوان‬ ‫به‬ ‫آتش‬ ‫دیواره‬ :
.‫کند‬‫می‬ ‫کنترل‬ ‫را‬ ‫شبکه‬ ‫از‬ ‫خروجی‬ ‫و‬ ‫ورودی‬
•
‫کردن‬ ‫فیلتر‬
IP
‫دیواره‬ ‫یک‬ ‫کاربرد‬ ‫ترین‬‫شده‬‫شناخته‬ ‫کردن‬ ‫فیلتر‬ .‫دارد‬ ‫پورت‬ ‫و‬ ‫آدرس‬ ‫مبنای‬ ‫بر‬ ‫را‬ ‫اتصال‬ ‫کردن‬‫رد‬ ‫یا‬ ‫پذیرفتن‬ ‫توانایی‬ ‫آتش‬ ‫دیواره‬ :‫پورت‬ ‫و‬
‫اساس‬ ‫بر‬ ‫بلکه‬ ‫ها‬‫بسته‬ ‫مقصد‬ ‫مبنای‬ ‫بر‬ ‫تنها‬ ‫نه‬ ‫و‬ ‫بوده‬ ‫پیچیده‬ ‫بسیار‬ ‫تواند‬‫می‬ ‫و‬ ‫است‬ ‫همراه‬ ‫ها‬‫بسته‬ ‫کردن‬ ‫فیلتر‬ ‫با‬ ‫کردن‬ ‫فیلتر‬ ‫از‬ ‫نوع‬ ‫این‬ .‫است‬ ‫آتش‬
.‫باشد‬ ‫نیز‬ ‫بسته‬ ‫مبدا‬
•
‫بررسی‬ ‫با‬ ‫را‬ ‫ترافیک‬ ‫که‬ ‫است‬ ‫آتش‬ ‫دیواره‬ ‫نوع‬ ‫یک‬ ‫پراکسی‬ ‫ی‬‫دهنده‬‫سرویس‬ ‫کلی‬ ‫طور‬ ‫به‬ :‫محتوا‬ ‫کردن‬ ‫فیلتر‬
URL
.‫کند‬‫می‬ ‫مدیریت‬ ،‫صفحه‬ ‫محتوای‬ ‫و‬
.‫کند‬ ‫مسدود‬ ‫و‬ ‫شناسایی‬ ،‫است‬ ‫مدنظر‬ ‫که‬ ‫محتوایی‬ ‫تواند‬‫می‬ ،‫شود‬ ‫تنظیم‬ ‫درستی‬ ‫به‬ ،‫پراکسی‬ ‫بر‬ ‫مبتنی‬ ‫آتش‬ ‫دیواره‬ ‫اگر‬
•
‫بسته‬ ‫مسیر‬ ‫تعویض‬
‫ی‬‫دهنده‬‫سرویس‬ ‫اگر‬ ‫مثل‬ .‫بفرستد‬ ‫دیگر‬ ‫میزبان‬ ‫یک‬ ‫یا‬ ‫دیگر‬ ‫پورت‬ ‫یک‬ ‫به‬ ‫را‬ ‫ترافیک‬ ‫باید‬ ‫آتش‬ ‫دیواره‬ ‫اوقات‬ ‫بعضی‬ :
Squid
‫روی‬
‫پورت‬ ‫به‬ ‫شده‬ ‫فرستاده‬ ‫ترافیک‬ ‫تمام‬ ‫آتش‬ ‫دیواره‬ ‫کار‬ ‫این‬ ‫با‬ ،‫است‬ ‫شده‬ ‫نصب‬ ‫آتش‬ ‫دیواره‬ ‫از‬ ‫غیر‬ ‫میزبانی‬
80
‫و‬
443
‫های‬‫اتصال‬ ‫در‬ ‫استاندارد‬ ‫های‬‫)پورت‬
HTTP
‫و‬
HTTPS
.‫فرستد‬‫می‬ ‫پراکسی‬ ‫ی‬‫دهنده‬‫سرویس‬ ‫به‬ ‫بیشتر‬ ‫پردازش‬ ‫برای‬ ‫را‬ (
:‫از‬ ‫عبارتند‬ ‫آتش‬ ‫دیواره‬ ‫انواع‬
•
.‫کند‬‫می‬ ‫رد‬ ‫یا‬ ‫قبول‬ ‫را‬ ‫آن‬ ‫کاربر‬ ‫توسط‬ ‫شده‬ ‫تعریف‬ ‫قوانین‬ ‫اساس‬ ‫بر‬ ‫و‬ ‫کند‬‫می‬ ‫نگاه‬ ‫شبکه‬ ‫از‬ ‫شده‬ ‫خارج‬ ‫یا‬ ‫شده‬ ‫وارد‬ ‫بسته‬ ‫هر‬ ‫به‬ :‫بسته‬ ‫فیلترکننده‬
‫جعل‬ ‫برای‬ ‫و‬ ‫بوده‬ ‫مشکل‬ ‫آن‬ ‫پیکربندی‬ ‫اما‬ ‫است‬ ‫شفاف‬ ،‫کاربران‬ ‫برای‬ ‫و‬ ‫کند‬‫می‬ ‫عمل‬ ‫موثر‬ ‫طور‬ ‫به‬ ‫بسته‬ ‫فیلترکننده‬ ‫افزار‬‫نرم‬
IP
.‫است‬ ‫مستعد‬
•
‫کاربرد‬ ‫ی‬‫دروازه‬
‫های‬‫دهنده‬‫سرویس‬ ‫مانند‬ ‫خاص‬ ‫های‬‫کاربرد‬ ‫در‬ :
FTP
‫و‬
Telnet
‫اما‬ ،‫است‬ ‫مفید‬ ‫بسیار‬ ‫افزار‬‫نرم‬ ‫این‬ .‫کند‬‫می‬ ‫اعمال‬ ‫را‬ ‫امنیتی‬ ‫های‬‫مکانیزم‬
.‫شود‬ ‫کارآیی‬ ‫کاهش‬ ‫باعث‬ ‫است‬ ‫ممکن‬
•
‫مدار‬ ‫سطح‬ ‫دروازه‬
‫اتصال‬ ‫یک‬ ‫که‬‫هنگامی‬ :
TCP
‫یا‬
UDP
،‫شود‬‫می‬ ‫برقرار‬ ‫اتصال‬ ‫که‬ ‫ای‬‫لحظه‬ ‫از‬ .‫کند‬‫می‬ ‫اعمال‬ ‫را‬ ‫امنیتی‬ ‫های‬‫مکانیزم‬ ،‫شود‬‫می‬ ‫برقرار‬
)
7
(
.‫شوند‬ ‫مبادله‬ ‫بیشتر‬ ‫کنترل‬ ‫بدون‬ ‫ها‬‫میزبان‬ ‫بین‬ ‫توانند‬‫می‬ ‫ها‬‫بسته‬
•
.‫کند‬‫می‬ ‫پنهان‬ ‫را‬ ‫شبکه‬ ‫واقعی‬ ‫های‬‫آدرس‬ ‫موثری‬ ‫طور‬ ‫به‬ ‫و‬ ‫کند‬‫می‬ ‫مسدود‬ ‫را‬ ‫شبکه‬ ‫از‬ ‫خروجی‬ ‫و‬ ‫ورودی‬ ‫های‬‫پیام‬ ‫ی‬‫کلیه‬ :‫پراکسی‬ ‫ی‬‫دهنده‬‫سرویس‬
‫پایه‬ ‫مفاهیم‬
‫به‬ ‫مربوط‬ ‫متون‬ ‫در‬
IPTables
‫ممکن‬ ‫که‬ ‫روند‬‫می‬ ‫کار‬‫به‬ ‫یکدیگر‬ ‫جای‬ ‫به‬ ‫اصطلحات‬ ‫این‬ ،‫موارد‬ ‫از‬ ‫بسیاری‬ ‫در‬ .‫اند‬‫شده‬ ‫داده‬ ‫توضیح‬ ‫ادامه‬ ‫در‬ ‫که‬ ‫دارد‬ ‫وجود‬ ‫مفاهیمی‬
.‫شود‬ ‫مطالب‬ ‫بدفهمی‬ ‫باعث‬ ‫است‬
Netfilter
‫ابزاری‬ ‫ترین‬‫شده‬‫شناخته‬ .‫رود‬‫می‬ ‫کار‬ ‫به‬ ‫ها‬‫بسته‬ ‫دستکاری‬ ‫و‬ ‫مسدودکردن‬ ‫منظور‬ ‫به‬ ‫و‬ ‫دارد‬ ‫قرار‬ ‫لینوکس‬ ‫ی‬‫هسته‬ ‫در‬ ‫که‬ ‫است‬ ‫ها‬‫قلب‬ ‫از‬ ‫ای‬‫مجموعه‬ ‫حاوی‬ ‫چارچوبی‬
‫از‬ ‫که‬
Netfilter
‫مانند‬ ‫نیز‬ ‫دیگری‬ ‫ابزارهای‬ .‫کند‬‫می‬ ‫فیلتر‬ ‫را‬ ‫ها‬‫بسته‬ ‫که‬ ‫است‬ ‫آتش‬ ‫دیواره‬ ،‫کند‬‫می‬ ‫استفاده‬
NAT
‫استفاده‬ ‫آن‬ ‫از‬ ‫بسته‬ ‫بندی‬‫صف‬ ‫و‬ ‫دار‬‫حالت‬ ‫پیگیری‬ ،
،‫کرد‬ ‫فراهم‬ ‫لینوکس‬ ‫برای‬ ‫را‬ ‫آتش‬ ‫دیواره‬ ‫ابزارهای‬ ‫از‬ ‫ای‬‫مجموعه‬ ‫که‬ ‫ای‬‫پروژه‬ ‫نام‬ ‫همچنین‬ .‫کنند‬‫می‬
Netfilter
‫شدند‬ ‫تهیه‬ ‫پروژه‬ ‫این‬ ‫در‬ ‫که‬ ‫اجزایی‬ ‫اکثر‬ .‫است‬ ‫بوده‬
.‫شدند‬ ‫تهیه‬ ‫نیز‬ ‫هایی‬‫کتابخانه‬ ‫و‬ ‫کاربر‬ ‫فضای‬ ‫ابزارهای‬ ‫از‬ ‫ای‬‫مجموعه‬ ‫اما‬ ‫هستند‬ ‫هسته‬ ‫در‬ ‫بارگذاری‬ ‫قابل‬ ‫های‬‫ماژول‬
IPFilter
‫ی‬‫لیه‬ ‫های‬ ‫سرآیند‬ ‫اساس‬ ‫بر‬ ‫ها‬‫بسته‬ ‫محدودکردن‬ ‫معیار‬ .‫دهد‬‫می‬ ‫انجام‬ ‫را‬ ‫کاربری‬ ‫رابط‬ ‫یک‬ ‫از‬ ‫عبور‬ ‫حین‬ ‫در‬ ‫ها‬‫بسته‬ ‫انتخابی‬ ‫عبوردادن‬ ‫یا‬ ‫مسدودکردن‬
3
)
IPv4،
IPv6
‫ی‬‫لیه‬ ‫و‬ (
4
)
TCP، UDP، ICMP4
.‫است‬ ‫مقصد‬ ‫و‬ ‫مبدا‬ ‫پروتکل‬ ‫و‬ ‫پورت‬ ،‫مقصد‬ ‫و‬ ‫مبدا‬ ‫آدرس‬ ،‫دارد‬ ‫کاربرد‬ ‫همه‬ ‫از‬ ‫بیش‬ ‫که‬ ‫معیاری‬ .‫است‬ (
IPFilter
‫از‬ ‫یکی‬
‫برای‬ ‫ابتدا‬ ‫که‬ ‫است‬ ‫آتش‬ ‫های‬‫دیواره‬ ‫انواع‬
OpenBSD
‫مزایای‬ ‫از‬ ‫برخی‬ ‫ذکر‬ ‫به‬ ‫ادامه‬ ‫در‬ .‫دارد‬ ‫وجود‬ ‫نیز‬ ‫دیگر‬ ‫عامل‬ ‫های‬‫سیستم‬ ‫در‬ ‫اکنون‬ ‫اما‬ ،‫یافت‬ ‫توسعه‬
IPFilter
.‫پردازیم‬‫می‬
•
‫از‬ ‫خاصی‬ ‫انواع‬ ‫به‬ ‫توان‬‫می‬ ،‫است‬ ‫متصل‬ ‫اینترنت‬ ‫مانند‬ ‫خارجی‬ ‫ی‬‫شبکه‬ ‫یک‬ ‫به‬ ‫داخلی‬ ‫های‬‫شبکه‬ ‫و‬ ‫است‬ ‫لینوکس‬ ،‫عامل‬ ‫سیستم‬ ‫که‬‫هنگامی‬ :‫کنترل‬
‫به‬ ‫ها‬‫بسته‬ ‫رفتن‬ ‫از‬ ‫توان‬‫می‬ ‫بنابراین‬ ،‫است‬ ‫مقصد‬ ‫آدرس‬ ‫حاوی‬ ‫ها‬‫بسته‬ ‫سرآیند‬ ،‫مثال‬ ‫برای‬ .‫نمود‬ ‫مسدود‬ ‫را‬ ‫آن‬ ‫از‬ ‫خاصی‬ ‫انواع‬ ‫و‬ ‫داد‬ ‫عبور‬ ‫ی‬‫اجازه‬ ‫ترافیک‬
‫از‬ ‫هایی‬‫آگهی‬ ‫و‬ ‫تبلیغات‬ ،‫وب‬ ‫های‬‫صفحه‬ ‫در‬ ‫دیگر‬ ‫مثالی‬ ‫عنوان‬ ‫به‬ .‫نمود‬ ‫جلوگیری‬ ‫خارجی‬ ‫ی‬‫شبکه‬ ‫از‬ ‫خاصی‬ ‫بخش‬
doubleclick.net
‫و‬ ‫دارند‬ ‫وجود‬
‫به‬ ‫توان‬‫می‬ ،‫کند‬‫می‬ ‫ها‬‫آن‬ ‫بارگذاری‬ ‫صرف‬ ‫را‬ ‫زیادی‬ ‫زمان‬ ‫مرورگر‬
IPFilter
‫از‬ ‫ای‬‫بسته‬ ‫هیچ‬ ‫گفت‬
doubleclick.net
.‫نکند‬ ‫دریافت‬
•
‫داخلی‬ ‫ی‬‫شبکه‬ ‫به‬ ‫وارده‬ ‫ترافیک‬ ‫روی‬ ‫بر‬ ‫باید‬ ‫بنابراین‬ .‫است‬ ‫داخلی‬ ‫منظم‬ ‫ی‬‫شبکه‬ ‫و‬ ‫اینترنت‬ ‫آشفته‬ ‫دنیای‬ ‫بین‬ ‫رابط‬ ‫تنها‬ ‫لینوکس‬ :‫امنیت‬
‫ممکن‬ ‫مثال‬ ‫عنوان‬ ‫به‬ .‫بود‬ ‫نگران‬ ‫باید‬ ‫وارده‬ ‫های‬‫بسته‬ ‫مورد‬ ‫در‬ ‫اما‬ ‫شود‬ ‫خارج‬ ‫شبکه‬ ‫از‬ ‫چیزی‬ ‫چه‬ ‫که‬ ‫نباشد‬ ‫مهم‬ ‫است‬ ‫ممکن‬ .‫کرد‬ ‫اعمال‬ ‫هایی‬‫محدودیت‬
‫طریق‬ ‫از‬ ‫کسی‬ ‫که‬ ‫نخواهید‬ ‫است‬
Telnet
‫دهنده‬‫سرویس‬ ‫یک‬ ‫و‬ ‫کنید‬ ‫استفاده‬ ‫اینترنت‬ ‫از‬ ‫تنها‬ ‫بخواهید‬ ‫است‬ ‫ممکن‬ .‫کند‬ ‫برقرار‬ ‫ارتباط‬ ‫دهنده‬‫سرویس‬ ‫با‬
‫داشتن‬ ‫با‬ ‫کارها‬ ‫این‬ ‫تمامی‬ .‫گیرد‬‫می‬ ‫را‬ ‫اتصالی‬ ‫هرگونه‬ ‫جلوی‬ ‫بنابراین‬ .‫نباشید‬
IPFilter
.‫است‬ ‫پذیر‬‫امکان‬
•
‫مراقبت‬
‫در‬ .‫کند‬‫می‬ ‫ارسال‬ ‫شبکه‬ ‫از‬ ‫خارج‬ ‫به‬ ‫را‬ ‫بسته‬ ‫زیادی‬ ‫تعداد‬ ،‫است‬ ‫شده‬ ‫پیکربندی‬ ‫نامناسبی‬ ‫طور‬ ‫به‬ ‫که‬ ‫محلی‬ ‫ی‬‫شبکه‬ ‫در‬ ‫سیستمی‬ ‫اوقات‬ ‫گاهی‬ :
‫است‬ ‫مناسب‬ ‫جا‬‫این‬
IPFilter
.‫دهد‬ ‫گزارش‬ ‫را‬ ‫غیرطبیعی‬ ‫رویداد‬ ‫هر‬ ‫وقوع‬ ‫که‬ ‫کرد‬ ‫تنظیم‬ ‫طوری‬ ‫را‬
) ‫شبکه‬ ‫آدرس‬ ‫ی‬‫ترجمه‬
NAT
(
‫آدرس‬ ‫یک‬ ‫به‬ ‫نیاز‬ ‫وب‬ ‫دهندگان‬‫سرویس‬ ‫و‬ ‫دیگرکامپیوترها‬ ‫با‬ ‫ارتباط‬ ‫در‬ ‫کامپیوتری‬ ‫هر‬
IP
‫به‬ ‫کاری‬ ‫های‬‫شبکه‬ ‫و‬ ‫خانگی‬ ‫استفاده‬ ‫رشد‬ ‫و‬ ‫اینترنت‬ ‫گسترش‬ ‫با‬ .‫دارد‬
‫های‬‫آدرس‬ ‫تعداد‬ ‫رسد‬‫می‬ ‫نظر‬
IP
‫آدرس‬ ‫قالب‬ ‫مجدد‬ ‫طراحی‬ ،‫ساده‬ ‫حل‬ ‫راه‬ ‫یک‬ .‫نباشد‬ ‫کافی‬ ‫موجود‬
IP
‫را‬ ‫بیشتری‬ ‫های‬‫آدرس‬ ‫تعداد‬ ‫داشتن‬ ‫امکان‬ ‫که‬ ‫است‬
‫جا‬‫این‬ ‫در‬ .‫است‬ ‫اینترنت‬ ‫زیرساخت‬ ‫کل‬ ‫اصلح‬ ‫نیازمند‬ ‫و‬ ‫شود‬ ‫سازی‬‫پیاده‬ ‫حل‬ ‫راه‬ ‫این‬ ‫تا‬ ‫کشد‬‫می‬ ‫طول‬ ‫سال‬ ‫چندین‬ ‫اما‬ ،‫دهد‬‫می‬
NAT
.‫کند‬‫می‬ ‫حل‬ ‫را‬ ‫مشکل‬
NAT
‫یک‬ ‫صورت‬ ‫این‬ ‫در‬ .‫کند‬ ‫عمل‬ ‫مشخص‬ ‫محلی‬ ‫ی‬‫شبکه‬ ‫یک‬ ‫و‬ ‫اینترنت‬ ‫بین‬ ‫رابط‬ ‫عنوان‬ ‫به‬ ‫که‬ ‫دهد‬‫می‬ ‫را‬ ‫امکان‬ ‫این‬ ‫مسیریاب‬ ‫یک‬ ‫مثل‬ ‫منفرد‬ ‫دستگاه‬ ‫یک‬ ‫به‬
IP
‫های‬‫آدرس‬ ‫تعداد‬ ‫کمبود‬ .‫شود‬ ‫استفاده‬ ‫کامپیوتر‬ ‫ی‬‫مجموعه‬ ‫یک‬ ‫برای‬ ‫تواند‬‫می‬ ‫منفرد‬
IP
‫از‬ ‫استفاده‬ ‫دلیل‬ ‫تنها‬
NAT
‫و‬ ‫امنیت‬ ‫برقراری‬ ‫چون‬ ‫دیگری‬ ‫فواید‬ .‫نیست‬
‫از‬ ‫استفاده‬ ‫مزایای‬ ‫از‬ ‫نیز‬ ‫بهتر‬ ‫مدیریت‬
NAT
‫مفهوم‬ .‫است‬
NAT
‫ورود‬ ‫ی‬‫دروازه‬ ‫عنوان‬ ‫به‬ (‫مسیریاب‬ ‫یا‬ ‫کامپیوتر‬ ‫)مثل‬ ‫دستگاه‬ ‫یك‬ ‫که‬ ‫است‬ ‫معنا‬ ‫این‬ ‫به‬ ‫و‬ ‫ساده‬ ‫بسیار‬
‫که‬ ‫دستگاهي‬ ‫آدرس‬ ‫به‬ ‫را‬ ‫کاري‬ ‫هاي‬‫ایستگاه‬ ‫هاي‬‫آدرس‬ ‫کار‬ ‫این‬ ‫با‬ ‫و‬ ‫کند‬‫مي‬ ‫عمل‬ ‫اینترنت‬ ‫به‬
NAT
‫دیگر‬ ‫بیان‬ ‫به‬ ،‫کند‬‫مي‬ ‫ترجمه‬ ‫است‬ ‫فعال‬ ‫آن‬ ‫روي‬
NAT
‫روي‬
‫را‬ ‫شبکه‬ ‫اینترنت‬ ‫دیگر‬ ‫سوي‬ ‫از‬ .‫کند‬‫مي‬ ‫پنهان‬ ‫اینترنت‬ ‫دید‬ ‫از‬ ‫را‬ ‫شبکه‬ ‫کلي‬ ‫طور‬ ‫به‬ ‫و‬ ‫کاري‬ ‫هاي‬‫ایستگاه‬ ‫و‬ ‫شود‬‫می‬ ‫فعال‬ ‫است‬ ‫متصل‬ ‫اینترنت‬ ‫به‬ ‫که‬ ‫دستگاهي‬
.‫باشد‬‫مي‬ ‫متصل‬ ‫اینترنت‬ ‫به‬ ‫که‬ ‫بیند‬‫مي‬ ‫ساده‬ ‫دستگاه‬ ‫یك‬ ‫صورت‬‫به‬
NAT
‫کاري‬ ‫هاي‬‫ایستگاه‬ ‫روي‬ ‫دوباره‬ ‫تنظیمات‬ ‫به‬ ‫نیازي‬ ‫و‬ ‫کند‬‫نمي‬ ‫ایجاد‬ ‫تغییر‬ ‫شبکه‬ ‫روي‬
‫که‬ ‫است‬ ‫دستگاهي‬ ‫آدرس‬ ‫همان‬ ‫که‬ ‫را‬ ‫شبکه‬ ‫از‬ ‫خروجي‬ ‫ی‬‫دروازه‬ ‫آدرس‬ ‫بایست‬‫مي‬ ‫کاري‬ ‫هاي‬‫ایستگاه‬ ‫فقط‬ .‫نیست‬
NAT
.‫بدانند‬ ‫را‬ ‫است‬ ‫شده‬ ‫فعال‬ ‫آن‬ ‫روي‬
)
8
(
IPTables
‫سری‬ ‫از‬ ‫لینوکس‬ ‫ی‬‫هسته‬
1.1
‫داری‬
IPFilter
‫نام‬ ‫به‬ ‫ابزاری‬ ‫از‬ ‫ها‬‫بسته‬ ‫فیلترکردن‬ ‫قوانین‬ ‫تنظیم‬ ‫برای‬ .‫است‬ ‫بوده‬
ipfwadm
‫لینوکس‬ ‫در‬ .‫شد‬‫می‬ ‫استفاده‬
2.2
‫ابزاری‬
‫نام‬ ‫به‬
IPChains
‫لینوکس‬ ‫برای‬ ‫سرانجام‬ ‫و‬ ‫شد‬ ‫معرفی‬
2.4
‫ابزار‬
IPTables
‫حقیقت‬ ‫در‬ .‫شد‬ ‫معرفی‬
IPTables
‫آن‬ ‫به‬ ‫و‬ ‫گوید‬‫می‬ ‫سخن‬ ‫هسته‬ ‫با‬ ‫که‬ ‫است‬ ‫ابزاری‬
‫های‬‫ماژول‬ ‫قوانین‬ ‫دستکاری‬ ‫و‬ ‫ایجاد‬ ‫برای‬ ،‫ها‬‫بسته‬ ‫کردن‬ ‫فیلتر‬ ‫بر‬ ‫علوه‬ .‫کند‬ ‫فیلتر‬ ‫را‬ ‫هایی‬‫بسته‬ ‫چه‬ ‫که‬ ‫گوید‬‫می‬
NAT
‫زیرا‬ ،‫شود‬‫می‬ ‫استفاده‬ ‫نیز‬
NAT
‫طریق‬ ‫از‬ ‫نیز‬
‫قوانین‬ ‫مجموعه‬
IPFilter
‫نام‬ ‫اغلب‬ .‫شود‬‫می‬ ‫پیکربندی‬
IPTables
‫شامل‬ ‫که‬ ‫آتش‬ ‫دیواره‬ ‫زیرساخت‬ ‫کل‬ ‫برای‬
Netfilter
‫و‬ ‫اتصال‬ ‫پیگیری‬ ،
NAT
‫استفاده‬ ،‫است‬
‫اصلی‬ ‫های‬‫ویژگی‬ .‫شود‬‫می‬
IPTables
:‫از‬ ‫عبارتند‬
•
‫بسته‬ ‫فیلتر‬ ‫قوانین‬ ‫ی‬‫مجموعه‬ ‫ی‬‫کلیه‬ ‫کردن‬‫فهرست‬
•
‫بسته‬ ‫فیلتر‬ ‫قوانین‬ ‫ی‬‫مجموعه‬ ‫در‬ ‫قوانین‬ ‫اصلح‬ /‫کردن‬ ‫کم‬ /‫افزودن‬
•
‫بسته‬ ‫فیلتر‬ ‫قوانین‬ ‫ی‬‫مجموعه‬ ‫در‬ ‫قانون‬ ‫هر‬ ‫های‬‫شمارنده‬ ‫کردن‬ ‫صفر‬ /‫فهرست‬
‫که‬ ‫این‬ ‫دلیل‬ ‫به‬
IPTables
‫کاربر‬ ‫توسط‬ ‫حتما‬ ‫باید‬ ،‫دارد‬ ‫نیاز‬ ‫اجرا‬ ‫برای‬ ‫خاصی‬ ‫امتیازات‬ ‫به‬
root
‫لینوکس‬ ‫های‬‫سیستم‬ ‫اکثر‬ ‫در‬ .‫شود‬ ‫اجرا‬
IPTables
‫ی‬‫شاخه‬ ‫در‬
usr/sbin/iptables
‫دستور‬ ‫اجرای‬ ‫با‬ ‫و‬ ‫شود‬‫می‬ ‫نصب‬
man iptables
‫ی‬‫پروژه‬ .‫کرد‬ ‫پیدا‬ ‫دسترسی‬ ‫آن‬ ‫به‬ ‫مربوط‬ ‫مستندات‬ ‫به‬ ‫توان‬‫می‬
netfilter/IPTables
‫سال‬ ‫در‬
1998
‫توسط‬ ‫میلدی‬
Rusty Russell
‫ی‬‫دهنده‬‫توسعه‬ ‫که‬
IPChains
‫تیم‬ ،‫پروژه‬ ‫پیشرفت‬ ‫با‬ .‫شد‬ ‫شروع‬ ‫بود‬ ‫نیز‬
Netfilter
‫شده‬ ‫داده‬ ‫توسعه‬ ‫افزار‬‫نرم‬ .‫گرفت‬ ‫شکل‬
‫لیسانس‬ ‫تحت‬ ‫ها‬‫آن‬ ‫توسط‬
GNU/GPL
‫چارچوب‬ .‫است‬
Xtables
‫هر‬ .‫هستند‬ ‫قوانین‬ ‫از‬ ‫هایی‬‫زنجیره‬ ‫شامل‬ ‫که‬ ‫دهد‬‫می‬ ‫را‬ ‫هایی‬‫جدول‬ ‫تعریف‬ ‫امکان‬ ‫سیستم‬ ‫مدیر‬ ‫به‬
‫یک‬ .‫شوند‬‫می‬ ‫پردازش‬ ‫ها‬‫زنجیره‬ ‫پیمایش‬ ‫با‬ ‫ها‬‫بسته‬ .‫دارد‬ ‫سروکار‬ ،‫بسته‬ ‫پردازش‬ ‫از‬ ‫خاصی‬ ‫نوع‬ ‫با‬ ‫جدول‬ ‫هر‬ .‫شود‬ ‫برخورد‬ ‫چگونه‬ ‫بسته‬ ‫با‬ ‫که‬ ‫کند‬‫می‬ ‫مشخص‬ ‫قانون‬
‫حداقل‬ ‫شبکه‬ ‫از‬ ‫خروجی‬ ‫یا‬ ‫ورودی‬ ‫بسته‬ ‫هر‬ .‫باشد‬ ‫داشته‬ ‫ادامه‬ ‫تواند‬‫می‬ ‫جایی‬ ‫هر‬ ‫تا‬ ‫روند‬ ‫این‬ ‫و‬ ‫بفرستد‬ ‫دیگری‬ ‫زنجیره‬ ‫به‬ ‫را‬ ‫بسته‬ ‫یک‬ ‫تواند‬‫می‬ ‫زنجیره‬ ‫یک‬ ‫در‬ ‫قانون‬
‫انتهای‬ ‫به‬ ‫که‬ ‫ای‬‫بسته‬ ‫مثال‬ ‫برای‬ .‫دارند‬ ‫هایی‬‫سیاست‬ ‫توکار‬ ‫جداول‬ .‫بپیماید‬ ‫را‬ ‫ای‬‫زنجیره‬ ‫چه‬ ‫ابتدا‬ ‫در‬ ‫که‬ ‫کند‬‫می‬ ‫مشخص‬ ‫بسته‬ ‫منبع‬ .‫پیماید‬‫می‬ ‫را‬ ‫زنجیره‬ ‫یک‬
‫انتهای‬ ‫به‬ ‫ای‬‫بسته‬ ‫اگر‬ ‫و‬ ‫است‬ ‫نشده‬ ‫تعریف‬ ‫سیاست‬ ‫ها‬‫زنجیره‬ ‫این‬ ‫برای‬ .‫کند‬ ‫ایجاد‬ ‫زنجیره‬ ‫دلخواه‬ ‫تعداد‬ ‫به‬ ‫تواند‬‫می‬ ‫سیستم‬ ‫مدیر‬ .‫شود‬‫می‬ ‫حذف‬ ،‫برسد‬ ‫زنجیره‬
‫همچنین‬ .‫یابد‬‫می‬ ‫انطباق‬ ‫خاصی‬ ‫های‬‫بسته‬ ‫انواع‬ ‫با‬ ‫زنجیره‬ ‫یک‬ ‫در‬ ‫قانون‬ ‫هر‬ .‫گردد‬‫می‬ ‫باز‬ ،‫است‬ ‫کرده‬ ‫فراخوانی‬ ‫را‬ ‫آن‬ ‫که‬ ‫ای‬‫زنجیره‬ ‫به‬ ‫دوباره‬ ،‫برسد‬ ‫ها‬‫زنجیره‬ ‫گونه‬‫این‬
‫به‬ ‫بسته‬ ،‫نکند‬ ‫پیدا‬ ‫انطباق‬ ‫بسته‬ ‫با‬ ‫قانون‬ ‫اگر‬ .‫کند‬‫می‬ ‫بررسی‬ ‫را‬ ‫آن‬ ،‫قانون‬ ‫هر‬ ،‫پیماید‬‫می‬ ‫را‬ ‫زنجیره‬ ‫یک‬ ‫ای‬‫بسته‬ ‫وقتی‬ .‫باشد‬ ‫داشته‬ ‫هدف‬ ‫یک‬ ‫است‬ ‫ممکن‬ ‫قانون‬
‫زنجیره‬ ‫در‬ ‫پیوسته‬ ‫پیمایش‬ ‫به‬ ‫بسته‬ .‫شود‬‫می‬ ‫برخورد‬ ‫بسته‬ ‫با‬ ‫شده‬ ‫مشخص‬ ‫هدف‬ ‫در‬ ‫چه‬‫آن‬ ‫طبق‬ ،‫یابد‬ ‫انطباق‬ ‫بسته‬ ‫با‬ ‫قانون‬ ‫اگر‬ ‫و‬ ‫شود‬‫می‬ ‫فرستاده‬ ‫بعدی‬ ‫قانون‬
‫یا‬ (‫شود‬‫می‬ ‫حذف‬ ‫یا‬ ‫قبول‬ ‫بسته‬ ‫)مثل‬ ‫شود‬‫می‬ ‫گرفته‬ ‫تصمیم‬ ‫بسته‬ ‫نهایی‬ ‫سرنوشت‬ ‫مورد‬ ‫در‬ ‫صورت‬ ‫این‬ ‫در‬ ‫که‬ ‫یابد‬ ‫انطباق‬ ‫بسته‬ ‫آن‬ ‫با‬ ‫قانون‬ ‫یک‬ ‫تا‬ ‫دهد‬‫می‬ ‫ادامه‬
.‫برسد‬ ‫زنجیره‬ ‫انتهای‬ ‫به‬ ‫بسته‬ ‫یا‬ ‫بازگردد‬ ‫فراخواننده‬ ‫ی‬‫زنجیره‬ ‫به‬ ‫بسته‬ ‫و‬ ‫کند‬ ‫فراخوانی‬ ‫را‬ ‫بازگشت‬ ‫هدف‬ ،‫قانون‬ ‫یک‬
‫اصطلحات‬ ‫و‬ ‫عبارات‬
IPTables
.‫شوند‬‫می‬ ‫داده‬ ‫شرح‬ ،‫هستند‬ ‫لزم‬ ‫بعدی‬ ‫مطالب‬ ‫درک‬ ‫برای‬ ‫و‬ ‫دارند‬ ‫را‬ ‫کاربرد‬ ‫بیشترین‬ ‫که‬ ‫اصطلحاتی‬ ‫و‬ ‫عبارات‬ ‫از‬ ‫تعدادی‬ ،‫بخش‬ ‫این‬ ‫ادامه‬ ‫در‬
‫انطباق‬
–
‫تقدم‬
:
-- ‫انطباق‬ ‫مثل‬ .‫باشد‬ ‫اطلعاتی‬ ‫چه‬ ‫محتوی‬ ‫باید‬ ‫سرآیند‬ ‫یک‬ ‫که‬ ‫گوید‬‫می‬ ‫قانون‬ ‫یک‬ ‫به‬ ‫که‬ ‫منفرد‬ ‫انطباق‬ ‫یک‬ :‫اول‬ ‫معنی‬ .‫رود‬‫می‬ ‫کار‬‫به‬ ‫مختلف‬ ‫معنی‬ ‫دو‬ ‫با‬ ‫کلمه‬ ‫این‬
source
:‫دوم‬ ‫معنی‬ .‫است‬ ‫شده‬ ‫تشکیل‬ ‫انطباق‬ ‫چندین‬ ‫یا‬ ‫یک‬ ‫از‬ ‫قانون‬ ‫هر‬ .‫باشد‬ ‫شبکه‬ ‫از‬ ‫خاصی‬ ‫محدوده‬ ‫یا‬ ‫خاص‬ ‫میزبان‬ ‫یک‬ ‫باید‬ ‫منبع‬ ‫آدرس‬ ‫که‬ ‫گوید‬‫می‬ ‫ما‬ ‫به‬
:‫اند‬‫شده‬ ‫آورده‬ ‫ادامه‬ ‫در‬ ‫ها‬‫انطباق‬ ‫پرکاربردترین‬ ‫از‬ ‫نمونه‬ ‫چند‬ .‫است‬ ‫یافته‬ ‫انطباق‬ ‫قانون‬ ‫با‬ ‫بسته‬ ‫گوییم‬‫می‬ ‫کند‬ ‫صدق‬ ‫بسته‬ ‫یک‬ ‫مورد‬ ‫در‬ ‫قانون‬ ‫یک‬ ‫کل‬ ‫اگر‬
•
--)
source (-s
‫آدرس‬ ‫یک‬ :
IP
.‫دهد‬‫می‬ ‫انطباق‬ ‫را‬ ‫شبکه‬ ‫یا‬ ‫مبدا‬
•
--)
destination (-d
‫آدرس‬ ‫یک‬ :
IP
.‫دهد‬‫می‬ ‫انطباق‬ ‫را‬ ‫شبکه‬ ‫یا‬ ‫مقصد‬
•
--)
protocol (-p
‫یک‬ ‫روی‬ :
IP
.‫دهد‬‫می‬ ‫انجام‬ ‫انطباق‬
•
--)
in-interface (-i
.‫کند‬‫می‬ ‫ایجاد‬ ‫ورودی‬ ‫رابط‬ ‫یک‬ :
•
interface
.‫کند‬‫می‬ ‫ایجاد‬ ‫خروجی‬ ‫رابط‬ ‫یک‬ :
•
--
state
.‫دهد‬‫می‬ ‫انطباق‬ ‫اتصال‬ ‫حالت‬ ‫از‬ ‫ای‬‫مجموعه‬ ‫روی‬ :
•
--
string
.‫دهد‬‫می‬ ‫انجام‬ ‫انطباق‬ ،‫کاربردی‬ ‫ی‬‫لیه‬ ‫داده‬ ‫های‬‫بایت‬ ‫از‬ ‫ای‬‫رشته‬ ‫روی‬ :
‫قانون‬
)
rule
(
:
‫های‬‫سازی‬‫پیاده‬ ‫اکثر‬ ‫در‬ ‫که‬ ‫است‬ ‫هدف‬ ‫یک‬ ‫همراه‬ ‫به‬ ‫انطباق‬ ‫چندین‬ ‫یا‬ ‫یک‬ ‫از‬ ‫ای‬‫مجموعه‬
IPTables
‫از‬ ‫بعضی‬ ‫در‬ .‫است‬ ‫انطباق‬ ‫چندین‬ ‫از‬ ‫ای‬‫مجموعه‬ ‫قانون‬ ‫یک‬ ،
.‫باشیم‬ ‫داشته‬ ‫قانون‬ ‫هر‬ ‫برای‬ ‫هدف‬ ‫چندین‬ ‫توانیم‬‫می‬ ‫ها‬‫سازی‬‫پیاده‬
)
9
(
‫قوانین‬ ‫ی‬‫مجموعه‬
:
‫سازی‬‫پیاده‬ ‫در‬ ‫قوانین‬ ‫از‬ ‫ای‬‫مجموعه‬
IPTables
.‫شوند‬‫می‬ ‫نوشته‬ ‫پیکربندی‬ ‫فایل‬ ‫یک‬ ‫در‬ ‫قوانین‬ ‫ی‬‫مجموعه‬ .‫باشد‬‫می‬
‫پرش‬
:
jump
‫دستورالعمل‬
JUMP
‫اگر‬ .‫شود‬‫می‬ ‫نوشته‬ ‫دیگر‬ ‫ی‬‫زنجیره‬ ‫یک‬ ‫نام‬ ،‫هدف‬ ‫نام‬ ‫نوشتن‬ ‫جای‬ ‫به‬ ‫که‬ ‫تفاوت‬ ‫این‬ ‫با‬ .‫شود‬‫می‬ ‫نوشته‬ ‫آن‬ ‫مانند‬ ‫دقیقا‬ ‫و‬ ‫است‬ ‫هدف‬ ‫یک‬ ‫مانند‬
.‫شود‬‫می‬ ‫پردازش‬ ‫آن‬ ‫در‬ ‫و‬ ‫شود‬‫می‬ ‫فرستاده‬ ‫بعدی‬ ‫ی‬‫زنجیره‬ ‫به‬ ‫بسته‬ ،‫داشت‬ ‫انطباق‬ ‫قانون‬
‫هدف‬
:
target
‫باید‬ ‫که‬ ‫کند‬‫می‬ ‫مشخص‬ ‫هدف‬ ‫تعریف‬ ،‫کند‬ ‫پیدا‬ ‫انطباق‬ ‫کامل‬ ‫طور‬ ‫به‬ ‫قانون‬ ‫کل‬ ‫اگر‬ .‫دارد‬ ‫هدف‬ ‫ی‬‫مجموعه‬ ‫یک‬ ‫قوانین‬ ‫ی‬‫مجموعه‬ ‫در‬ ‫موجود‬ ‫قانون‬ ‫هر‬ ‫کلی‬ ‫طور‬ ‫به‬
‫آدرس‬ ‫یا‬ ‫و‬ ‫حذف‬ ،‫قبول‬ ‫را‬ ‫آن‬ ‫باید‬ ‫که‬ ‫گوید‬‫می‬ ‫مثل‬ .‫کرد‬ ‫چه‬ ‫بسته‬ ‫با‬
IP
‫در‬ .‫باشد‬ ‫نداشته‬ ‫یا‬ ‫باشد‬ ‫داشته‬ ‫هدف‬ ‫یا‬ ‫پرش‬ ‫است‬ ‫ممکن‬ ‫قانون‬ ‫یک‬ .‫کرد‬ ‫ترجمه‬ ‫را‬ ‫آن‬
:‫است‬ ‫شده‬ ‫آورده‬ ‫پرکاربرد‬ ‫هدف‬ ‫چند‬ ‫ادامه‬
•
ACCEPT
.‫دهد‬ ‫ادامه‬ ‫خود‬ ‫راه‬ ‫به‬ ‫که‬ ‫دهد‬‫می‬ ‫اجازه‬ ‫بسته‬ ‫یک‬ ‫به‬ :
•
DROP
.‫شود‬‫نمی‬ ‫انجام‬ ‫آن‬ ‫روی‬ ‫دیگری‬ ‫پردازش‬ ‫هیچ‬ ‫و‬ ‫کند‬‫می‬ ‫حذف‬ ‫را‬ ‫بسته‬ ‫یک‬ :
•
LOG
‫در‬ ‫را‬ ‫بسته‬ ‫یک‬ :
syslog
.‫کند‬‫می‬ ‫ثبت‬
•
REJECT
.‫کند‬‫می‬ ‫ارسال‬ ،‫مناسب‬ ‫پاسخ‬ ‫یک‬ ‫همزمان‬ ‫و‬ ‫کند‬‫می‬ ‫حذف‬ ‫را‬ ‫بسته‬ ‫یک‬ :
•
RETURN
.‫شود‬‫می‬ ‫فراخواننده‬ ‫ی‬‫زنجیره‬ ‫در‬ ‫بسته‬ ‫یک‬ ‫پردازش‬ ‫ادامه‬ ‫باعث‬ :
‫جدول‬
:
table
‫در‬ ‫و‬ ‫دارد‬ ‫خاصی‬ ‫هدف‬ ‫جدول‬ ‫هر‬
IPTables
‫جداول‬ :‫دارد‬ ‫وجود‬ ‫جدول‬ ‫پنج‬ ،
Filter، Nat، Raw
‫و‬
Mangle
‫و‬.
security
‫جدول‬ ،‫مثال‬ ‫عنوان‬ ‫به‬
Filter
‫منظور‬ ‫به‬
‫جدول‬ ‫و‬ ‫است‬ ‫شده‬ ‫طراحی‬ ‫ها‬‫بسته‬ ‫کردن‬ ‫فیلتر‬
Nat
‫آدرس‬ ‫ی‬‫ترجمه‬ ‫برای‬ ‫فقط‬
IP
.‫شود‬‫می‬ ‫استفاده‬ ‫ها‬‫بسته‬
‫اتصال‬ ‫پیگیری‬
:
‫های‬‫ویژگی‬ ‫ترین‬‫مهم‬ ‫از‬ ‫یکی‬
Netfilter
‫و‬ ‫کند‬ ‫پیگیری‬ ‫را‬ ‫ها‬‫جلسه‬ ‫یا‬ ‫شبکه‬ ‫های‬‫اتصال‬ ‫کلیه‬ ‫که‬ ‫دهد‬‫می‬ ‫هسته‬ ‫به‬ ‫را‬ ‫امکان‬ ‫این‬ ‫اتصال‬ ‫پیگیری‬ .‫است‬ ‫اتصال‬ ‫پیگیری‬
.‫کند‬ ‫مرتبط‬ ‫هم‬ ‫به‬ ،‫دهند‬‫می‬ ‫تشکیل‬ ‫را‬ ‫اتصال‬ ‫یک‬ ‫هم‬ ‫با‬ ‫که‬ ‫هایی‬‫بسته‬ ‫کلیه‬ ‫وسیله‬‫بدین‬
NAT
‫و‬ ‫دارد‬ ‫نیاز‬ ‫هم‬ ‫به‬ ‫مرتبط‬ ‫های‬‫بسته‬ ‫ی‬‫ترجمه‬ ‫برای‬ ‫اطلعات‬ ‫این‬ ‫به‬
IPTables
‫زیر‬ ‫شرح‬ ‫به‬ ‫مختلف‬ ‫های‬‫حالت‬ ‫به‬ ‫را‬ ‫بسته‬ ‫هر‬ ،‫اتصال‬ ‫پیگیری‬ .‫کند‬ ‫عمل‬ ‫دار‬‫حالت‬ ‫آتش‬ ‫دیواره‬ ‫یک‬ ‫مانند‬ ‫و‬ ‫کند‬ ‫استفاده‬ ‫اطلعات‬ ‫این‬ ‫از‬ ‫تواند‬‫می‬
:‫کند‬‫می‬ ‫بندی‬‫طبقه‬
•
‫جدید‬
.‫جدید‬ ‫اتصال‬ ‫یک‬ ‫ی‬‫بسته‬ ‫اولین‬ :
•
‫شده‬‫برقرار‬
.‫دارد‬ ‫وجود‬ ‫که‬ ‫است‬ ‫اتصالی‬ ‫از‬ ‫قسمتی‬ ‫که‬ ‫ای‬‫بسته‬ :
•
‫وابسته‬
.‫است‬ ‫مرتبط‬ ‫موجود‬ ‫اتصال‬ ‫یک‬ ‫به‬ ‫اتصال‬ ‫این‬ ‫و‬ ‫است‬ ‫کرده‬ ‫شروع‬ ‫را‬ ‫جدید‬ ‫اتصال‬ ‫یک‬ ‫که‬ ‫ای‬‫بسته‬ :
•
‫نامعتبر‬
.‫نیست‬ ‫ای‬‫شده‬‫شناخته‬ ‫اتصال‬ ‫هیچ‬ ‫از‬ ‫قسمتی‬ :
•
‫ردیابی‬ ‫عدم‬
.‫ندهد‬ ‫انجام‬ ‫خاص‬ ‫بسته‬ ‫یک‬ ‫برای‬ ‫را‬ ‫اتصال‬ ‫پیگیری‬ ‫تا‬ ‫شود‬‫می‬ ‫داده‬ ‫نسبت‬ ‫بسته‬ ‫یک‬ ‫به‬ ‫مدیر‬ ‫توسط‬ ‫که‬ ‫است‬ ‫خاصی‬ ‫حالت‬ :
‫زنجیره‬
:
chain
‫ی‬‫مجموعه‬ ‫یک‬ ‫جدول‬ ‫هر‬ .‫دارد‬ ‫خاص‬ ‫هدف‬ ‫یک‬ ‫زنجیره‬ ‫هر‬ .‫شود‬‫می‬ ‫اعمال‬ ،‫پیمایند‬‫می‬ ‫را‬ ‫زنجیره‬ ‫که‬ ‫هایی‬‫بسته‬ ‫روی‬ ‫بر‬ ‫که‬ ‫است‬ ‫قانون‬ ‫ی‬‫مجموعه‬ ‫یک‬ ‫زنجیره‬ ‫یک‬
.‫کند‬ ‫تعریف‬ ‫را‬ ‫هایی‬‫زنجیره‬ ‫تواند‬‫می‬ ‫نیز‬ ‫کاربر‬ ‫اما‬ ‫دارد‬ ‫توکار‬ ‫زنجیره‬
‫از‬ ‫عبارتند‬ ‫توکار‬ ‫های‬‫زنجیره‬ ‫ترین‬‫مهم‬
INPUT، OUTPUT
‫و‬
FORWARD
•
INPUT
‫انجام‬ ‫ها‬‫آن‬ ‫مسیریابی‬ ‫عمل‬ ‫هسته‬ ‫در‬ ‫که‬‫این‬ ‫از‬ ‫بعد‬ ‫البته‬ .‫شوند‬‫می‬ ‫وارد‬ ‫محلی‬ ‫ی‬‫شبکه‬ ‫به‬ ‫که‬ ‫شود‬‫می‬ ‫پیمایش‬ ‫هایی‬‫بسته‬ ‫توسط‬ ‫زنجیره‬ ‫این‬ :
.‫شود‬
•
OUTPUT
.‫شوند‬‫می‬ ‫تولید‬ ‫لینوکس‬ ‫سیستم‬ ‫در‬ ‫که‬ ‫است‬ ‫هایی‬‫بسته‬ ‫برای‬ :
•
FORWARD
‫در‬ ‫که‬ ‫شوند‬ ‫مسیریابی‬ ‫آتش‬ ‫دیواره‬ ‫در‬ ‫باید‬ ‫ها‬‫بسته‬ ،‫شود‬‫می‬ ‫استفاده‬ ‫دیگر‬ ‫ی‬‫شبکه‬ ‫به‬ ‫شبکه‬ ‫یک‬ ‫کردن‬‫متصل‬ ‫برای‬ ‫آتش‬ ‫دیواره‬ ‫وقتی‬ :
.‫رود‬‫می‬ ‫کار‬‫به‬ ‫زنجیره‬ ‫این‬ ‫مورد‬ ‫این‬
)
10
(
‫از‬ ‫عبارتند‬ ‫دیگر‬ ‫ی‬‫زنجیره‬ ‫دو‬
PREROUTING
‫و‬
POSTROUTING
.‫دهند‬‫می‬ ‫انجام‬ ،‫هسته‬ ‫توسط‬ ‫مسیریابی‬ ‫عمل‬ ‫از‬ ‫بعد‬ ‫و‬ ‫قبل‬ ‫را‬ ‫ها‬‫بسته‬ ‫سرآیند‬ ‫اصلح‬ ‫که‬
)
11
(
)
12
(
: ‫گفت‬ ‫میتوان‬ ‫چنین‬ ‫کلی‬ ‫طور‬ ‫به‬
Rule
‫برای‬ ‫که‬ ‫است‬ ‫دستوری‬ ‫دربرگیرنده‬ ،‫قانون‬ ‫یا‬
.‫رود‬ ‫بکار‬ ‫باید‬ ‫آن‬ ‫روی‬ ‫بر‬ ‫کار‬ ‫یک‬ ‫وانجام‬ ‫ها‬ ‫بسته‬ ‫انتخاب‬
‫مبدأ‬ ‫از‬ ‫شده‬ ‫ارسال‬ ‫های‬ ‫بسته‬ ‫تمام‬ :‫مثل‬
۱۹۲.۱۶۸.۰.۱
‫آدرس‬ ‫یا‬ .‫شوند‬ ‫حذف‬
IP
‫شده‬ ‫ارسال‬ ‫های‬ ‫بسته‬ ‫تمام‬ ‫مبدا‬
‫کامپیوتر‬ ‫از‬
۱۹۲.۱۶۸.۰.۵
‫به‬
۸۰.۴۰.۵۰.۶۰
.‫یابد‬ ‫تغییر‬
Chain
‫مثل‬ .‫باشد‬ ‫می‬ ‫قوانین‬ ‫از‬ ‫ای‬ ‫مجموعه‬ ،‫زنجیر‬ ‫یا‬
‫یک‬ ‫تشکیل‬ ‫یکدیگر‬ ‫با‬ ‫توانند‬ ‫می‬ ‫بال‬ ‫قانون‬ ‫دو‬
chain
‫نام‬ ‫به‬
. testchain
‫را‬
‫بدهند‬
)
13
(
: ‫خلصه‬
‫واقع‬‫در‬
Netfilter
‫و‬
IPTables
‫کرنل‬ ‫درون‬ ‫افزاری‬ ‫نرم‬ ‫ساختاری‬
2.4
.
x
‫کرنل‬ ‫و‬
2.6
.
x
‫بتوان‬ ‫آن‬ ‫کمک‬ ‫به‬ ‫شود‬ ‫می‬ ‫باعث‬ ‫که‬ ‫باشد‬ ‫می‬
packet filtering
)
‫فیلتر‬
‫معرفی‬ ‫پرتکل‬ ‫های‬ ‫بسته‬ ‫کردن‬
(
،
NAT
)
‫شبکه‬ ‫آدرس‬ ‫ترجمه‬
(
‫ها‬ ‫بسته‬ ‫به‬ ‫مربوط‬ ‫اعمال‬ ‫سایر‬ ‫و‬
)
mangle
(
‫داد‬ ‫انجام‬ ‫را‬
.
‫ها‬ ‫بسته‬
)
Packet
(
‫مدل‬ ‫شبکه‬ ‫لیه‬ ‫در‬ ‫که‬ ‫است‬ ‫پروتکلی‬ ‫داده‬ ‫واحد‬ ،
OSI
‫باشد‬ ‫می‬ ‫عمل‬ ‫حال‬ ‫در‬
" .
‫پروتکل‬ ‫داده‬ ‫واحد‬
"
‫مخفف‬ ‫کلمه‬ ‫با‬
PDU
‫از‬ ‫که‬
‫عبارت‬
Protocol Data Unit
‫شود‬ ‫می‬ ‫داده‬ ‫نشان‬ ،‫باشد‬ ‫می‬
.
PDU
‫متفاوت‬ ‫های‬ ‫لیه‬ ‫در‬ ‫و‬ ‫مختلف‬ ‫های‬ ‫پروتکل‬ ‫برای‬ ‫ها‬
OSI
‫دارد‬ ‫تفاوت‬ ‫یکدیگر‬ ‫با‬
.
‫مثل‬
PDU
)
‫پروتکل‬ ‫داده‬ ‫واحد‬ ‫یعنی‬
(
‫لیه‬ ‫در‬
2
‫لیه‬ ‫در‬ ‫حالیکه‬ ‫در‬ ‫باشد‬ ‫می‬ ‫فریم‬ ،
3
‫است‬ ‫بسته‬ ،
.
‫اصطلح‬ ‫اوقات‬ ‫گاهی‬
PDU
‫گردد‬ ‫می‬ ‫شبکه‬ ‫دنیای‬ ‫به‬ ‫واردان‬ ‫تازه‬ ‫سردرگمی‬ ‫باعث‬
.
‫گویند‬ ‫می‬ ‫وقتی‬ ‫مثل‬
PDU
‫رسانه‬ ‫روی‬ ‫بر‬ ‫حرکت‬ ‫حال‬ ‫در‬
)
‫سیم‬
(
‫در‬ ‫یا‬ ‫و‬
‫است‬ ‫فریم‬ ‫منظور‬ ،‫دوم‬ ‫لیه‬
.
‫سوم‬ ‫لیه‬ ‫به‬ ‫مربوط‬ ‫که‬ ‫ها‬ ‫بسته‬
)
‫یعنی‬
Network
(
‫گیرند‬ ‫می‬ ‫قرار‬ ‫ها‬ ‫فریم‬ ‫درون‬ ،‫باشند‬ ‫می‬
.
‫بسته‬ ‫یک‬ ‫ساختار‬ ‫با‬ ‫صورتیکه‬ ‫در‬
‫بپردازیم‬ ‫ها‬ ‫بسته‬ ‫بین‬ ‫از‬ ‫انتخاب‬ ‫به‬ ،‫خاص‬ ‫قوانینی‬ ‫کمک‬ ‫به‬ ‫و‬ ‫محتویات‬ ‫این‬ ‫براساس‬ ‫و‬ ‫کرده‬ ‫وارسی‬ ‫آنرا‬ ‫محتویات‬ ‫توانیم‬ ‫می‬ ،‫باشیم‬ ‫آشنا‬
.
‫مهم‬ ‫وظایف‬ ‫از‬ ‫یکی‬
IPTables
‫قوانین‬ ‫براساس‬ ‫که‬ ‫باشد‬ ‫می‬ ‫همیم‬ ‫نیز‬
)
rule
(
‫را‬ ‫دیگر‬ ‫گروهی‬ ‫عبور‬ ‫جلوی‬ ‫یا‬ ‫و‬ ‫بدهد‬ ‫عبور‬ ‫اجازه‬ ‫بعضی‬ ‫به‬ ‫و‬ ‫کرده‬ ‫بررسی‬ ‫را‬ ‫ها‬ ‫بسته‬ ‫محتویات‬ ،
‫بگیرد‬
.
IPTables
‫است‬ ‫افزار‬ ‫نرم‬ ‫یک‬
.
‫خانواده‬ ‫تر‬ ‫قدیمی‬ ‫های‬ ‫نسخه‬ ‫با‬ ‫که‬ ‫کسانی‬
Linux
‫مانند‬
Read Hat 7.x
،‫اند‬ ‫داشته‬ ‫سروکار‬
IPChain
‫آورند‬ ‫می‬ ‫خاطر‬ ‫به‬ ‫را‬
.
IPChain
‫بزرگ‬ ‫پدر‬ ‫نوعی‬ ‫به‬ ‫که‬ ‫است‬ ‫قدیم‬ ‫فایروال‬ ‫یک‬
IPTable
‫گردد‬ ‫می‬ ‫محسوب‬
!
IPTables
‫کمک‬ ‫به‬
Netfilter
‫نوشت‬ ‫را‬ ‫قوانین‬ ‫توان‬ ‫می‬ ‫آن‬ ‫توسط‬ ‫که‬ ‫است‬ ‫فرمانی‬ ‫خط‬ ‫خاص‬ ‫دستورات‬ ‫از‬ ‫ای‬ ‫مجموعه‬ ‫دارای‬ ‫و‬ ‫است‬ ‫شده‬ ‫ساخته‬
.
‫مثل‬
‫آدرس‬ ‫با‬ ‫کامپیوتر‬ ‫از‬ ‫ها‬ ‫بسته‬ ‫اگر‬ ‫گوییم‬ ‫می‬ ‫قوانین‬ ‫این‬ ‫طبق‬
IP، 192.168.0.1
‫کن‬ ‫حذف‬ ‫را‬ ‫آنها‬ ،‫بود‬
!
•
NAT
‫مخفف‬ ‫که‬
Network Address Translation
‫معنی‬ ‫به‬ ‫و‬ ‫باشد‬ ‫می‬
"
‫شبکه‬ ‫آدرس‬ ‫ترجمه‬
"
‫انتقال‬ ‫برای‬ ،‫گردد‬ ‫می‬ ‫باعث‬ ‫که‬ ‫است‬ ‫استانداردی‬ ،‫است‬
‫آدرس‬ ‫مجموعه‬ ‫یک‬ ‫از‬ ‫داخلی‬ ‫شبکه‬ ‫روی‬ ‫بر‬ ‫داده‬ ‫های‬ ‫بسته‬
IP
‫های‬ ‫آدرس‬ ‫از‬ ‫دیگری‬ ‫مجموعه‬ ‫از‬ ‫خارجی‬ ‫ترافیک‬ ‫برای‬ ‫و‬
IP
‫شود‬ ‫استفاده‬
.
‫شکل‬ ‫در‬
1
،
‫آدرس‬ ‫کننده‬ ‫ترجمه‬ ‫وسیله‬ ‫یک‬ ‫نقش‬ ‫تواند‬ ‫می‬ ،‫خارجی‬ ‫و‬ ‫داخلی‬ ‫شبکه‬ ‫دو‬ ‫بین‬ ‫موجود‬ ‫کامپیوتر‬
IP
‫یا‬
NAT
‫کند‬ ‫بازی‬ ‫را‬
.
‫های‬ ‫آدرس‬ ،‫کامپیوتر‬ ‫این‬
IP
‫های‬ ‫آدرس‬ ‫به‬ ‫را‬ ‫شبکه‬ ‫داخلی‬ ‫سمت‬ ‫در‬ ‫موجود‬
IP
‫میکند‬ ‫ترجمه‬ ،‫هستند‬ ‫استفاده‬ ‫مورد‬ ‫اینترنت‬ ‫یا‬ ‫و‬ ‫شبکه‬ ‫خارجی‬ ‫سمت‬ ‫روی‬ ‫بر‬ ‫که‬ ‫خارجی‬
.
‫دلیل‬ ‫از‬ ‫یکی‬
‫از‬ ‫استفاده‬ ‫و‬ ‫کار‬ ‫این‬
NAT
‫نشان‬ ‫را‬ ‫دیگر‬ ‫آدرس‬ ‫یک‬ ‫آنها‬ ‫به‬ ‫و‬ ‫کرده‬ ‫مخفی‬ ‫بیرونی‬ ‫کاربران‬ ‫دید‬ ‫از‬ ‫را‬ ‫خود‬ ‫داخلی‬ ‫های‬ ‫آدرس‬ ‫توانند‬ ‫می‬ ‫کاربران‬ ‫که‬ ‫است‬ ‫آن‬
‫دهند‬
.
•
)
14
(
)
15
(
‫اندازی‬ ‫راه‬ ‫امکان‬
NAT
‫عامل‬ ‫سیستم‬ ‫در‬
Windows 2003
‫مختلف‬ ‫های‬ ‫خانواده‬ ،
Linux
‫روترهای‬ ‫و‬
Cisco
‫دارد‬ ‫وجود‬
.
Mangling
‫معنای‬ ‫به‬
"
‫پیچاندن‬
"
‫یا‬ ‫و‬
"
‫دادن‬ ‫فرم‬ ‫تغییر‬
"
‫و‬
...
‫باشد‬ ‫می‬
!
‫دنیای‬ ‫در‬
IPTable
‫شود‬ ‫می‬ ‫شنیده‬ ‫زیاد‬ ‫اصطلح‬ ‫این‬
.
‫است‬ ‫قرار‬ ‫چیزی‬ ‫چه‬ ‫ولی‬
‫یابد؟‬ ‫تغییر‬
Mangling
)
‫محتویات‬ ‫تغییر‬ ‫یا‬
(
‫در‬ ‫خاصی‬ ‫فیلدهای‬ ‫محتویات‬ ‫تا‬ ‫دهد‬ ‫می‬ ‫را‬ ‫امکان‬ ‫این‬ ‫کرنل‬ ‫به‬
Header
‫دهد‬ ‫تغییر‬ ‫را‬ ‫ها‬ ‫بسته‬ ‫به‬ ‫مربوط‬
.
‫مورد‬ ‫در‬ ‫توضیح‬ ‫حتما‬ ‫یابد؟‬ ‫تغییر‬ ‫فیلدها‬ ‫محتویات‬ ‫باید‬ ‫چرا‬ ‫ولی‬
NAT
‫اید‬ ‫نکرده‬ ‫فراموش‬ ‫را‬
.
‫وظیفه‬
NAT
‫تبدیل‬ ‫دیگری‬ ‫آدرس‬ ‫به‬ ‫را‬ ‫آدرس‬ ‫یک‬ ‫که‬ ‫بود‬ ‫آن‬
‫کند‬
.
‫آدرس‬ ‫مثل‬
IP
‫از‬ ‫بسته‬ ‫یک‬ ‫فرستنده‬
192.168.0.5
‫به‬
80.40.50.60
‫شود‬ ‫عوض‬
.
‫فیلدهای‬ ‫از‬ ‫یکی‬ ‫در‬ ‫فرستنده‬ ‫آدرس‬
Header
‫شده‬ ‫ذخیره‬
‫کمک‬ ‫به‬ ‫و‬ ‫است‬
Mangling
‫داد‬ ‫تغییر‬ ‫را‬ ‫فیلد‬ ‫این‬ ‫محتویات‬ ‫توان‬ ‫می‬
.
‫را‬ ‫تابع‬ ‫یک‬ ،‫کند‬ ‫می‬ ‫عبور‬ ‫قلبی‬ ‫از‬ ‫بسته‬ ‫یک‬ ‫که‬ ‫دفعه‬ ‫هر‬ ‫تا‬ ‫دهد‬ ‫می‬ ‫اجازه‬ ‫کرنل‬ ‫درون‬ ‫های‬ ‫ماجول‬ ‫به‬ ‫که‬ ‫باشد‬ ‫می‬ ‫کرنل‬ ‫درون‬ ‫قلب‬ ‫تعدادی‬ ‫مانند‬
‫دهد‬ ‫نشان‬ ‫العملی‬ ‫عکس‬ ‫نیاز‬ ‫صورت‬ ‫در‬ ‫و‬ ‫بزند‬ ‫صدا‬
.
IPTables
‫آنکه‬ ‫از‬ ‫پیش‬ ،‫کند‬ ‫می‬ ‫عبور‬ ‫ای‬ ‫بسته‬ ‫وقت‬ ‫هر‬ ‫و‬ ‫نموده‬ ‫استفاده‬ ‫کرنل‬ ‫های‬ ‫قلب‬ ‫از‬
‫کند‬ ‫می‬ ‫چک‬ ‫آنرا‬ ،‫گردد‬ ‫ارسال‬ ‫خاص‬ ‫شبکه‬ ‫یک‬ ‫به‬ ‫بتواند‬
.
‫از‬ ‫بتوان‬ ‫آنکه‬ ‫برای‬
IPTables
‫باشد‬ ‫شده‬ ‫اجرا‬ ‫و‬ ‫پیکربندی‬ ‫باید‬ ‫نیز‬ ‫سرویس‬ ‫و‬ ‫باشد‬ ‫شده‬ ‫ایجاد‬ ‫کرنل‬ ‫در‬ ‫آن‬ ‫از‬ ‫پشتیبانی‬ ‫قابلیت‬ ‫باید‬ ،‫نمود‬ ‫استفاده‬
.
‫های‬ ‫خانواده‬ ‫اکثر‬ ‫در‬ ‫ویژگی‬ ‫این‬ ‫خوشبختانه‬
Linux
‫با‬ ‫و‬ ‫باشد‬ ‫شده‬ ‫فعال‬ ‫متوسط‬ ‫حالت‬ ‫در‬ ‫یا‬ ‫و‬ ‫نباشد‬ ‫فعال‬ ‫دلیلی‬ ‫به‬ ‫است‬ ‫ممکن‬ ‫ولی‬ ‫دارد‬ ‫وجود‬
‫نکند‬ ‫کار‬ ‫قدرت‬ ‫حداکثر‬
!
‫که‬ ‫است‬ ‫آن‬ ‫علت‬
IPTables
‫اعمال‬ ‫از‬ ‫بسیاری‬ ‫است‬ ‫ممکن‬ ‫و‬ ‫شود‬ ‫می‬ ‫گیر‬ ‫سخت‬ ‫بسیار‬ ،‫گردد‬ ‫فعال‬ ‫حداکثر‬ ‫حالت‬ ‫به‬ ‫وقتی‬
‫بیفتد‬ ‫کار‬ ‫از‬ ‫نیز‬ ‫ای‬ ‫شبکه‬ ‫جاری‬
.
‫قانون‬ ‫تعدادی‬ ،‫فایروال‬ ‫اندازی‬ ‫راه‬ ‫با‬
)
rule
(
‫زنجیر‬ ‫و‬
)
chain
(
‫فایروال‬ ‫به‬ ‫متصل‬ ‫های‬ ‫شبکه‬ ‫بین‬ ‫خواهند‬ ‫می‬ ‫که‬ ‫هایی‬ ‫بسته‬ ‫برای‬ ‫و‬ ‫گردد‬ ‫می‬ ‫ایجاد‬
‫گردد‬ ‫می‬ ‫استفاده‬ ،‫یابند‬ ‫انتقال‬
.
•
4
.
‫ساختار‬
IPTables
:
‫از‬ ‫استفاده‬ ‫برای‬
IPTables
‫شد‬ ‫آشنا‬ ‫آن‬ ‫سازنده‬ ‫اجزاء‬ ‫با‬ ‫باید‬
.
‫فایروال‬
IPTables
‫دارای‬
3
‫شکل‬ ‫در‬ ‫که‬ ‫میباشد‬ ‫اصلی‬ ‫عنصر‬
2
‫است‬ ‫آمده‬
.
‫این‬
3
‫بلک‬
‫از‬ ‫عبارتند‬ ‫فایروال‬ ‫ساختار‬ ‫سازنده‬
:
‫قانون‬ ‫و‬ ‫زنجیر‬ ،‫جدول‬
.
)
16
(
Rule
‫رود‬ ‫بکار‬ ‫باید‬ ‫آن‬ ‫روی‬ ‫بر‬ ‫کار‬ ‫یک‬ ‫انجام‬ ‫و‬ ‫ها‬ ‫بسته‬ ‫انتخاب‬ ‫برای‬ ‫که‬ ‫است‬ ‫دستوری‬ ‫دربرگیرنده‬ ،‫قانون‬ ‫یا‬
.
‫مثل‬
:
‫مبدا‬ ‫از‬ ‫شده‬ ‫ارسال‬ ‫های‬ ‫بسته‬ ‫تمام‬
192.168.0.1
‫شوند‬ ‫حذف‬ ،
.
‫آدرس‬ ‫یا‬
IP
‫کامپیوتر‬ ‫از‬ ‫شده‬ ‫ارسال‬ ‫های‬ ‫بسته‬ ‫تمام‬ ‫مبدا‬
192.168.0.5
‫به‬
80.40.50.60
‫یابد‬ ‫تغییر‬
.
‫نمونه‬ ‫دو‬ ‫موارد‬ ‫این‬
rule
‫گردند‬ ‫می‬ ‫تشکیل‬ ‫عملکرد‬ ‫یک‬ ‫به‬ ‫مربوط‬ ‫بخش‬ ‫یک‬ ‫و‬ ‫بندی‬ ‫دسته‬ ‫و‬ ‫انتخاب‬ ‫به‬ ‫مربوط‬ ‫بخش‬ ‫یک‬ ‫از‬ ‫خود‬ ‫که‬ ‫دهند‬ ‫می‬ ‫نشان‬ ‫را‬
.
Chain
‫باشد‬ ‫می‬ ‫قوانین‬ ‫از‬ ‫ای‬ ‫مجموعه‬ ،‫زنجیر‬ ‫یا‬
.
‫یک‬ ‫تشکیل‬ ‫یکدیگر‬ ‫با‬ ‫توانند‬ ‫می‬ ‫بال‬ ‫قانون‬ ‫دو‬ ‫مثل‬
chain
‫نام‬ ‫به‬
testchn
‫بدهند‬ ‫را‬
.
Table
‫باشد‬ ‫می‬ ‫زنجیرها‬ ‫از‬ ‫ای‬ ‫مجموعه‬ ،‫جدول‬ ‫یا‬
.
‫مثل‬
chain
‫دو‬ ‫با‬ ‫فوق‬
chain
‫فرضی‬ ‫های‬ ‫نام‬ ‫به‬ ‫دیگر‬
mainchn
‫و‬
changechn
‫نام‬ ‫به‬ ‫جدول‬ ‫یک‬ ‫تشکیل‬
input_tbl
‫بدهند‬ ‫را‬
.
IPTables
‫دارای‬ ‫فرض‬ ‫پیش‬ ‫شکل‬ ‫به‬
3
‫های‬ ‫نام‬ ‫به‬ ‫اصلی‬ ‫جدول‬
filter ، nat
‫و‬
mangle
‫باشد‬ ‫می‬
.
‫این‬ ‫به‬ ‫نیز‬ ‫را‬ ‫دیگری‬ ‫جداول‬ ‫نیاز‬ ‫برحسب‬ ‫میتوان‬ ‫البته‬
‫نمود‬ ‫اضافه‬ ‫مجموعه‬
.
‫بندی‬ ‫دسته‬ ‫برای‬ ‫و‬ ‫کاربران‬ ‫توسط‬ ‫جداول‬ ‫این‬
chain
‫و‬ ‫ها‬
rule
‫دارد‬ ‫کاربرد‬ ‫خودشان‬ ‫توسط‬ ‫شده‬ ‫تعریف‬ ‫های‬
.
‫بخواهند‬ ‫که‬ ‫هم‬ ‫زمانی‬ ‫هر‬
‫ولی‬ ‫نمایند‬ ‫حذف‬ ‫را‬ ‫خود‬ ‫جداول‬
3
‫فرض‬ ‫پیش‬ ‫جدول‬
filter ، nat
‫و‬
mangle
‫نیستند‬ ‫حذف‬ ‫قابل‬
.
‫گردد‬ ‫می‬ ‫ارائه‬ ‫فوق‬ ‫گانه‬ ‫سه‬ ‫جداول‬ ‫از‬ ‫کدام‬ ‫هر‬ ‫مورد‬ ‫در‬ ‫توضیحی‬ ‫زیر‬ ‫در‬
:
‫جدول‬
filter
:
‫و‬ ‫قوانین‬ ‫کلیه‬ ‫گیرنده‬ ‫بر‬ ‫در‬
chain
‫باشد‬ ‫می‬ ‫ها‬ ‫بسته‬ ‫نمودن‬ ‫فیلتر‬ ‫های‬
.
‫سوی‬ ‫از‬ ‫ارسالی‬ ‫های‬ ‫بسته‬ ‫حذف‬ ‫به‬ ‫مربوط‬ ‫قوانین‬ ‫مثل‬
‫شبکه‬
172.16.0.0
‫برای‬ ‫عبور‬ ‫مجوز‬ ‫صدور‬ ‫یا‬ ‫و‬
‫کامپیوتر‬ ‫از‬ ‫ارسالی‬ ‫های‬ ‫بسته‬
10.10.5.8
‫و‬
...
‫گیرند‬ ‫می‬ ‫قرار‬ ‫جدول‬ ‫این‬ ‫در‬ ‫همگی‬
.
‫علوه‬
‫پورت‬ ‫مثل‬ ‫خاص‬ ‫پروتکل‬ ‫و‬ ‫پورت‬ ‫یک‬ ‫به‬ ‫مربوط‬ ‫های‬ ‫بسته‬ ‫که‬ ‫کرد‬ ‫تعریف‬ ‫جدول‬ ‫این‬ ‫در‬ ‫قوانینی‬ ‫توان‬ ‫می‬ ‫اینها‬ ‫بر‬
80
‫پروتکل‬ ‫به‬ ‫مربوط‬ ‫که‬
http
)
‫وب‬ ‫همان‬ ‫یا‬
(
‫پورت‬ ‫به‬ ‫مربوط‬ ‫های‬ ‫بسته‬ ‫ولی‬ ‫باشند‬ ‫داشته‬ ‫عبور‬ ‫اجازه‬ ‫است‬
21
‫پروتکل‬ ‫یا‬
ftp
‫باشند‬ ‫نداشته‬ ‫عبور‬ ‫اجازه‬
.
‫این‬ ‫اصلی‬ ‫وظیفه‬ ‫پس‬
‫کنند‬ ‫نمی‬ ‫فیلتر‬ ‫که‬ ‫است‬ ‫قوانینی‬ ‫یا‬ ‫و‬ ‫کننده‬ ‫فیلتر‬ ‫قوانین‬ ‫نگهداری‬ ‫جدول‬
.
‫مانند‬ ‫گوناگون‬ ‫معیارهای‬ ‫براساس‬ ‫نکردن‬ ‫فیلتر‬ ‫یا‬ ‫و‬ ‫کردن‬ ‫فیلتر‬ ‫عمل‬
‫آدرس‬
IP
‫و‬ ‫پورت‬ ‫شماره‬ ‫یا‬ ‫و‬ ‫مقصد‬ ‫و‬ ‫مبدا‬
...
‫پذیرد‬ ‫می‬ ‫صورت‬
.
•
‫جدول‬
nat
:
‫مورد‬ ‫در‬ ‫توضیح‬
nat
‫دارید‬ ‫خاطر‬ ‫به‬ ‫که‬ ‫را‬
.
‫و‬ ‫قوانین‬ ‫کلیه‬ ‫گیرنده‬ ‫بر‬ ‫در‬ ‫جدول‬ ‫این‬
chain
‫آدرس‬ ‫ترجمه‬ ‫وظیفه‬ ‫که‬ ‫است‬ ‫هایی‬
IP
‫را‬
‫دارند‬ ‫برعهده‬
.
‫بگیرید‬ ‫نظر‬ ‫در‬ ‫را‬ ‫زیر‬ ‫قانون‬ ‫مثال‬ ‫بعنوان‬
:
‫کامپیوتر‬ ‫از‬ ‫ای‬ ‫بسته‬ ‫اگر‬
10.10.10.8
‫آدرس‬ ،‫شد‬ ‫ارسال‬
IP
‫به‬ ‫را‬ ‫فرستنده‬
80.50.60.90
‫بدهید‬ ‫تغییر‬
.
‫دهد‬ ‫می‬ ‫انجام‬ ‫را‬ ‫آدرس‬ ‫ترجمه‬ ‫عمل‬ ‫بلکه‬ ،‫دهد‬ ‫نمی‬ ‫انجام‬ ‫فیلتر‬ ‫مورد‬ ‫در‬ ‫عملی‬ ‫قانون‬ ‫این‬
.
‫جدول‬ ‫در‬ ‫آن‬ ‫جای‬ ‫بنابراین‬
filter
‫جدول‬ ‫در‬ ‫باید‬ ‫و‬ ‫نبوده‬
nat
‫قرار‬
‫گیرد‬
.
‫جدول‬
mangle
:
‫فیلدهای‬ ‫دستکاری‬ ‫به‬ ‫مربوط‬ ،‫پیشرفته‬ ‫اعمال‬ ‫کلیه‬
header
‫می‬ ‫صورت‬ ‫جدول‬ ‫این‬ ‫در‬ ‫موجود‬ ‫قوانین‬ ‫توسط‬ ‫شبکه‬ ‫در‬ ‫ارسالی‬ ‫های‬ ‫بسته‬ ‫در‬
‫گیرد‬
.
‫جدول‬ ‫تفاوت‬
nat
‫و‬
mangle
‫تغییر‬ ‫به‬ ‫مربوط‬ ‫قوانین‬ ‫فقط‬ ‫که‬ ‫است‬ ‫آن‬ ‫در‬
‫آدرس‬
IP
‫جدول‬ ‫در‬ ‫پورت‬ ‫یا‬ ‫و‬
nat
‫به‬ ‫مربوط‬ ‫قوانین‬ ‫سایر‬ ‫ولی‬ ‫گیرند‬ ‫می‬ ‫قرار‬
‫فیلدهای‬ ‫تغییر‬
header
‫جدول‬ ‫در‬ ،‫دارند‬ ‫کاربرد‬ ‫پیشرفته‬ ‫حالت‬ ‫در‬ ‫که‬
mangle
‫گیرند‬ ‫می‬ ‫جای‬
.
•
‫تعدادی‬ ،‫جداول‬ ‫این‬ ‫از‬ ‫هرکدام‬ ‫درون‬
chain
‫گیرد‬ ‫می‬ ‫قرار‬ ‫فرض‬ ‫پیش‬ ‫شکل‬ ‫به‬
.
‫این‬ ‫جمله‬ ‫از‬
chain
‫به‬ ‫میتوان‬ ‫ها‬
8
‫عدد‬
chain
،‫است‬ ‫آمده‬ ‫زیر‬ ‫در‬ ‫که‬ ‫اصلی‬
)
17
(
‫کرد‬ ‫اشاره‬
:
chain
‫های‬
input، forward
‫و‬
output
‫جدول‬
filter
1
chain ‫های‬ prerouting ‫و‬ postrouting
‫جدول‬
nat
2
chain ‫های‬ prerouting ، input ‫و‬ output
‫جدول‬
mangle
3
‫از‬ ‫تعدادی‬ ‫فقط‬ ‫ها‬ ‫این‬ ‫البته‬
chain
‫تمام‬ ‫بر‬ ‫علوه‬ ‫و‬ ‫بوده‬ ‫فرض‬ ‫پیش‬ ‫های‬
chain
‫ساخت‬ ‫امکان‬ ‫فرض‬ ‫پیش‬ ‫های‬
chain
‫دارد‬ ‫وجود‬ ‫نیز‬ ‫کاربران‬ ‫توسط‬
.
‫شکل‬
3
‫های‬ ‫جدول‬ ‫در‬ ‫موجود‬ ‫قوانین‬ ‫و‬ ‫باشد‬ ‫می‬ ‫چگونه‬ ‫ها‬ ‫بسته‬ ‫حرکت‬ ‫نحوه‬ ،‫مقاله‬ ‫این‬ ‫در‬ ‫بحث‬ ‫مورد‬ ‫مدل‬ ‫شبکه‬ ‫در‬ ‫که‬ ‫دهد‬ ‫می‬ ‫نشان‬
IPTable
‫چه‬ ‫در‬ ،
‫دهند‬ ‫می‬ ‫قرار‬ ‫بررسی‬ ‫مورد‬ ‫را‬ ‫فایروال‬ ‫به‬ ‫خروجی‬ ‫یا‬ ‫و‬ ‫ورودی‬ ‫های‬ ‫بسته‬ ‫نقاطی‬
.
‫ساختار‬ ‫کل‬ ‫تواند‬ ‫می‬ ‫شبکه‬ ‫مدیر‬
IPTables
‫عملکرد‬ .‫نماید‬ ‫فعال‬ ‫کامپیوتر‬ ‫اینترفیس‬ ‫هر‬ ‫روی‬ ‫بر‬ ‫را‬ ‫آن‬ ‫از‬ ‫قسمتی‬ ‫فقط‬ ‫یا‬ ‫و‬
IPTables
‫یک‬ ‫تا‬ ‫شود‬ ‫می‬ ‫باعث‬
.‫گردد‬ ‫فایروال‬ ‫به‬ ‫تبدیل‬ ‫کامپیوتر‬
‫شکل‬ ‫در‬ ‫که‬ ‫همانطور‬
3
‫بسته‬ ‫جریان‬ .‫است‬ ‫شده‬ ‫داده‬ ‫نشان‬ ‫جدا‬ ‫نمودار‬ ‫دو‬ ‫در‬ ‫برعکس‬ ‫و‬ ‫داخل‬ ‫به‬ ‫خارجی‬ ‫شبکه‬ ‫از‬ ‫بسته‬ ‫یک‬ ‫حرکت‬ ‫مسیر‬ ،‫است‬ ‫مشخص‬
:‫باشد‬ ‫می‬ ‫شکل‬ ‫بدین‬ ‫ساختار‬ ‫این‬ ‫درون‬
‫شبکه‬ ‫کارت‬ ‫طریق‬ ‫از‬ ‫فایروال‬ ‫به‬ ‫بسته‬ ‫یک‬ ‫ورود‬ ‫هنگام‬ ‫به‬
eth0
‫زنجیر‬ ‫قسمت‬ ‫اولین‬ ،
prerouting
‫جدول‬ ‫در‬
mangle
‫با‬ ‫را‬ ‫ترکیب‬ ‫این‬ .‫باشد‬ ‫می‬
mangle /
prerouting
،‫باشید‬ ‫داشته‬ ‫یاد‬ ‫به‬ ‫اگر‬ .‫دهیم‬ ‫می‬ ‫نشان‬
mangling
‫در‬ ‫خاصی‬ ‫فیلدهای‬ ‫بتواند‬ ‫کرنل‬ ‫که‬ ‫شود‬ ‫می‬ ‫باعث‬ (‫محتویات‬ ‫)تغییر‬
header
‫تغییر‬ ‫را‬
.‫سازند‬ ‫می‬ ‫ممکن‬ ‫را‬ ‫عمل‬ ‫این‬ ‫زنجیر‬ ‫این‬ ‫در‬ ‫موجود‬ ‫قوانین‬ .‫دهید‬
‫از‬
mangle / prerouting
‫وارد‬ ‫بسته‬ ،
nat / prerouting
‫که‬ ‫گردید‬ ‫بیان‬ ‫قبل‬ .‫شود‬ ‫می‬
nat
‫آدرس‬ ‫ترجمه‬ ‫برای‬
IP
.‫رود‬ ‫می‬ ‫بکار‬ ‫دیگر‬ ‫شبکه‬ ‫به‬ ‫شبکه‬ ‫یک‬ ‫از‬
‫آدرس‬ ‫توانند‬ ‫می‬ ،‫زنجیر‬ ‫این‬ ‫در‬ ‫موجود‬ ‫قوانین‬
IP
.‫کنند‬ ‫عوض‬ ‫را‬ ‫مقصد‬ ‫پورت‬ ‫آدرس‬ ‫یا‬ ‫و‬ ‫مقصد‬
‫فایروال‬ ‫یک‬ ‫روی‬ ‫بر‬ ‫اگر‬ ‫بنابراین‬
IPTables
‫پروتکل‬ ‫به‬ ‫مربوط‬ ‫اگر‬ ،‫اینترنتی‬ ‫کاربران‬ ‫سوی‬ ‫از‬ ‫فایروال‬ ‫به‬ ‫ورودی‬ ‫های‬ ‫بسته‬ ‫تمام‬ ‫که‬ ‫بنویسیم‬ ‫قوانینی‬ ‫بخواهیم‬
http
‫آدرس‬ ‫سمت‬ ‫به‬ ،‫بودند‬
192.168.5.5
‫در‬ ‫باید‬ ،‫شوند‬ ‫هدایت‬ ‫داخلی‬ ‫شبکه‬ ‫روی‬
nat / prerouting
‫به‬ ‫مربوط‬ ‫ورودی‬ ‫های‬ ‫بسته‬ ‫تمام‬ ‫مقصد‬ ‫آدرس‬ ،
http
‫به‬ ‫را‬
192.168.5.5
.‫داد‬ ‫تغییر‬
: ‫باشید‬ ‫داشته‬ ‫خاطر‬ ‫به‬ ‫بنابراین‬
nat / prerouting
‫آدرس‬ ‫تغییر‬ ‫برای‬
IP
‫بخش‬ .‫باشد‬ ‫می‬ ‫مقصد‬ ‫پورت‬ ‫آدرس‬ ‫یا‬ ‫و‬ ‫مقصد‬
Route
‫یا‬ ‫و‬ ‫زنجیر‬ ‫یا‬ ‫جدول‬ ‫یک‬ ،‫است‬ ‫آمده‬ ‫شکل‬ ‫در‬ ‫که‬
rule
)
18
(
.‫نباشد‬
Roué
‫آدرس‬ ‫نیز‬ ‫گیری‬ ‫تصمیم‬ ‫اساس‬ .‫شود‬ ‫ارسال‬ ‫جدول‬ ‫کدام‬ ‫و‬ ‫زنجیر‬ ‫کدام‬ ‫به‬ ‫باید‬ ‫بسته‬ ‫گیرد‬ ‫می‬ ‫تصمیم‬ ‫که‬ ‫است‬ ‫قسمتی‬ ‫فقط‬
IP
.‫است‬ ‫مقصد‬
‫بخش‬ ‫بنابراین‬
route
‫آدرس‬ ، (‫)مسیریابی‬
IP
‫را‬ ‫بسته‬ ‫مقصد‬
check
‫آدرس‬ ‫اگر‬ .‫کند‬ ‫می‬
IP
‫آدرس‬ ‫مساوی‬ ،‫بسته‬ ‫مقصد‬
IP
‫است‬ ‫معلوم‬ ،‫باشد‬ ‫فایروال‬ ‫خود‬
‫و‬ ‫شده‬ ‫ارسال‬ ‫فایروال‬ ‫برای‬ ‫بسته‬ ‫که‬
route
‫قسمت‬ ‫به‬ ‫را‬ ‫بسته‬
mangle / input
‫آدرس‬ ‫اگر‬ .‫نماید‬ ‫می‬ ‫ارسال‬
IP
،‫باشد‬ ‫دیگری‬ ‫چیز‬ ‫هر‬ ‫مقصد‬
route
‫را‬ ‫بسته‬
‫به‬
filter / forward
‫قسمت‬ .‫کند‬ ‫می‬ ‫ارسال‬
filter / input
‫این‬ .‫میدهد‬ ‫قرار‬ ‫بررسی‬ ‫مورد‬ ‫را‬ ‫شوند‬ ‫وارد‬ ‫فایروال‬ ‫به‬ ‫خواهند‬ ‫می‬ ‫که‬ ‫را‬ ‫هایی‬ ‫بسته‬ ‫تمام‬ ،
‫یا‬ ‫بسته‬ ‫کننده‬ ‫فیلتر‬ ‫یک‬ ‫ساده‬ ‫عبارت‬ ‫به‬ .‫شود‬ ‫بلک‬ ‫باید‬ ‫یا‬ ‫و‬ ‫باشد‬ ‫می‬ ‫قبول‬ ‫مورد‬ ‫بسته‬ ‫یک‬ ‫آیا‬ ‫کند‬ ‫می‬ ‫معین‬ ‫که‬ ‫است‬ ‫قوانینی‬ ‫حاوی‬ ‫زنجیر‬
packet-filter
.‫باشد‬ ‫می‬
‫عنوان‬ ‫با‬ ‫شکل‬ ‫روی‬ ‫بر‬ ‫دیگر‬ ‫قسمت‬ ‫یک‬
local process
‫ممکن‬ ‫فایروال‬ ‫روی‬ ‫بر‬ ‫موجود‬ ‫های‬ ‫پراسس‬ ‫از‬ ‫بعضی‬ .‫است‬ ‫شده‬ ‫مشخص‬ ‫محلی‬ ‫های‬ ‫پراسس‬ ‫یا‬
‫تواند‬ ‫می‬ ‫دسته‬ ‫این‬ ‫از‬ ‫مثال‬ ‫یک‬ .‫نمایند‬ ‫برقرار‬ ‫ارتباط‬ ‫شبکه‬ ‫روی‬ ‫موجود‬ ‫های‬ ‫سرویس‬ ‫و‬ ‫وسایل‬ ‫سایر‬ ‫با‬ ‫شبکه‬ ‫کارت‬ ‫طریق‬ ‫از‬ ‫بخواهند‬ ‫است‬
ping
‫کردن‬
‫سرویس‬ ‫بودن‬ ‫موجود‬ ‫یا‬ ‫و‬ ،‫فایروال‬ ‫پشت‬ ‫از‬ ‫دیگر‬ ‫کامپیوترهای‬
DNS
‫سرویس‬ ‫یا‬ ‫و‬
NTP
.‫باشد‬ ‫فایروال‬ ‫کامپیوتر‬ ‫روی‬ ‫بر‬
‫به‬ ‫ابتدا‬ ‫ها‬ ‫بسته‬ ‫نوع‬ ‫این‬
mangle / output
‫زنجیر‬ .‫شوند‬ ‫می‬ ‫وارد‬
mangle / output
‫به‬ ‫شبیه‬ ‫عملکردی‬
mangle / prerouting
‫این‬ ‫در‬ ‫تفاوت‬ ‫ولی‬ .‫دارند‬
‫زنجیر‬ ‫به‬ ،‫شوند‬ ‫می‬ ‫تولید‬ ‫فایروال‬ ‫خود‬ ‫توسط‬ ‫که‬ ‫هایی‬ ‫بسته‬ ‫فقط‬ ‫که‬ ‫است‬
mangle / output
.‫شوند‬ ‫می‬ ‫وارد‬
‫زنجیر‬
filter / output
‫یک‬ ‫آیا‬ ‫که‬ ‫کنند‬ ‫می‬ ‫مشخص‬ ‫که‬ ‫هستند‬ ‫قوانینی‬ ‫شامل‬ ‫زنجیر‬ ‫این‬ .‫کند‬ ‫می‬ ‫مدیریت‬ ‫را‬ ‫شوند‬ ‫می‬ ‫خارج‬ ‫فایروال‬ ‫از‬ ‫که‬ ‫را‬ ‫هایی‬ ‫بسته‬ ،
‫یک‬ ‫نیز‬ ‫بخش‬ ‫این‬ ،‫ساده‬ ‫عبارت‬ ‫به‬ .‫شود‬ ‫بلک‬ ‫یا‬ ‫و‬ ‫گیرد‬ ‫قرار‬ ‫موردقبول‬ ‫باید‬ ‫بسته‬
packet-filter
‫زنجیر‬ ،‫موازی‬ ‫مسیر‬ ‫در‬ .‫باشد‬ ‫می‬
filter / forward
‫بسته‬
‫اجازه‬ ‫آن‬ ‫به‬ ‫یا‬ ‫و‬ ‫کرده‬ ‫حذف‬ ‫آنرا‬ ‫بسته‬ ‫ویژگیهای‬ ‫براساس‬ ‫و‬ ‫داده‬ ‫قرار‬ ‫بررسی‬ ‫مورد‬ ‫را‬ ‫شوند‬ ‫می‬ ‫فرستاده‬ ‫داخلی‬ ‫شبکه‬ ‫سمت‬ ‫به‬ ‫خارجی‬ ‫شبکه‬ ‫از‬ ‫که‬ ‫را‬ ‫هایی‬
.‫دهند‬ ‫می‬ ‫عبور‬
nat / postrouting
‫آدرس‬ ‫توان‬ ‫می‬ ‫آن‬ ‫توسط‬ ‫که‬ ‫است‬ ‫قوانینی‬ ‫گیرنده‬ ‫بر‬ ‫در‬ ‫زنجیر‬ ‫این‬ .‫باشد‬ ‫می‬ ‫ها‬ ‫بسته‬ ‫حرکتی‬ ‫مسیر‬ ‫در‬ ‫نقطه‬ ‫آخرین‬ ،
IP
‫یا‬ ‫و‬ ‫مبدا‬
‫زنجیر‬ ‫کنیم‬ ‫می‬ ‫یادآوری‬ ‫پس‬ .‫داد‬ ‫تغییر‬ ‫را‬ ‫عبوری‬ ‫بسته‬ ‫یک‬ ‫مبدا‬ ‫پورت‬ ‫شماره‬
nat / prerouting
‫آدرس‬ ‫که‬ ‫است‬ ‫قوانینی‬ ‫برگیرنده‬ ‫در‬
IP
‫پورت‬ ‫یا‬ ‫و‬ ‫مقصد‬
‫در‬ ‫ولی‬ ‫کنند‬ ‫می‬ ‫عوض‬ ‫را‬ ‫مقصد‬
nat / postrouting
‫آدرس‬ ‫که‬ ‫داریم‬ ‫قوانینی‬
IP
.‫کنند‬ ‫می‬ ‫عوض‬ ‫را‬ ‫مبدا‬ ‫پورت‬ ‫شماره‬ ‫و‬ ‫مبدا‬
: ‫واقع‬‫در‬
IPTables
‫ابزار‬ ‫کمک‬ ‫به‬ ‫که‬ ‫است‬ ‫فایروال‬ ‫یک‬
Netfilter
‫از‬ ‫قبل‬ ‫نسل‬ .‫است‬ ‫شده‬ ‫ساخته‬ ،
IPTables
‫نام‬ ‫با‬
IPchains
‫درون‬ .‫شود‬ ‫می‬ ‫شناخته‬
IPTables
،
‫شکل‬ ‫در‬ ‫که‬ ‫دارند‬ ‫قرار‬ ‫یکدیگر‬ ‫با‬ ‫خاصی‬ ‫ارتباط‬ ‫در‬ ‫زنجیرها‬ .‫داریم‬ ‫را‬ ‫قوانین‬ ‫و‬ ‫زنجیرها‬ ،‫جداول‬
3
‫جداول‬ ‫از‬ ‫هرکدام‬ ‫کاربرد‬ ‫خلصه‬ ‫شکل‬ ‫به‬ .‫شد‬ ‫داده‬ ‫نشان‬
‫جدول‬ ‫مطابق‬ ‫آنها‬ ‫درون‬ ‫زنجیر‬ ‫و‬
1
:‫باشد‬ ‫می‬
‫زنجیر‬ ‫نام‬
/
‫جدول‬ ‫نام‬
mangle / prerouting
‫شود‬ ‫می‬ ‫استفاده‬ ‫ندرت‬ ‫به‬
nat / prerouting
‫آدرس‬ ‫تغییر‬
IP
‫مقصد‬ ‫پورت‬ ‫و‬ ‫مقصد‬
filter / forward
) ‫انتقال‬
forward
‫آن‬ ‫کنترل‬ ‫و‬ ‫دیگر‬ ‫شبکه‬ ‫به‬ ‫شبکه‬ ‫یک‬ ‫از‬ ‫بسته‬ (
)
19
(
nat / postrouting
‫آدرس‬ ‫تغییر‬
IP
‫مبدا‬ ‫پورت‬ ‫و‬ ‫مبدا‬
filter / input
‫زنجیر‬
input
‫کند‬ ‫می‬ ‫چک‬ ‫را‬ ‫فایروال‬ ‫خود‬ ‫به‬ ‫ورودی‬ ‫های‬ ‫بسته‬ ‫که‬
mangle / input
‫شود‬ ‫می‬ ‫استفاده‬ ‫ندرت‬ ‫به‬
mangle / output
‫شود‬ ‫می‬ ‫استفاده‬ ‫ندرت‬ ‫به‬
filter / output
‫زنجیر‬
output
‫کند‬ ‫می‬ ‫چک‬ ‫را‬ ‫فایروال‬ ‫خود‬ ‫از‬ ‫خروجی‬ ‫های‬ ‫بسته‬ ‫که‬
)
20
(
‫گیرد‬ ‫می‬ ‫انجام‬ ‫زیر‬ ‫فرمان‬ ‫با‬ ‫که‬ ‫باشد‬ ‫می‬ ‫مرتبط‬ ‫سرویس‬ ‫نمودن‬ ‫فعال‬ ‫دستور‬ ‫این‬ ‫با‬ ‫کار‬ ‫برای‬ ‫اول‬ ‫قدم‬
:
service iptables start
‫نکته‬
:
‫سرویس‬ ‫اینکه‬ ‫از‬ ‫قبل‬
iptables
‫سرویس‬ ‫بایستی‬ ‫شود‬ ‫اجرا‬
ip6tables
‫کنیم‬ ‫غیرفعال‬ ‫را‬
.
‫کنیم‬ ‫می‬ ‫وارد‬ ‫فرمان‬ ‫خط‬ ‫در‬ ‫را‬ ‫زیر‬ ‫دستورات‬ ‫کار‬ ‫این‬ ‫برای‬
:
service ip6tables stop
chkconfig ip6tables off
‫وضعیت‬ ‫شود‬ ‫فعال‬ ‫فرض‬ ‫پیش‬ ‫صورت‬ ‫به‬ ‫سرویس‬ ‫این‬ ‫سیستم‬ ‫شدن‬ ‫بوت‬ ‫موقع‬ ‫اینکه‬ ‫برای‬
runlevel
‫حالت‬ ‫در‬ ‫بایستی‬
ON
‫شود‬ ‫می‬ ‫داده‬ ‫قرار‬
:
chkconfig --level 345 iptables on
‫ها‬ ‫پورت‬ ‫کردن‬ ‫بسته‬ ‫و‬ ‫باز‬
:
‫پورت‬ ‫کردن‬ ‫باز‬ ‫برای‬
80
‫کنیم‬ ‫می‬ ‫استفاده‬ ‫زیر‬ ‫فرمان‬ ‫از‬ ‫فایروال‬ ‫در‬
:
iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
-
p
‫معادل‬
protocol
‫و‬
sport
‫معادل‬
‫و‬ ‫مبدا‬ ‫پورت‬
dport
‫باشد‬ ‫می‬ ‫مقصد‬ ‫پورت‬ ‫معادل‬
.
‫به‬ ‫نیاز‬ ‫صورت‬ ‫در‬ ‫همچنین‬
‫از‬ ‫استفاده‬
https
‫پورت‬ ‫بایستی‬
443
‫باشد‬ ‫باز‬ ‫نیز‬
:
iptables -A INPUT -p tcp -m tcp --sport 443 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT
‫شود‬ ‫می‬ ‫استفاده‬ ‫مشابه‬ ‫دستورات‬ ‫از‬ ‫نیز‬ ‫ها‬ ‫پورت‬ ‫سایر‬ ‫برای‬
.
‫دستور‬ ‫ساختار‬
iptables
:
‫شود‬ ‫می‬ ‫تقسیم‬ ‫بخش‬ ‫دو‬ ‫به‬ ‫دستور‬ ‫این‬ ‫گرامر‬
:
chain,target
iptables -A chain -j target
chain
‫پارامتر‬ ‫و‬ ‫است‬ ‫اصلی‬ ‫قسمت‬
–
A (append
(
‫یک‬
rule
‫نماید‬ ‫می‬ ‫اضافه‬ ‫را‬
.
chain
‫معادل‬ ‫تواند‬ ‫می‬
input,ouput,forward
‫می‬ ‫دائمی‬ ‫پارامترهای‬ ‫که‬ ‫باشد‬
‫باشند‬
.
‫پارامتر‬
–
j (jump
(
‫قوانین‬ ‫مجموعه‬ ‫در‬ ‫محلی‬
iptables
‫گیرد‬ ‫می‬ ‫انجام‬ ‫آنجا‬ ‫به‬ ‫پرش‬ ‫که‬ ‫کند‬ ‫می‬ ‫مشخص‬ ‫را‬
.
‫شامل‬ ‫ترتیب‬ ‫به‬ ‫آن‬ ‫مقادیر‬
accept,drop,reject
‫می‬
‫باشند‬
.
‫پارامتر‬ ‫توسط‬
–
n
‫توانید‬ ‫می‬ ‫نیز‬
chain
‫کنید‬ ‫اضافه‬ ‫سفارشی‬ ‫و‬ ‫جدید‬ ‫های‬
.
‫با‬ ‫کار‬
policy
‫های‬
firewall
:
Iptbles
‫پارامتر‬ ‫از‬
–
p
‫ایجاد‬ ‫برای‬
rule
‫کند‬ ‫می‬ ‫استفاده‬ ‫فرض‬ ‫پیش‬ ‫های‬
.
‫زیر‬ ‫دستورات‬ ‫مثل‬
‫کند‬ ‫می‬ ‫بلک‬ ‫را‬ ‫شبکه‬ ‫درگاه‬ ‫در‬ ‫دریافتی‬ ‫و‬ ‫ارسالی‬ ‫های‬ ‫پکت‬ ‫کلیه‬
:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
‫های‬ ‫پکت‬ ‫که‬ ‫شود‬ ‫می‬ ‫توصیه‬ ‫همچنین‬
forward
‫نیز‬ ‫شده‬
denied
‫نشوند‬ ‫نمایان‬ ‫اینترنت‬ ‫در‬ ‫ناخواسته‬ ‫طور‬ ‫به‬ ‫داخلی‬ ‫شبکه‬ ‫کاربران‬ ‫تا‬ ‫شوند‬
.
rule
‫انجام‬ ‫برای‬ ‫زیر‬
‫رود‬ ‫می‬ ‫کار‬ ‫به‬ ‫کار‬ ‫این‬
:
iptables -P FORWARD DROP
‫تنظیم‬ ‫از‬ ‫بعد‬
policy chain
‫توانید‬ ‫می‬
rule
‫را‬ ‫نظر‬ ‫مورد‬ ‫های‬
‫کنید‬ ‫تعریف‬
:
‫قوانین‬ ‫بازیابی‬ ‫و‬ ‫ذخیره‬ ‫ی‬ ‫نحوه‬
iptables
:
)
21
(
Rule
‫های‬
firewall
‫کامپیوتر‬ ‫زمانیکه‬ ‫تا‬
on
‫اتوماتیک‬ ‫صورت‬ ‫به‬ ‫سیستم‬ ‫مجدد‬ ‫اندازی‬ ‫راه‬ ‫با‬ ‫و‬ ‫باشند‬ ‫می‬ ‫معتبر‬ ‫باشد‬
reset
‫شوند‬ ‫می‬
.
‫از‬ ‫بعد‬ ‫قوانین‬ ‫این‬ ‫اینکه‬ ‫برای‬
‫کنید‬ ‫زیراستفاده‬ ‫دستور‬ ‫از‬ ‫شوند‬ ‫اجرا‬ ‫اتوماتیک‬ ‫صورت‬ ‫به‬ ،‫مجدد‬ ‫اندازی‬ ‫راه‬
:
/sbin/service iptables save
‫نکته‬
:
‫سایر‬
Rule
‫مسیر‬ ‫در‬ ‫ها‬
/
etc/sysconfig/iptables
‫شوند‬ ‫می‬ ‫ذخیره‬
.
)
22
(
1
.
‫فایروال‬ ‫وضعیت‬ ‫نمایش‬
:
‫در‬ ‫حاضر‬ ‫حال‬ ‫در‬ ‫که‬ ‫هایی‬ ‫رول‬ ‫شدن‬ ‫مشخص‬ ‫برای‬
iptables
‫فرمائید‬ ‫استفاده‬ ‫زیر‬ ‫دستور‬ ‫از‬ ‫توانید‬ ‫می‬ ،‫دارند‬ ‫وجود‬
:
iptables -L -n -v
‫باشد‬ ‫زیر‬ ‫شکل‬ ‫به‬ ‫تواند‬ ‫می‬ ‫دستور‬ ‫خروجی‬
:
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
‫بود‬ ‫خواهد‬ ‫زیر‬ ‫شکل‬ ‫به‬ ‫وضعیت‬ ‫احتمال‬ ،‫اید‬ ‫کرده‬ ‫اضافه‬ ‫هایی‬ ‫رول‬ ‫قبل‬ ‫از‬ ‫خود‬ ‫فایروال‬ ‫در‬ ‫اگر‬
:
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
394 43586 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
93 17292 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0
1 142 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- br0 br0 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
0 0 TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to
PMTU
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 wanin all -- vlan2 * 0.0.0.0/0 0.0.0.0/0
0 0 wanout all -- * vlan2 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 425 packets, 113K bytes)
pkts bytes target prot opt in out source destination
Chain wanin (1 references)
pkts bytes target prot opt in out source destination
)
23
(
Chain wanout (1 references)
pkts bytes target prot opt in out source destination
‫فرمائید‬ ‫استفاده‬ ‫زیر‬ ‫دستور‬ ‫از‬ ‫رول‬ ‫هر‬ ‫خط‬ ‫شماره‬ ‫همراه‬ ‫به‬ ‫ها‬ ‫رول‬ ‫نمایش‬ ‫برای‬
:
iptables -n -L -v --line-numbers
‫بود‬ ‫خواهد‬ ‫زیر‬ ‫مشابه‬ ،‫دستور‬ ‫خروجی‬ ‫احتمال‬
:
Chain INPUT (policy DROP)
num target prot opt source destination
1 DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID
2 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
4 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP)
num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
2 DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID
3 TCPMSS tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
4 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
5 wanin all -- 0.0.0.0/0 0.0.0.0/0
6 wanout all -- 0.0.0.0/0 0.0.0.0/0
7 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
Chain wanin (1 references)
num target prot opt source destination
Chain wanout (1 references)
num target prot opt source destination
‫دستور‬ ‫توضیح‬
:
L
: -
‫ها‬ ‫رول‬ ‫لیست‬
v
: -
‫جزئیات‬ ‫نمایش‬
n
: -
‫نمایش‬
ip
‫عددی‬ ‫بصورت‬ ‫پورت‬ ‫و‬
2
.
‫فایروال‬ ‫وضعیت‬ ‫تغییر‬
:
)
24
(
‫کرد‬ ‫استفاده‬ ‫توان‬ ‫می‬ ‫فایروال‬ ‫ریست‬ ‫و‬ ‫خاموش‬ ، ‫روشن‬ ‫برای‬ ‫زیر‬ ‫دستورات‬ ‫از‬
:
service iptables stop
service iptables start
service iptables restart
‫نمائید‬ ‫وارد‬ ‫را‬ ‫زیر‬ ‫دستور‬ ، ‫بمانید‬ ‫باقی‬ ‫منوال‬ ‫همین‬ ‫به‬ ‫وضعیت‬ ‫نیز‬ ‫سرور‬ ‫ریستارت‬ ‫از‬ ‫پس‬ ‫و‬ ‫خاموش‬ ‫را‬ ‫فایروال‬ ‫خواهید‬ ‫می‬ ‫اگر‬
:
service iptables stop
chkconfig iptables off
3
.
‫فایروال‬ ‫های‬ ‫رول‬ ‫و‬ ‫قوانین‬ ‫حذف‬
:
‫آورید‬ ‫بدست‬ ‫را‬ ‫رول‬ ‫خط‬ ‫شماره‬ ‫زیر‬ ‫دستورات‬ ‫کمک‬ ‫به‬ ‫ابتدا‬
:
iptables -L INPUT -n --line-numbers
iptables -L OUTPUT -n --line-numbers
iptables -L OUTPUT -n --line-numbers | less
iptables -L OUTPUT -n --line-numbers | grep 202.54.1.1
‫شماره‬ ‫خط‬ ‫در‬ ‫موجود‬ ‫رول‬ ‫حذف‬ ‫برای‬ ‫مثال‬ ‫عنوان‬ ‫به‬ ‫حال‬
4
‫فرمائید‬ ‫استفاده‬ ‫زیر‬ ‫دستور‬ ‫از‬ ‫توانید‬ ‫می‬
:
iptables -D INPUT 4
‫فرمایید‬ ‫استفاده‬ ‫خود‬ ‫نظر‬ ‫مورد‬ ‫پی‬ ‫ای‬ ‫به‬ ‫مروبطه‬ ‫قوانین‬ ‫حذف‬ ‫برای‬ ‫زیر‬ ‫دستور‬ ‫از‬ ‫یا‬ ‫و‬
:
iptables -D INPUT -s 202.54.1.1 -j DROP
‫توضیح‬
:
D
: -
‫شده‬ ‫انتخاب‬ ‫زنجیره‬ ‫از‬ ‫رول‬ ‫چند‬ ‫یا‬ ‫یک‬ ‫حذف‬
3.1
‫فایروال‬ ‫از‬ ‫ها‬ ‫رول‬ ‫کلیه‬ ‫حذف‬
)
Flush iptables
:(
)
25
(
‫فرمائید‬ ‫استفاده‬ ‫زیر‬ ‫دستور‬ ‫از‬ ‫توانید‬ ‫می‬ ‫ها‬ ‫رول‬ ‫کلیه‬ ‫حذف‬ ‫برای‬
:
iptables -F
‫تیبل‬ ‫در‬ ‫اگر‬ ‫و‬
nat
‫و‬
mangle
‫نمائید‬ ‫وارد‬ ‫است‬ ‫لزم‬ ‫نیز‬ ‫را‬ ‫زیر‬ ‫دستور‬ ‫دو‬ ، ‫کردید‬ ‫اضافه‬ ‫رولی‬ ‫نیز‬
:
iptables -t nat -F
iptables -t mangle -F
‫فرمائید‬ ‫استفاده‬ ‫زیر‬ ‫دستور‬ ‫از‬ ‫مجدد‬ ‫ها‬ ‫رول‬ ‫وضعیت‬ ‫مشاهده‬ ‫برای‬
:
iptables -L -v -n
4
.
‫فایروال‬ ‫در‬ ‫فوروارد‬ ‫یا‬ ‫و‬ ‫خروجی‬ ، ‫ورودی‬ ‫ترافیک‬ ‫کردن‬ ‫مسدود‬ ‫نحوه‬
:
‫فرمائید‬ ‫استفاده‬ ‫زیر‬ ‫دستورات‬ ‫از‬ ‫توانید‬ ‫می‬ ‫ترافیک‬ ‫کل‬ ‫کردن‬ ‫مسدود‬ ‫برای‬
)
‫به‬ ‫شما‬ ‫دسترسی‬ ‫از‬ ‫مانع‬ ‫تواند‬ ‫می‬ ‫دستورات‬ ‫این‬ ‫که‬ ‫نمائید‬ ‫دقت‬
‫گردد‬ ‫سرور‬
: (.
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
‫فرمائید‬ ‫استفاده‬ ‫زیر‬ ‫دستور‬ ‫از‬ ‫توانید‬ ‫می‬ ‫فایروال‬ ‫در‬ ‫شده‬ ‫اضافه‬ ‫تغییرات‬ ‫نمودن‬ ‫ذخیره‬ ‫برای‬
:
service iptables save
)
26
(
iptables-save > iptable.rule
: ‫کنیم‬ ‫ریستور‬ ‫را‬ ‫آن‬ ‫میتوانیم‬ ‫زیر‬ ‫دستور‬ ‫با‬ ‫سپس‬ . ‫کنیم‬ ‫ذخیره‬ ‫نظر‬ ‫مد‬ ‫مسیر‬ ‫در‬ ‫میتوانید‬ ‫را‬ ‫ها‬ ‫رول‬ ‫ما‬ ‫اینجا‬ ‫در‬
iptables-restore < iptables.rule
‫برای‬ : ‫نکته‬
save
‫فایل‬ ‫در‬ ‫را‬ ‫کردن‬ ‫ریستور‬ ‫به‬ ‫مربوط‬ ‫دستور‬ ‫توانید‬‫می‬ ‫دایمی‬ ‫بصورت‬ ‫کردن‬
interfaces
‫قرار‬ ( ‫شبکه‬ ‫کارت‬ ‫)تنظیمات‬
: ‫نمونه‬ ‫برای‬ ‫دهید‬
pre-up iptables-restore < iptables.rule
5
.
‫یک‬ ‫نمودن‬ ‫مسدود‬ ‫نحوه‬
IP
‫سرور‬ ‫روی‬ ‫بر‬
:
‫پی‬ ‫ای‬ ‫سوی‬ ‫از‬ ‫ورودی‬ ‫ترافیک‬ ‫توانید‬ ‫می‬ ‫شما‬ ‫اول‬ ‫دستورات‬ ‫کمک‬ ‫به‬
1.2.3.4
‫پی‬ ‫ای‬ ‫رنج‬ ‫برای‬ ‫ورودی‬ ‫ترافیک‬ ‫کل‬ ‫دوم‬ ‫دستور‬ ‫کردن‬ ‫وارد‬ ‫به‬ ‫و‬
‫گردد‬ ‫می‬ ‫مسدود‬ ‫مثال‬ ‫مورد‬
.
iptables -A INPUT -s 1.2.3.4 -j DROP
iptables -A INPUT -s 192.168.0.0/24 -j DROP
6
.
‫خاص‬ ‫پورت‬ ‫یک‬ ‫روی‬ ‫بر‬ ‫ورودی‬ ‫ترافیک‬ ‫کردن‬ ‫مسدود‬ ‫نحوه‬
:
‫پورت‬ ‫روی‬ ‫بر‬ ‫را‬ ‫ورودی‬ ‫ترافیک‬ ‫توان‬ ‫می‬ ‫زیر‬ ‫دستورات‬ ‫کمک‬ ‫به‬
80
‫نمائید‬ ‫مسدود‬
.
‫پورت‬ ‫از‬ ‫سرور‬ ‫وب‬ ‫معمول‬ ‫که‬ ‫است‬ ‫توضیح‬ ‫به‬ ‫لزم‬
80
‫برای‬
‫کند‬ ‫می‬ ‫استفاده‬ ‫سایت‬ ‫وب‬ ‫نمایش‬
.
iptables -A INPUT -p tcp --dport 80 -j DROP
iptables -A INPUT -i eth1 -p tcp --dport 80 -j DROP
)
27
(
‫پورت‬ ‫روی‬ ‫بر‬ ‫ورودی‬ ‫ترافیک‬ ‫کردن‬ ‫مسدود‬ ‫برای‬
80
‫یک‬ ‫برای‬ ‫تنها‬
IP
‫رنج‬ ‫یک‬ ‫یا‬ ‫و‬
IP
‫فرمائید‬ ‫استفاده‬ ‫زیر‬ ‫دستورات‬ ‫از‬ ‫توانید‬ ‫می‬
:
iptables -A INPUT -p tcp -s 1.2.3.4 --dport 80 -j DROP
iptables -A INPUT -i eth1 -p tcp -s 192.168.1.0/24 --dport 80 -j DROP
7
.
‫خروجی‬ ‫ترافیک‬ ‫نمودن‬ ‫مسدود‬ ‫نحوه‬
:
‫یک‬ ‫برای‬ ‫خروجی‬ ‫ترافیک‬ ‫نمودن‬ ‫مسدود‬ ‫برای‬
IP
‫رنج‬ ‫یک‬ ‫یا‬ ‫و‬ ‫خاص‬
IP
‫فرمائید‬ ‫استفاده‬ ‫زیر‬ ‫دستورات‬ ‫از‬ ‫توانید‬ ‫می‬
:
iptables -A OUTPUT -d 1.2.3.4 -j DROP
iptables -A OUTPUT -d 192.168.1.0/24 -j DROP
iptables -A OUTPUT -o eth1 -d 192.168.1.0/24 -j DROP
8
.
‫ها‬ ‫فعالیت‬ ‫کردن‬ ‫لگ‬
:
‫از‬ ‫جلوگیری‬ ‫برای‬ ‫مثال‬ ‫برای‬ ‫شوید‬ ‫مطلع‬ ‫است‬ ‫وقوع‬ ‫حال‬ ‫در‬ ‫سرور‬ ‫شبکه‬ ‫روی‬ ‫بر‬ ‫که‬ ‫هایی‬ ‫فعالیت‬ ‫ریز‬ ‫از‬ ‫تا‬ ‫استفا‬ ‫نیاز‬ ‫مواقع‬ ‫از‬ ‫خیلی‬
IP
spoofing
‫اینترفیس‬ ‫روی‬ ‫بر‬
eth1
‫فرمائید‬ ‫استفاده‬ ‫زیر‬ ‫دستور‬ ‫از‬ ‫توانید‬ ‫می‬
.
‫حالیکه‬ ‫در‬ ‫دستور‬ ‫این‬ ‫در‬
، ‫گردد‬ ‫می‬ ‫مسدود‬ ‫مربوطه‬ ‫ترافیک‬
‫پیشوند‬ ‫با‬ ‫نیز‬ ‫گرفته‬ ‫صورت‬ ‫های‬ ‫تلش‬
IP_SPOOF A
‫شود‬ ‫می‬ ‫ذخیره‬ ‫لگ‬ ‫در‬
:
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j LOG --log-prefix "IP_SPOOF A: "
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
‫مسیر‬ ‫در‬ ‫ها‬ ‫لگ‬ ‫معمول‬
/
var/log/messages
‫باشد‬ ‫متفاوت‬ ‫تواند‬ ‫می‬ ‫استفاده‬ ‫مورد‬ ‫لینوکس‬ ‫ویرایش‬ ‫به‬ ‫توجه‬ ‫با‬ ‫البته‬ ‫که‬ ‫دارند‬ ‫قرار‬
.
‫برای‬
‫فرمائید‬ ‫استفاده‬ ‫زیر‬ ‫دستورات‬ ‫از‬ ‫توانید‬ ‫می‬ ‫مربوطه‬ ‫های‬ ‫لگ‬ ‫مشاهده‬
:
)
28
(
tail -f /var/log/messages
grep --color 'IP SPOOF' /var/log/messages
‫سوکت‬ ‫قابلیت‬ ‫از‬ ‫توان‬ ‫می‬ ‫فایل‬ ‫لگ‬ ‫شدن‬ ‫حجیم‬ ‫از‬ ‫جلوگیری‬ ‫برای‬
-
m
‫برای‬ ‫که‬ ‫نمود‬ ‫تنظیم‬ ‫توان‬ ‫می‬ ‫آن‬ ‫کمک‬ ‫به‬ ‫که‬ ‫کرد‬ ‫استفاده‬ ‫دستور‬ ‫در‬
‫هر‬ ‫در‬ ‫مثال‬
5
‫از‬ ‫بیش‬ ‫دقیقه‬
7
‫در‬ ‫را‬ ‫مورد‬
‫ننماید‬ ‫ذخیره‬ ‫لگ‬
:
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -m limit --limit 5/m --limit-burst 7 -j LOG --log-prefix "IP_SPOOF A: "
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
9
.
‫شویم؟‬ ‫آگاه‬ ‫شبکه‬ ‫روی‬ ‫بر‬ ‫فایروال‬ ‫توسط‬ ‫پورت‬ ‫یک‬ ‫بودن‬ ‫بسته‬ ‫یا‬ ‫باز‬ ‫از‬ ‫چگونه‬
‫فرمایئد‬ ‫استفاده‬ ‫زیر‬ ‫دستور‬ ‫از‬ ‫توانید‬ ‫می‬ ‫پورت‬ ‫نبودن‬ ‫و‬ ‫بودن‬ ‫باز‬ ‫از‬ ‫آگاهی‬ ‫برای‬
:
netstat -tulpn
‫پورت‬ ‫پورت‬ ‫آیا‬ ‫اینکه‬ ‫از‬ ‫اطلع‬ ‫برای‬
tcp 80
‫فرمایید‬ ‫استفاده‬ ‫زیر‬ ‫دستور‬ ‫از‬ ‫خیر‬ ‫یا‬ ‫است‬ ‫باز‬
:
netstat -tulpn | grep :80
‫پورت‬ ‫اگر‬
80
‫نمائید‬ ‫وارد‬ ‫را‬ ‫زیر‬ ‫دستور‬ ‫نبود‬ ‫باز‬
:
service httpd start
‫پورت‬ ‫که‬ ‫یابید‬ ‫اطمینان‬ ‫زیر‬ ‫دستور‬ ‫کمک‬ ‫به‬
80
‫است‬ ‫نشده‬ ‫بسته‬ ‫فایروال‬ ‫روی‬ ‫بر‬
:
iptables -L INPUT -v -n | grep 80
‫فرمایئد‬ ‫استفاده‬ ‫زیر‬ ‫دستور‬ ‫از‬ ‫توانید‬ ‫می‬ ‫بود‬ ‫مسدود‬ ‫صورتیکه‬ ‫در‬
:
)
29
(
how use iptables
how use iptables
how use iptables
how use iptables
how use iptables
how use iptables
how use iptables
how use iptables
how use iptables
how use iptables
how use iptables
how use iptables
how use iptables
how use iptables
how use iptables
how use iptables
how use iptables
how use iptables
how use iptables
how use iptables
how use iptables
how use iptables
how use iptables
how use iptables
how use iptables
how use iptables
how use iptables
how use iptables
how use iptables
how use iptables

Mais conteúdo relacionado

Semelhante a how use iptables

تجارت الکترونبکی با opencart
تجارت الکترونبکی با opencartتجارت الکترونبکی با opencart
تجارت الکترونبکی با opencartYashar Esmaildokht
 
‫‪Wazuh‬‬ ‫و‬ ‫‪Ossec‬‬ ‫‪Wazuh‬‬ ‫به‬ ‫‪ossec‬‬ ‫از‬ ‫مهاجرت‬ ‫نحوه‬ ‫همچنین‬
‫‪Wazuh‬‬ ‫و‬ ‫‪Ossec‬‬ ‫‪Wazuh‬‬ ‫به‬ ‫‪ossec‬‬ ‫از‬ ‫مهاجرت‬ ‫نحوه‬ ‫همچنین‬‫‪Wazuh‬‬ ‫و‬ ‫‪Ossec‬‬ ‫‪Wazuh‬‬ ‫به‬ ‫‪ossec‬‬ ‫از‬ ‫مهاجرت‬ ‫نحوه‬ ‫همچنین‬
‫‪Wazuh‬‬ ‫و‬ ‫‪Ossec‬‬ ‫‪Wazuh‬‬ ‫به‬ ‫‪ossec‬‬ ‫از‬ ‫مهاجرت‬ ‫نحوه‬ ‫همچنین‬Yashar Esmaildokht
 
‫سطح دسترسی و کنترل لیست و سهمیه بندی‬ ‫در گنو/لینوکس‬
‫سطح دسترسی و کنترل لیست و سهمیه بندی‬ ‫در گنو/لینوکس‬‫سطح دسترسی و کنترل لیست و سهمیه بندی‬ ‫در گنو/لینوکس‬
‫سطح دسترسی و کنترل لیست و سهمیه بندی‬ ‫در گنو/لینوکس‬Yashar Esmaildokht
 
امنیت شبکه
امنیت شبکهامنیت شبکه
امنیت شبکهarichoana
 
بسم الله الرحمن الرحیم
بسم الله الرحمن الرحیمبسم الله الرحمن الرحیم
بسم الله الرحمن الرحیمgueste46ff9c
 
طراحی شبکه های کامپیوتری
طراحی شبکه های کامپیوتریطراحی شبکه های کامپیوتری
طراحی شبکه های کامپیوتریtarasad
 
Systemd and its various uses and capabilities.
Systemd and its various uses and capabilities.Systemd and its various uses and capabilities.
Systemd and its various uses and capabilities.Yashar Esmaildokht
 
Presentation research method
Presentation research methodPresentation research method
Presentation research methodamirhosseinshahed
 
مرجع oracle mysql |mariadb
مرجع oracle mysql |mariadb مرجع oracle mysql |mariadb
مرجع oracle mysql |mariadb Yashar Esmaildokht
 
Cisco Exploration 2 In Persion-Muhibullah Aman
Cisco Exploration 2 In Persion-Muhibullah AmanCisco Exploration 2 In Persion-Muhibullah Aman
Cisco Exploration 2 In Persion-Muhibullah AmanMuhibullah Aman
 
مسیردهی و پروتوکولهای مسیریابی
مسیردهی و پروتوکولهای مسیریابیمسیردهی و پروتوکولهای مسیریابی
مسیردهی و پروتوکولهای مسیریابیMuhibullah Aman
 

Semelhante a how use iptables (20)

تجارت الکترونبکی با opencart
تجارت الکترونبکی با opencartتجارت الکترونبکی با opencart
تجارت الکترونبکی با opencart
 
Supervisor
SupervisorSupervisor
Supervisor
 
ips/ids
ips/idsips/ids
ips/ids
 
Zfs and btrfs
Zfs and btrfsZfs and btrfs
Zfs and btrfs
 
Nfs Acl
Nfs AclNfs Acl
Nfs Acl
 
openstack designate
openstack designateopenstack designate
openstack designate
 
nbd and it's benefits
nbd and it's benefitsnbd and it's benefits
nbd and it's benefits
 
nbd
nbdnbd
nbd
 
‫‪Wazuh‬‬ ‫و‬ ‫‪Ossec‬‬ ‫‪Wazuh‬‬ ‫به‬ ‫‪ossec‬‬ ‫از‬ ‫مهاجرت‬ ‫نحوه‬ ‫همچنین‬
‫‪Wazuh‬‬ ‫و‬ ‫‪Ossec‬‬ ‫‪Wazuh‬‬ ‫به‬ ‫‪ossec‬‬ ‫از‬ ‫مهاجرت‬ ‫نحوه‬ ‫همچنین‬‫‪Wazuh‬‬ ‫و‬ ‫‪Ossec‬‬ ‫‪Wazuh‬‬ ‫به‬ ‫‪ossec‬‬ ‫از‬ ‫مهاجرت‬ ‫نحوه‬ ‫همچنین‬
‫‪Wazuh‬‬ ‫و‬ ‫‪Ossec‬‬ ‫‪Wazuh‬‬ ‫به‬ ‫‪ossec‬‬ ‫از‬ ‫مهاجرت‬ ‫نحوه‬ ‫همچنین‬
 
‫سطح دسترسی و کنترل لیست و سهمیه بندی‬ ‫در گنو/لینوکس‬
‫سطح دسترسی و کنترل لیست و سهمیه بندی‬ ‫در گنو/لینوکس‬‫سطح دسترسی و کنترل لیست و سهمیه بندی‬ ‫در گنو/لینوکس‬
‫سطح دسترسی و کنترل لیست و سهمیه بندی‬ ‫در گنو/لینوکس‬
 
امنیت شبکه
امنیت شبکهامنیت شبکه
امنیت شبکه
 
Soap vs restful
Soap vs  restfulSoap vs  restful
Soap vs restful
 
Ossec و Wazuh
Ossec   و WazuhOssec   و Wazuh
Ossec و Wazuh
 
بسم الله الرحمن الرحیم
بسم الله الرحمن الرحیمبسم الله الرحمن الرحیم
بسم الله الرحمن الرحیم
 
طراحی شبکه های کامپیوتری
طراحی شبکه های کامپیوتریطراحی شبکه های کامپیوتری
طراحی شبکه های کامپیوتری
 
Systemd and its various uses and capabilities.
Systemd and its various uses and capabilities.Systemd and its various uses and capabilities.
Systemd and its various uses and capabilities.
 
Presentation research method
Presentation research methodPresentation research method
Presentation research method
 
مرجع oracle mysql |mariadb
مرجع oracle mysql |mariadb مرجع oracle mysql |mariadb
مرجع oracle mysql |mariadb
 
Cisco Exploration 2 In Persion-Muhibullah Aman
Cisco Exploration 2 In Persion-Muhibullah AmanCisco Exploration 2 In Persion-Muhibullah Aman
Cisco Exploration 2 In Persion-Muhibullah Aman
 
مسیردهی و پروتوکولهای مسیریابی
مسیردهی و پروتوکولهای مسیریابیمسیردهی و پروتوکولهای مسیریابی
مسیردهی و پروتوکولهای مسیریابی
 

Mais de Yashar Esmaildokht

how install and config sdn in proxmox virtualization
how install and config sdn in proxmox virtualizationhow install and config sdn in proxmox virtualization
how install and config sdn in proxmox virtualizationYashar Esmaildokht
 
service registery and the service discovery
service registery and the service discoveryservice registery and the service discovery
service registery and the service discoveryYashar Esmaildokht
 
bcache and cachefs its benefits.
bcache and cachefs   its benefits. bcache and cachefs   its benefits.
bcache and cachefs its benefits. Yashar Esmaildokht
 
how add and remove Mgr in ceph cluster
how add and remove  Mgr in ceph  clusterhow add and remove  Mgr in ceph  cluster
how add and remove Mgr in ceph clusterYashar Esmaildokht
 
how add and delete new mon in ceph cluster
how add  and delete new  mon in ceph clusterhow add  and delete new  mon in ceph cluster
how add and delete new mon in ceph clusterYashar Esmaildokht
 
Load Balancing-as-a-Service (LBaaS) with octavia in openstack
Load Balancing-as-a-Service (LBaaS) with octavia in openstackLoad Balancing-as-a-Service (LBaaS) with octavia in openstack
Load Balancing-as-a-Service (LBaaS) with octavia in openstackYashar Esmaildokht
 
نحوه ایجاد snapshot و ایجاد point در سیستم‌های گنو/لینوکسی برای ایجاد sys...
 نحوه ایجاد snapshot  و ایجاد point  در سیستم‌های گنو/لینوکسی  برای ایجاد sys... نحوه ایجاد snapshot  و ایجاد point  در سیستم‌های گنو/لینوکسی  برای ایجاد sys...
نحوه ایجاد snapshot و ایجاد point در سیستم‌های گنو/لینوکسی برای ایجاد sys...Yashar Esmaildokht
 
how create linux image for cloud
how create linux image for cloud how create linux image for cloud
how create linux image for cloud Yashar Esmaildokht
 

Mais de Yashar Esmaildokht (20)

how install and config sdn in proxmox virtualization
how install and config sdn in proxmox virtualizationhow install and config sdn in proxmox virtualization
how install and config sdn in proxmox virtualization
 
service registery and the service discovery
service registery and the service discoveryservice registery and the service discovery
service registery and the service discovery
 
process
processprocess
process
 
bcache and cachefs its benefits.
bcache and cachefs   its benefits. bcache and cachefs   its benefits.
bcache and cachefs its benefits.
 
radosgw
radosgw radosgw
radosgw
 
cachefs
cachefs cachefs
cachefs
 
how add and remove Mgr in ceph cluster
how add and remove  Mgr in ceph  clusterhow add and remove  Mgr in ceph  cluster
how add and remove Mgr in ceph cluster
 
how add and delete new mon in ceph cluster
how add  and delete new  mon in ceph clusterhow add  and delete new  mon in ceph cluster
how add and delete new mon in ceph cluster
 
raid with megacli
raid with megacliraid with megacli
raid with megacli
 
Openstack Rally
Openstack RallyOpenstack Rally
Openstack Rally
 
OpenStack and its service
OpenStack and its serviceOpenStack and its service
OpenStack and its service
 
Load Balancing-as-a-Service (LBaaS) with octavia in openstack
Load Balancing-as-a-Service (LBaaS) with octavia in openstackLoad Balancing-as-a-Service (LBaaS) with octavia in openstack
Load Balancing-as-a-Service (LBaaS) with octavia in openstack
 
نحوه ایجاد snapshot و ایجاد point در سیستم‌های گنو/لینوکسی برای ایجاد sys...
 نحوه ایجاد snapshot  و ایجاد point  در سیستم‌های گنو/لینوکسی  برای ایجاد sys... نحوه ایجاد snapshot  و ایجاد point  در سیستم‌های گنو/لینوکسی  برای ایجاد sys...
نحوه ایجاد snapshot و ایجاد point در سیستم‌های گنو/لینوکسی برای ایجاد sys...
 
linux industry
linux industrylinux industry
linux industry
 
security book
security book security book
security book
 
squid
squidsquid
squid
 
how upgrade ceph
how upgrade cephhow upgrade ceph
how upgrade ceph
 
how create linux image for cloud
how create linux image for cloud how create linux image for cloud
how create linux image for cloud
 
how config Naxsi
how config Naxsi how config Naxsi
how config Naxsi
 
How Create Waf With Naxsi
How Create Waf With NaxsiHow Create Waf With Naxsi
How Create Waf With Naxsi
 

how use iptables

  • 2. ‫دخت‬ ‫اسمعیل‬ ‫یاشار‬ ‫مهندس‬ : ‫نویسنده‬ : ‫نسخه‬ ۰.3 ) 2 (
  • 3. : ‫نویسنده‬ ‫درباره‬ ‫رشته‬ ‫آموخته‬ ‫دانش‬ ‫دخت‬ ‫اسمعیل‬ ‫یاشار‬ ‫بنده‬ cyber security . ‫هستم‬ ‫از‬ ‫بیش‬ ۱۵ . ‫دارم‬ ‫فعالیت‬ ‫سابقه‬ ‫سال‬ ‫مولف‬ - ‫مدرس‬ - ‫مشاور‬ : ‫داد‬ ‫شرح‬ ‫زیر‬ ‫های‬ ‫ساختار‬ ‫در‬ ‫میتوان‬ ‫را‬ ‫بنده‬ ‫های‬ ‫فعالیت‬ ‫جمله‬ ‫از‬ gnu/linux system/network/security/cloud Engineer/administrator & oracle dba | Linux Trainer |devops . (: ‫جدید‬ ‫دنیاهای‬ ‫کشف‬ ‫و‬ ‫تحقیق‬ ‫و‬ ‫مطالعه‬ ‫به‬ ‫مند‬ ‫علقه‬ . ‫کنم‬ ‫اشاره‬ ‫استراتژی‬ ‫های‬ ‫بازی‬ ‫و‬ ‫اوتلو‬ ‫و‬ ‫شطرنج‬ ‫بازی‬ ‫به‬ ‫میتوانم‬ ‫من‬ ‫های‬ ‫سرگرمی‬ ‫از‬ ‫واقع‬ ‫در‬ ‫تبریز‬ ‫لگ‬ ‫گذاران‬ ‫بنیان‬ ‫از‬ ‫یکی‬ ‫و‬ ‫لینوکس‬/‫گنو‬ ‫و‬ ‫باز‬ ‫متن‬ ‫دنیای‬ ‫عاشق‬ . ‫هستم‬ ‫عاشق‬ ‫یک‬ ‫من‬ : ‫کنید‬ ‫پیدا‬ ‫و‬ ‫کنید‬ ‫دنبال‬ ‫را‬ ‫من‬ ‫میتوانید‬ ‫چطور‬ ‫خب‬ Mob : 09141100257 Telegram ID Telegram channel Instagram Account Linkedin Account . ‫بشنوم‬ ‫را‬ ‫انتقادتون‬ ‫یا‬ ‫پیشنهاد‬ ‫هرگونه‬ ‫میشم‬ ‫خوشحال‬ ‫همچنین‬ : ‫کنید‬ ‫پیدا‬ ‫را‬ ‫من‬ ‫از‬ ‫ی‬ ‫دیگر‬ ‫های‬ ‫کتاب‬ ‫میتونید‬ ‫چطور‬ ‫توی‬ slideshare . ‫کنید‬ ‫پیدا‬ ‫را‬ ‫کردم‬ ‫منتشر‬ ‫آزاد‬ ‫بصورت‬ ‫که‬ ‫دیگری‬ ‫های‬ ‫کتاب‬ ‫میتونید‬ ‫بگردید‬ ‫من‬ ‫اسم‬ ‫دنبال‬ ‫گوگل‬ ‫یا‬ ) 3 (
  • 4. : ‫مشاوره‬ . ‫بود‬ ‫خواهم‬ ‫شما‬ ‫دسترس‬ ‫در‬ ‫من‬ . ‫فرمایید‬ ‫حاصل‬ ‫تماس‬ . ‫کردم‬ ‫اشاره‬ ‫قبل‬ ‫صفحه‬ ‫در‬ ‫که‬ ‫هایی‬ ‫کانال‬ ‫از‬ ‫میتوانید‬ ‫مشاوره‬ ‫جهت‬ ) 4 (
  • 5. : ‫خواننده‬ ‫با‬ ‫سخنی‬ ‫کتاب‬ . ‫گرفتم‬ ‫تصمیم‬ ‫من‬ . ‫کرد‬ ‫منتشر‬ ‫مختلف‬ ‫های‬ ‫روش‬ ‫با‬ ‫رو‬ ‫اثر‬ ‫یک‬ ‫میشه‬ ‫و‬ . ‫هست‬ ‫وقت‬ ‫نیازمند‬ ‫ایجاد‬ ‫برای‬ ‫ساختاری‬ ‫هر‬ ‫چون‬ . ‫کنم‬ ‫دریافت‬ ‫حمایت‬ ‫و‬ ‫دانلود‬ ‫هزینه‬ ‫و‬ . ‫کنم‬ ‫منتشر‬ ‫آزاد‬ ‫بصورت‬ ‫مینویسم‬ ‫که‬ ‫هایی‬ ‫شاید‬ . ‫کنم‬ ‫چاپ‬ ‫را‬ ‫ها‬ ‫کتاب‬ ‫این‬ ‫اگر‬ ‫حقیقت‬ ‫در‬ . ‫است‬ ‫بهتر‬ ‫روش‬ ‫این‬ ‫بنظرم‬ . ‫کنیم‬ ‫ب‬ ‫حسا‬ … ‫و‬ ‫درختان‬ ‫قطعی‬ ‫و‬ … ‫و‬ ‫چاپ‬ ‫تا‬ ‫گرفتن‬ ‫مجوز‬ ‫زمان‬ ‫هرینه‬ ‫ولی‬ . ‫بیاد‬ ‫بدست‬ ‫بیشتری‬ ‫سود‬ . ‫بدن‬ ‫انجام‬ ‫خرید‬ ‫و‬ ‫کنن‬ ‫حمایت‬ ‫عزیزان‬ ‫امیدوارم‬ . ‫روش‬ ‫این‬ ‫با‬ ‫بیشتر‬ ‫های‬ ‫انتشار‬ ‫برای‬ ‫میشه‬ ‫دلگرمی‬ ‫باعث‬ ‫این‬ ‫که‬ . ‫هست‬ ‫باز‬ ‫متن‬ ‫توسعه‬ ‫من‬ ‫تلش‬ ‫دونیت‬ ) 5 (
  • 6. iptables ‫یک‬ ‫فایروال‬ ‫برای‬ ‫گنو‬ / ‫لینوکس‬ ‫است‬ . ‫است‬ ‫نصب‬ ‫فرض‬‫پیش‬ ‫بصورت‬ ‫لینوکس‬ ‫های‬‫توزیع‬ ‫بیشتر‬ ‫بروی‬ ‫که‬ . ‫سطح‬ ‫در‬ ‫سیاستی‬ ‫هر‬ ‫اجرای‬ ‫به‬ ‫قادر‬ ‫که‬ ‫است‬ ‫ابزاری‬ ‫نام‬ ‫تیبلز‬‫پی‬‫آی‬ ‫شود‬‫می‬ ‫مربوط‬ ‫ترانسفر‬ ‫لیه‬ ‫در‬ ‫آن‬ ‫حصر‬ ‫و‬ ‫حد‬ ‫بی‬ ‫انعطاف‬ ‫به‬ ،‫هسته‬ ‫سطح‬ ‫افزار‬‫نرم‬ ‫این‬ ‫اصلی‬ ‫محبوبیت‬ ‫و‬ ‫شهرت‬ ‫اما‬ ‫است‬ ‫شبکه‬ ‫بالتر‬ ‫و‬ ‫تر‬‫پایین‬ ‫های‬‫لیه‬ ‫حدودی‬ ‫تا‬ ‫و‬ ‫ترانسفر‬ ‫لیه‬ ‫ها‬‫بسته‬ ‫روتینگ‬ ‫از‬ ‫حرف‬ ‫که‬ ‫آنجا‬ ) Packets ( ‫است‬ ‫آنها‬ ‫وضعیت‬ ‫و‬ . Iptables ‫تیم‬ ‫توسط‬ netfilter ‫شد‬ ‫طراحی‬ . ‫نام‬ ‫به‬ ،‫آن‬ ‫طراحی‬ ‫ای‬‫زنجیره‬ ‫ساختار‬ ‫علت‬ ‫به‬ ‫ابتدا‬ ‫در‬ ipchain ‫نام‬ ‫بعدها‬ ‫اما‬ ‫یافت‬ ‫شهرت‬ iptables ‫شد‬ ‫گذاشته‬ ‫آن‬ ‫بر‬ . ‫این‬ ‫آتش‬ ‫دیوار‬ ) Firewall ( ‫شد‬ ‫اضافه‬ ‫آن‬ ‫به‬ ‫مانندی‬ ‫ماژول‬ ‫های‬‫قسمت‬ ‫زمان‬ ‫مرور‬ ‫به‬ ‫اما‬ ‫کند‬ ‫اعمال‬ ‫ورودی‬ ‫های‬‫بسته‬ ‫روی‬ ‫فقط‬ ‫محدودی‬ ‫بسیار‬ ‫های‬‫سیاست‬ ‫توانست‬‫می‬ ‫تنها‬ ‫ابتدا‬ ‫در‬ . ) 6 (
  • 7. ‫محلی‬ ‫ی‬‫شبکه‬ ‫یک‬ ‫در‬ .‫شود‬‫می‬ ‫استفاده‬ ‫آتش‬ ‫دیواره‬ ‫از‬ ‫نیازها‬ ‫از‬ ‫بسیاری‬ ‫رفع‬ ‫و‬ ‫ترافیک‬ ‫کنترل‬ ،‫امنیت‬ ‫برقراری‬ ،‫شبکه‬ ‫آدرس‬ ‫ی‬‫ترجمه‬ ،‫بهتر‬ ‫مدیریت‬ ،‫حفاظت‬ ‫برای‬ ،‫لینوکس‬ ‫عامل‬‫سیستم‬ ‫آتش‬ ‫دیواره‬ IPTables ‫ساختار‬ ‫معرفی‬ ‫به‬ ‫ابتدا‬ ،‫مقاله‬ ‫این‬ ‫در‬ .‫است‬ IPTables ‫و‬ ‫ها‬‫قانون‬ ،‫ها‬‫زنجیره‬ ،‫ها‬‫جدول‬ ‫از‬ ‫ساختار‬ ‫این‬ .‫پردازیم‬‫می‬ .‫است‬ ‫شده‬ ‫تشکیل‬ ‫ها‬‫انطباق‬ IPTables ‫انطباق‬ ‫تعدادی‬ ‫از‬ ‫قانون‬ ‫هر‬ ‫و‬ ‫قانون‬ ‫تعدادی‬ ‫از‬ ‫زنجیره‬ ‫هر‬ ،‫زنجیره‬ ‫تعدادی‬ ‫از‬ ‫جدول‬ ‫هر‬ .‫است‬ ‫فرض‬‫پیش‬ ‫جدول‬ ‫چهار‬ ‫دارای‬ ‫خواهد‬ ‫اجرا‬ ‫بسته‬ ‫مورد‬ ‫در‬ ‫قانون‬ ‫آن‬ ‫هدف‬ ،‫باشد‬ ‫داشته‬ ‫انطباق‬ ‫قانون‬ ‫یک‬ ‫با‬ ‫کامل‬ ‫طور‬ ‫به‬ ‫ای‬‫بسته‬ ‫اگر‬ .‫است‬ ‫هدف‬ ‫مجموعه‬ ‫یک‬ ‫دارای‬ ‫قانون‬ ‫هر‬ .‫است‬ ‫شده‬ ‫تشکیل‬ .‫دهیم‬‫می‬ ‫توضیح‬ ‫کامل‬ ‫طور‬ ‫به‬ ‫را‬ ‫آتش‬ ‫دیواره‬ ‫از‬ ‫عبورکننده‬ ‫های‬‫بسته‬ ‫سرنوشت‬ ‫ادامه‬ ‫در‬ .‫شد‬ ‫یا‬ ‫ابزار‬ ‫یک‬ ،‫همچنین‬ .‫است‬ ‫شده‬ ‫طراحی‬ ‫شبکه‬ ‫آن‬ ‫به‬ ‫ناخواسته‬ ‫های‬‫دسترسی‬ ‫مسدودکردن‬ ‫منظور‬ ‫به‬ ‫که‬ ‫است‬ ‫کامپیوتری‬ ‫ی‬‫شبکه‬ ‫یک‬ ‫از‬ ‫بخشی‬ ‫آتش‬ ‫دیواره‬ ‫یک‬ ‫بر‬ ‫مختلف‬ ‫امنیتی‬ ‫های‬‫دامنه‬ ‫بین‬ ‫کامپیوتری‬ ‫ترافیک‬ ‫کل‬ ‫نمودن‬ ‫پراکسی‬ ‫یا‬ ‫رمزگشایی‬ ‫و‬ ‫رمزنگاری‬ ،‫ردکردن‬ ،‫دادن‬‫اجازه‬ ‫منظور‬ ‫به‬ ‫که‬ ‫است‬ ‫ابزارها‬ ‫از‬ ‫ای‬‫مجموعه‬ ‫آتش‬ ‫های‬‫دیواره‬ .‫شود‬ ‫سازی‬‫پیاده‬ ‫دو‬ ‫این‬ ‫از‬ ‫ترکیبی‬ ‫یا‬ ‫و‬ ‫افزار‬‫نرم‬ ،‫افزار‬‫سخت‬ ‫روی‬ ‫تواند‬‫می‬ ‫آتش‬ ‫دیواره‬ .‫شود‬‫می‬ ‫استفاده‬ ‫معیارها‬ ‫و‬ ‫قوانین‬ ‫از‬ ‫ای‬‫مجموعه‬ ‫اساس‬ ‫از‬ ‫اینترنت‬ ‫از‬ ‫دریافتی‬ ‫و‬ ‫ارسالی‬ ‫های‬‫پیام‬ ‫کلیه‬ .‫شوند‬‫می‬ ‫استفاده‬ ‫اینترنت‬ ‫به‬ ‫متصل‬ ‫داخلی‬ ‫ی‬‫شبکه‬ ‫به‬ ‫اینترنت‬ ‫ناخواسته‬ ‫کاربران‬ ‫دسترسی‬ ‫از‬ ‫جلوگیری‬ ‫برای‬ ‫معمول‬ ‫برای‬ .‫کند‬‫می‬ ‫مسدود‬ ،‫کنند‬‫نمی‬ ‫برآورده‬ ‫را‬ ‫شده‬ ‫مشخص‬ ‫امنیتی‬ ‫معیارهای‬ ‫که‬ ‫هایی‬‫آن‬ ‫و‬ ‫کند‬‫می‬ ‫بررسی‬ ‫را‬ ‫ها‬‫پیام‬ ‫ی‬‫همه‬ ‫آتش‬ ‫دیواره‬ .‫کنند‬‫می‬ ‫عبور‬ ‫آتش‬ ‫دیواره‬ ‫نام‬ ‫به‬ ‫ابزاری‬ ‫از‬ ‫لینوکس‬ ‫عامل‬‫سیستم‬ ‫آتش‬ ‫دیواره‬ ‫تنظیم‬ IPTables .‫شود‬‫می‬ ‫استفاده‬ Netfilter ‫و‬ IPTables ‫ی‬‫هسته‬ ‫درون‬ ‫افزاری‬‫نرم‬ ‫ساختارهای‬ 2.4 . x ‫ی‬‫هسته‬ ‫و‬ 2.6 . x .‫داد‬ ‫انجام‬ ‫را‬ ‫ها‬‫بسته‬ ‫اصلح‬ ‫و‬ ‫شبکه‬ ‫آدرس‬ ‫ی‬‫ترجمه‬ ، ‫ها‬‫بسته‬ ‫فیلترکردن‬ ‫توان‬‫می‬ ‫ها‬‫آن‬ ‫کمک‬ ‫به‬ ‫که‬ ‫باشند‬‫می‬ ‫آتش‬ ‫دیواره‬ :‫است‬ ‫زیر‬ ‫موارد‬ ‫شامل‬ ‫که‬ ‫دهد‬‫می‬ ‫ارائه‬ ‫سرویس‬ ‫چندین‬ ‫آتش‬ ‫دیواره‬ • ‫آدرس‬ ‫از‬ ‫حفاظت‬ IP ‫های‬‫شبکه‬ ‫مثال‬ ‫عنوان‬ ‫)به‬ ‫مختلف‬ ‫های‬‫شبکه‬ .‫کنند‬‫می‬ ‫عمل‬ ‫مسیریاب‬ ‫یک‬ ‫مانند‬ ‫آتش‬ ‫های‬‫دیواره‬ ‫از‬ ‫بسیاری‬ :‫ترافیک‬ ‫کنترل‬ ‫و‬ 192.168.1.1/24 ‫و‬ 10.100.100.0/24 ‫ایجاد‬ ‫به‬ ‫کمک‬ ‫برای‬ ‫ابزار‬ ‫این‬ ‫از‬ ‫فقط‬ ‫شبکه‬ ‫مدیران‬ ‫از‬ ‫بسیاری‬ .‫کنند‬ ‫برقرار‬ ‫ارتباط‬ ‫یکدیگر‬ ‫با‬ ‫توانند‬‫می‬ ( ‫از‬ ‫استفاده‬ ‫با‬ ‫و‬ ‫است‬ ‫آتش‬ ‫دیواره‬ ‫اجزای‬ ‫از‬ ‫یکی‬ ‫خصوصیت‬ ‫این‬ .‫کنند‬‫می‬ ‫استفاده‬ ‫اضافی‬ ‫های‬‫زیرشبکه‬ IPTables ‫و‬ IPChains ‫بنابراین‬ .‫است‬ ‫شده‬ ‫کامل‬ ‫آدرس‬ ‫یک‬ ‫با‬ IP ‫اما‬ ،‫دهد‬‫نمی‬ ‫انجام‬ ‫را‬ ‫شبکه‬ ‫آدرس‬ ‫ی‬‫ترجمه‬ ‫لزوما‬ ‫آتش‬ ‫دیواره‬ ‫چه‬‫اگر‬ .‫آوریم‬ ‫وجود‬‫به‬ ‫گسترده‬ ‫ی‬‫شبکه‬ ‫یا‬ ‫محلی‬ ‫ی‬‫شبکه‬ ‫یک‬ ‫توانیم‬‫می‬ ‫مانند‬ ‫آتش‬ ‫های‬‫دیواره‬ ‫اکثر‬ IPTables .‫کنند‬‫می‬ ‫فراهم‬ ‫را‬ ‫امکان‬ ‫این‬ • ‫شبکه‬ ‫تفکیک‬ .‫کند‬‫می‬ ‫کمک‬ ‫ترافیک‬ ‫مدیریت‬ ‫در‬ ‫و‬ ‫است‬ ‫ها‬‫شبکه‬ ‫دیگر‬ ‫و‬ ‫شبکه‬ ‫یک‬ ‫بین‬ ‫مرز‬ ‫یک‬ ‫ایجاد‬ ‫برای‬ ‫ابتدایی‬ ‫ابزار‬ ‫یک‬ ‫آتش‬ ‫دیواره‬ : • ‫سمع‬ ‫استراق‬ ‫و‬ ‫پویشی‬ ، ‫دهی‬‫سرویس‬ ‫از‬ ‫جلوگیری‬ ‫های‬‫حمله‬ ‫برابر‬ ‫در‬ ‫محافظت‬ ‫ترافیک‬ ‫که‬ ‫کند‬‫می‬ ‫عمل‬ ‫منفرد‬ ‫نقطه‬ ‫یک‬ ‫عنوان‬ ‫به‬ ‫آتش‬ ‫دیواره‬ : .‫کند‬‫می‬ ‫کنترل‬ ‫را‬ ‫شبکه‬ ‫از‬ ‫خروجی‬ ‫و‬ ‫ورودی‬ • ‫کردن‬ ‫فیلتر‬ IP ‫دیواره‬ ‫یک‬ ‫کاربرد‬ ‫ترین‬‫شده‬‫شناخته‬ ‫کردن‬ ‫فیلتر‬ .‫دارد‬ ‫پورت‬ ‫و‬ ‫آدرس‬ ‫مبنای‬ ‫بر‬ ‫را‬ ‫اتصال‬ ‫کردن‬‫رد‬ ‫یا‬ ‫پذیرفتن‬ ‫توانایی‬ ‫آتش‬ ‫دیواره‬ :‫پورت‬ ‫و‬ ‫اساس‬ ‫بر‬ ‫بلکه‬ ‫ها‬‫بسته‬ ‫مقصد‬ ‫مبنای‬ ‫بر‬ ‫تنها‬ ‫نه‬ ‫و‬ ‫بوده‬ ‫پیچیده‬ ‫بسیار‬ ‫تواند‬‫می‬ ‫و‬ ‫است‬ ‫همراه‬ ‫ها‬‫بسته‬ ‫کردن‬ ‫فیلتر‬ ‫با‬ ‫کردن‬ ‫فیلتر‬ ‫از‬ ‫نوع‬ ‫این‬ .‫است‬ ‫آتش‬ .‫باشد‬ ‫نیز‬ ‫بسته‬ ‫مبدا‬ • ‫بررسی‬ ‫با‬ ‫را‬ ‫ترافیک‬ ‫که‬ ‫است‬ ‫آتش‬ ‫دیواره‬ ‫نوع‬ ‫یک‬ ‫پراکسی‬ ‫ی‬‫دهنده‬‫سرویس‬ ‫کلی‬ ‫طور‬ ‫به‬ :‫محتوا‬ ‫کردن‬ ‫فیلتر‬ URL .‫کند‬‫می‬ ‫مدیریت‬ ،‫صفحه‬ ‫محتوای‬ ‫و‬ .‫کند‬ ‫مسدود‬ ‫و‬ ‫شناسایی‬ ،‫است‬ ‫مدنظر‬ ‫که‬ ‫محتوایی‬ ‫تواند‬‫می‬ ،‫شود‬ ‫تنظیم‬ ‫درستی‬ ‫به‬ ،‫پراکسی‬ ‫بر‬ ‫مبتنی‬ ‫آتش‬ ‫دیواره‬ ‫اگر‬ • ‫بسته‬ ‫مسیر‬ ‫تعویض‬ ‫ی‬‫دهنده‬‫سرویس‬ ‫اگر‬ ‫مثل‬ .‫بفرستد‬ ‫دیگر‬ ‫میزبان‬ ‫یک‬ ‫یا‬ ‫دیگر‬ ‫پورت‬ ‫یک‬ ‫به‬ ‫را‬ ‫ترافیک‬ ‫باید‬ ‫آتش‬ ‫دیواره‬ ‫اوقات‬ ‫بعضی‬ : Squid ‫روی‬ ‫پورت‬ ‫به‬ ‫شده‬ ‫فرستاده‬ ‫ترافیک‬ ‫تمام‬ ‫آتش‬ ‫دیواره‬ ‫کار‬ ‫این‬ ‫با‬ ،‫است‬ ‫شده‬ ‫نصب‬ ‫آتش‬ ‫دیواره‬ ‫از‬ ‫غیر‬ ‫میزبانی‬ 80 ‫و‬ 443 ‫های‬‫اتصال‬ ‫در‬ ‫استاندارد‬ ‫های‬‫)پورت‬ HTTP ‫و‬ HTTPS .‫فرستد‬‫می‬ ‫پراکسی‬ ‫ی‬‫دهنده‬‫سرویس‬ ‫به‬ ‫بیشتر‬ ‫پردازش‬ ‫برای‬ ‫را‬ ( :‫از‬ ‫عبارتند‬ ‫آتش‬ ‫دیواره‬ ‫انواع‬ • .‫کند‬‫می‬ ‫رد‬ ‫یا‬ ‫قبول‬ ‫را‬ ‫آن‬ ‫کاربر‬ ‫توسط‬ ‫شده‬ ‫تعریف‬ ‫قوانین‬ ‫اساس‬ ‫بر‬ ‫و‬ ‫کند‬‫می‬ ‫نگاه‬ ‫شبکه‬ ‫از‬ ‫شده‬ ‫خارج‬ ‫یا‬ ‫شده‬ ‫وارد‬ ‫بسته‬ ‫هر‬ ‫به‬ :‫بسته‬ ‫فیلترکننده‬ ‫جعل‬ ‫برای‬ ‫و‬ ‫بوده‬ ‫مشکل‬ ‫آن‬ ‫پیکربندی‬ ‫اما‬ ‫است‬ ‫شفاف‬ ،‫کاربران‬ ‫برای‬ ‫و‬ ‫کند‬‫می‬ ‫عمل‬ ‫موثر‬ ‫طور‬ ‫به‬ ‫بسته‬ ‫فیلترکننده‬ ‫افزار‬‫نرم‬ IP .‫است‬ ‫مستعد‬ • ‫کاربرد‬ ‫ی‬‫دروازه‬ ‫های‬‫دهنده‬‫سرویس‬ ‫مانند‬ ‫خاص‬ ‫های‬‫کاربرد‬ ‫در‬ : FTP ‫و‬ Telnet ‫اما‬ ،‫است‬ ‫مفید‬ ‫بسیار‬ ‫افزار‬‫نرم‬ ‫این‬ .‫کند‬‫می‬ ‫اعمال‬ ‫را‬ ‫امنیتی‬ ‫های‬‫مکانیزم‬ .‫شود‬ ‫کارآیی‬ ‫کاهش‬ ‫باعث‬ ‫است‬ ‫ممکن‬ • ‫مدار‬ ‫سطح‬ ‫دروازه‬ ‫اتصال‬ ‫یک‬ ‫که‬‫هنگامی‬ : TCP ‫یا‬ UDP ،‫شود‬‫می‬ ‫برقرار‬ ‫اتصال‬ ‫که‬ ‫ای‬‫لحظه‬ ‫از‬ .‫کند‬‫می‬ ‫اعمال‬ ‫را‬ ‫امنیتی‬ ‫های‬‫مکانیزم‬ ،‫شود‬‫می‬ ‫برقرار‬ ) 7 (
  • 8. .‫شوند‬ ‫مبادله‬ ‫بیشتر‬ ‫کنترل‬ ‫بدون‬ ‫ها‬‫میزبان‬ ‫بین‬ ‫توانند‬‫می‬ ‫ها‬‫بسته‬ • .‫کند‬‫می‬ ‫پنهان‬ ‫را‬ ‫شبکه‬ ‫واقعی‬ ‫های‬‫آدرس‬ ‫موثری‬ ‫طور‬ ‫به‬ ‫و‬ ‫کند‬‫می‬ ‫مسدود‬ ‫را‬ ‫شبکه‬ ‫از‬ ‫خروجی‬ ‫و‬ ‫ورودی‬ ‫های‬‫پیام‬ ‫ی‬‫کلیه‬ :‫پراکسی‬ ‫ی‬‫دهنده‬‫سرویس‬ ‫پایه‬ ‫مفاهیم‬ ‫به‬ ‫مربوط‬ ‫متون‬ ‫در‬ IPTables ‫ممکن‬ ‫که‬ ‫روند‬‫می‬ ‫کار‬‫به‬ ‫یکدیگر‬ ‫جای‬ ‫به‬ ‫اصطلحات‬ ‫این‬ ،‫موارد‬ ‫از‬ ‫بسیاری‬ ‫در‬ .‫اند‬‫شده‬ ‫داده‬ ‫توضیح‬ ‫ادامه‬ ‫در‬ ‫که‬ ‫دارد‬ ‫وجود‬ ‫مفاهیمی‬ .‫شود‬ ‫مطالب‬ ‫بدفهمی‬ ‫باعث‬ ‫است‬ Netfilter ‫ابزاری‬ ‫ترین‬‫شده‬‫شناخته‬ .‫رود‬‫می‬ ‫کار‬ ‫به‬ ‫ها‬‫بسته‬ ‫دستکاری‬ ‫و‬ ‫مسدودکردن‬ ‫منظور‬ ‫به‬ ‫و‬ ‫دارد‬ ‫قرار‬ ‫لینوکس‬ ‫ی‬‫هسته‬ ‫در‬ ‫که‬ ‫است‬ ‫ها‬‫قلب‬ ‫از‬ ‫ای‬‫مجموعه‬ ‫حاوی‬ ‫چارچوبی‬ ‫از‬ ‫که‬ Netfilter ‫مانند‬ ‫نیز‬ ‫دیگری‬ ‫ابزارهای‬ .‫کند‬‫می‬ ‫فیلتر‬ ‫را‬ ‫ها‬‫بسته‬ ‫که‬ ‫است‬ ‫آتش‬ ‫دیواره‬ ،‫کند‬‫می‬ ‫استفاده‬ NAT ‫استفاده‬ ‫آن‬ ‫از‬ ‫بسته‬ ‫بندی‬‫صف‬ ‫و‬ ‫دار‬‫حالت‬ ‫پیگیری‬ ، ،‫کرد‬ ‫فراهم‬ ‫لینوکس‬ ‫برای‬ ‫را‬ ‫آتش‬ ‫دیواره‬ ‫ابزارهای‬ ‫از‬ ‫ای‬‫مجموعه‬ ‫که‬ ‫ای‬‫پروژه‬ ‫نام‬ ‫همچنین‬ .‫کنند‬‫می‬ Netfilter ‫شدند‬ ‫تهیه‬ ‫پروژه‬ ‫این‬ ‫در‬ ‫که‬ ‫اجزایی‬ ‫اکثر‬ .‫است‬ ‫بوده‬ .‫شدند‬ ‫تهیه‬ ‫نیز‬ ‫هایی‬‫کتابخانه‬ ‫و‬ ‫کاربر‬ ‫فضای‬ ‫ابزارهای‬ ‫از‬ ‫ای‬‫مجموعه‬ ‫اما‬ ‫هستند‬ ‫هسته‬ ‫در‬ ‫بارگذاری‬ ‫قابل‬ ‫های‬‫ماژول‬ IPFilter ‫ی‬‫لیه‬ ‫های‬ ‫سرآیند‬ ‫اساس‬ ‫بر‬ ‫ها‬‫بسته‬ ‫محدودکردن‬ ‫معیار‬ .‫دهد‬‫می‬ ‫انجام‬ ‫را‬ ‫کاربری‬ ‫رابط‬ ‫یک‬ ‫از‬ ‫عبور‬ ‫حین‬ ‫در‬ ‫ها‬‫بسته‬ ‫انتخابی‬ ‫عبوردادن‬ ‫یا‬ ‫مسدودکردن‬ 3 ) IPv4، IPv6 ‫ی‬‫لیه‬ ‫و‬ ( 4 ) TCP، UDP، ICMP4 .‫است‬ ‫مقصد‬ ‫و‬ ‫مبدا‬ ‫پروتکل‬ ‫و‬ ‫پورت‬ ،‫مقصد‬ ‫و‬ ‫مبدا‬ ‫آدرس‬ ،‫دارد‬ ‫کاربرد‬ ‫همه‬ ‫از‬ ‫بیش‬ ‫که‬ ‫معیاری‬ .‫است‬ ( IPFilter ‫از‬ ‫یکی‬ ‫برای‬ ‫ابتدا‬ ‫که‬ ‫است‬ ‫آتش‬ ‫های‬‫دیواره‬ ‫انواع‬ OpenBSD ‫مزایای‬ ‫از‬ ‫برخی‬ ‫ذکر‬ ‫به‬ ‫ادامه‬ ‫در‬ .‫دارد‬ ‫وجود‬ ‫نیز‬ ‫دیگر‬ ‫عامل‬ ‫های‬‫سیستم‬ ‫در‬ ‫اکنون‬ ‫اما‬ ،‫یافت‬ ‫توسعه‬ IPFilter .‫پردازیم‬‫می‬ • ‫از‬ ‫خاصی‬ ‫انواع‬ ‫به‬ ‫توان‬‫می‬ ،‫است‬ ‫متصل‬ ‫اینترنت‬ ‫مانند‬ ‫خارجی‬ ‫ی‬‫شبکه‬ ‫یک‬ ‫به‬ ‫داخلی‬ ‫های‬‫شبکه‬ ‫و‬ ‫است‬ ‫لینوکس‬ ،‫عامل‬ ‫سیستم‬ ‫که‬‫هنگامی‬ :‫کنترل‬ ‫به‬ ‫ها‬‫بسته‬ ‫رفتن‬ ‫از‬ ‫توان‬‫می‬ ‫بنابراین‬ ،‫است‬ ‫مقصد‬ ‫آدرس‬ ‫حاوی‬ ‫ها‬‫بسته‬ ‫سرآیند‬ ،‫مثال‬ ‫برای‬ .‫نمود‬ ‫مسدود‬ ‫را‬ ‫آن‬ ‫از‬ ‫خاصی‬ ‫انواع‬ ‫و‬ ‫داد‬ ‫عبور‬ ‫ی‬‫اجازه‬ ‫ترافیک‬ ‫از‬ ‫هایی‬‫آگهی‬ ‫و‬ ‫تبلیغات‬ ،‫وب‬ ‫های‬‫صفحه‬ ‫در‬ ‫دیگر‬ ‫مثالی‬ ‫عنوان‬ ‫به‬ .‫نمود‬ ‫جلوگیری‬ ‫خارجی‬ ‫ی‬‫شبکه‬ ‫از‬ ‫خاصی‬ ‫بخش‬ doubleclick.net ‫و‬ ‫دارند‬ ‫وجود‬ ‫به‬ ‫توان‬‫می‬ ،‫کند‬‫می‬ ‫ها‬‫آن‬ ‫بارگذاری‬ ‫صرف‬ ‫را‬ ‫زیادی‬ ‫زمان‬ ‫مرورگر‬ IPFilter ‫از‬ ‫ای‬‫بسته‬ ‫هیچ‬ ‫گفت‬ doubleclick.net .‫نکند‬ ‫دریافت‬ • ‫داخلی‬ ‫ی‬‫شبکه‬ ‫به‬ ‫وارده‬ ‫ترافیک‬ ‫روی‬ ‫بر‬ ‫باید‬ ‫بنابراین‬ .‫است‬ ‫داخلی‬ ‫منظم‬ ‫ی‬‫شبکه‬ ‫و‬ ‫اینترنت‬ ‫آشفته‬ ‫دنیای‬ ‫بین‬ ‫رابط‬ ‫تنها‬ ‫لینوکس‬ :‫امنیت‬ ‫ممکن‬ ‫مثال‬ ‫عنوان‬ ‫به‬ .‫بود‬ ‫نگران‬ ‫باید‬ ‫وارده‬ ‫های‬‫بسته‬ ‫مورد‬ ‫در‬ ‫اما‬ ‫شود‬ ‫خارج‬ ‫شبکه‬ ‫از‬ ‫چیزی‬ ‫چه‬ ‫که‬ ‫نباشد‬ ‫مهم‬ ‫است‬ ‫ممکن‬ .‫کرد‬ ‫اعمال‬ ‫هایی‬‫محدودیت‬ ‫طریق‬ ‫از‬ ‫کسی‬ ‫که‬ ‫نخواهید‬ ‫است‬ Telnet ‫دهنده‬‫سرویس‬ ‫یک‬ ‫و‬ ‫کنید‬ ‫استفاده‬ ‫اینترنت‬ ‫از‬ ‫تنها‬ ‫بخواهید‬ ‫است‬ ‫ممکن‬ .‫کند‬ ‫برقرار‬ ‫ارتباط‬ ‫دهنده‬‫سرویس‬ ‫با‬ ‫داشتن‬ ‫با‬ ‫کارها‬ ‫این‬ ‫تمامی‬ .‫گیرد‬‫می‬ ‫را‬ ‫اتصالی‬ ‫هرگونه‬ ‫جلوی‬ ‫بنابراین‬ .‫نباشید‬ IPFilter .‫است‬ ‫پذیر‬‫امکان‬ • ‫مراقبت‬ ‫در‬ .‫کند‬‫می‬ ‫ارسال‬ ‫شبکه‬ ‫از‬ ‫خارج‬ ‫به‬ ‫را‬ ‫بسته‬ ‫زیادی‬ ‫تعداد‬ ،‫است‬ ‫شده‬ ‫پیکربندی‬ ‫نامناسبی‬ ‫طور‬ ‫به‬ ‫که‬ ‫محلی‬ ‫ی‬‫شبکه‬ ‫در‬ ‫سیستمی‬ ‫اوقات‬ ‫گاهی‬ : ‫است‬ ‫مناسب‬ ‫جا‬‫این‬ IPFilter .‫دهد‬ ‫گزارش‬ ‫را‬ ‫غیرطبیعی‬ ‫رویداد‬ ‫هر‬ ‫وقوع‬ ‫که‬ ‫کرد‬ ‫تنظیم‬ ‫طوری‬ ‫را‬ ) ‫شبکه‬ ‫آدرس‬ ‫ی‬‫ترجمه‬ NAT ( ‫آدرس‬ ‫یک‬ ‫به‬ ‫نیاز‬ ‫وب‬ ‫دهندگان‬‫سرویس‬ ‫و‬ ‫دیگرکامپیوترها‬ ‫با‬ ‫ارتباط‬ ‫در‬ ‫کامپیوتری‬ ‫هر‬ IP ‫به‬ ‫کاری‬ ‫های‬‫شبکه‬ ‫و‬ ‫خانگی‬ ‫استفاده‬ ‫رشد‬ ‫و‬ ‫اینترنت‬ ‫گسترش‬ ‫با‬ .‫دارد‬ ‫های‬‫آدرس‬ ‫تعداد‬ ‫رسد‬‫می‬ ‫نظر‬ IP ‫آدرس‬ ‫قالب‬ ‫مجدد‬ ‫طراحی‬ ،‫ساده‬ ‫حل‬ ‫راه‬ ‫یک‬ .‫نباشد‬ ‫کافی‬ ‫موجود‬ IP ‫را‬ ‫بیشتری‬ ‫های‬‫آدرس‬ ‫تعداد‬ ‫داشتن‬ ‫امکان‬ ‫که‬ ‫است‬ ‫جا‬‫این‬ ‫در‬ .‫است‬ ‫اینترنت‬ ‫زیرساخت‬ ‫کل‬ ‫اصلح‬ ‫نیازمند‬ ‫و‬ ‫شود‬ ‫سازی‬‫پیاده‬ ‫حل‬ ‫راه‬ ‫این‬ ‫تا‬ ‫کشد‬‫می‬ ‫طول‬ ‫سال‬ ‫چندین‬ ‫اما‬ ،‫دهد‬‫می‬ NAT .‫کند‬‫می‬ ‫حل‬ ‫را‬ ‫مشکل‬ NAT ‫یک‬ ‫صورت‬ ‫این‬ ‫در‬ .‫کند‬ ‫عمل‬ ‫مشخص‬ ‫محلی‬ ‫ی‬‫شبکه‬ ‫یک‬ ‫و‬ ‫اینترنت‬ ‫بین‬ ‫رابط‬ ‫عنوان‬ ‫به‬ ‫که‬ ‫دهد‬‫می‬ ‫را‬ ‫امکان‬ ‫این‬ ‫مسیریاب‬ ‫یک‬ ‫مثل‬ ‫منفرد‬ ‫دستگاه‬ ‫یک‬ ‫به‬ IP ‫های‬‫آدرس‬ ‫تعداد‬ ‫کمبود‬ .‫شود‬ ‫استفاده‬ ‫کامپیوتر‬ ‫ی‬‫مجموعه‬ ‫یک‬ ‫برای‬ ‫تواند‬‫می‬ ‫منفرد‬ IP ‫از‬ ‫استفاده‬ ‫دلیل‬ ‫تنها‬ NAT ‫و‬ ‫امنیت‬ ‫برقراری‬ ‫چون‬ ‫دیگری‬ ‫فواید‬ .‫نیست‬ ‫از‬ ‫استفاده‬ ‫مزایای‬ ‫از‬ ‫نیز‬ ‫بهتر‬ ‫مدیریت‬ NAT ‫مفهوم‬ .‫است‬ NAT ‫ورود‬ ‫ی‬‫دروازه‬ ‫عنوان‬ ‫به‬ (‫مسیریاب‬ ‫یا‬ ‫کامپیوتر‬ ‫)مثل‬ ‫دستگاه‬ ‫یك‬ ‫که‬ ‫است‬ ‫معنا‬ ‫این‬ ‫به‬ ‫و‬ ‫ساده‬ ‫بسیار‬ ‫که‬ ‫دستگاهي‬ ‫آدرس‬ ‫به‬ ‫را‬ ‫کاري‬ ‫هاي‬‫ایستگاه‬ ‫هاي‬‫آدرس‬ ‫کار‬ ‫این‬ ‫با‬ ‫و‬ ‫کند‬‫مي‬ ‫عمل‬ ‫اینترنت‬ ‫به‬ NAT ‫دیگر‬ ‫بیان‬ ‫به‬ ،‫کند‬‫مي‬ ‫ترجمه‬ ‫است‬ ‫فعال‬ ‫آن‬ ‫روي‬ NAT ‫روي‬ ‫را‬ ‫شبکه‬ ‫اینترنت‬ ‫دیگر‬ ‫سوي‬ ‫از‬ .‫کند‬‫مي‬ ‫پنهان‬ ‫اینترنت‬ ‫دید‬ ‫از‬ ‫را‬ ‫شبکه‬ ‫کلي‬ ‫طور‬ ‫به‬ ‫و‬ ‫کاري‬ ‫هاي‬‫ایستگاه‬ ‫و‬ ‫شود‬‫می‬ ‫فعال‬ ‫است‬ ‫متصل‬ ‫اینترنت‬ ‫به‬ ‫که‬ ‫دستگاهي‬ .‫باشد‬‫مي‬ ‫متصل‬ ‫اینترنت‬ ‫به‬ ‫که‬ ‫بیند‬‫مي‬ ‫ساده‬ ‫دستگاه‬ ‫یك‬ ‫صورت‬‫به‬ NAT ‫کاري‬ ‫هاي‬‫ایستگاه‬ ‫روي‬ ‫دوباره‬ ‫تنظیمات‬ ‫به‬ ‫نیازي‬ ‫و‬ ‫کند‬‫نمي‬ ‫ایجاد‬ ‫تغییر‬ ‫شبکه‬ ‫روي‬ ‫که‬ ‫است‬ ‫دستگاهي‬ ‫آدرس‬ ‫همان‬ ‫که‬ ‫را‬ ‫شبکه‬ ‫از‬ ‫خروجي‬ ‫ی‬‫دروازه‬ ‫آدرس‬ ‫بایست‬‫مي‬ ‫کاري‬ ‫هاي‬‫ایستگاه‬ ‫فقط‬ .‫نیست‬ NAT .‫بدانند‬ ‫را‬ ‫است‬ ‫شده‬ ‫فعال‬ ‫آن‬ ‫روي‬ ) 8 (
  • 9. IPTables ‫سری‬ ‫از‬ ‫لینوکس‬ ‫ی‬‫هسته‬ 1.1 ‫داری‬ IPFilter ‫نام‬ ‫به‬ ‫ابزاری‬ ‫از‬ ‫ها‬‫بسته‬ ‫فیلترکردن‬ ‫قوانین‬ ‫تنظیم‬ ‫برای‬ .‫است‬ ‫بوده‬ ipfwadm ‫لینوکس‬ ‫در‬ .‫شد‬‫می‬ ‫استفاده‬ 2.2 ‫ابزاری‬ ‫نام‬ ‫به‬ IPChains ‫لینوکس‬ ‫برای‬ ‫سرانجام‬ ‫و‬ ‫شد‬ ‫معرفی‬ 2.4 ‫ابزار‬ IPTables ‫حقیقت‬ ‫در‬ .‫شد‬ ‫معرفی‬ IPTables ‫آن‬ ‫به‬ ‫و‬ ‫گوید‬‫می‬ ‫سخن‬ ‫هسته‬ ‫با‬ ‫که‬ ‫است‬ ‫ابزاری‬ ‫های‬‫ماژول‬ ‫قوانین‬ ‫دستکاری‬ ‫و‬ ‫ایجاد‬ ‫برای‬ ،‫ها‬‫بسته‬ ‫کردن‬ ‫فیلتر‬ ‫بر‬ ‫علوه‬ .‫کند‬ ‫فیلتر‬ ‫را‬ ‫هایی‬‫بسته‬ ‫چه‬ ‫که‬ ‫گوید‬‫می‬ NAT ‫زیرا‬ ،‫شود‬‫می‬ ‫استفاده‬ ‫نیز‬ NAT ‫طریق‬ ‫از‬ ‫نیز‬ ‫قوانین‬ ‫مجموعه‬ IPFilter ‫نام‬ ‫اغلب‬ .‫شود‬‫می‬ ‫پیکربندی‬ IPTables ‫شامل‬ ‫که‬ ‫آتش‬ ‫دیواره‬ ‫زیرساخت‬ ‫کل‬ ‫برای‬ Netfilter ‫و‬ ‫اتصال‬ ‫پیگیری‬ ، NAT ‫استفاده‬ ،‫است‬ ‫اصلی‬ ‫های‬‫ویژگی‬ .‫شود‬‫می‬ IPTables :‫از‬ ‫عبارتند‬ • ‫بسته‬ ‫فیلتر‬ ‫قوانین‬ ‫ی‬‫مجموعه‬ ‫ی‬‫کلیه‬ ‫کردن‬‫فهرست‬ • ‫بسته‬ ‫فیلتر‬ ‫قوانین‬ ‫ی‬‫مجموعه‬ ‫در‬ ‫قوانین‬ ‫اصلح‬ /‫کردن‬ ‫کم‬ /‫افزودن‬ • ‫بسته‬ ‫فیلتر‬ ‫قوانین‬ ‫ی‬‫مجموعه‬ ‫در‬ ‫قانون‬ ‫هر‬ ‫های‬‫شمارنده‬ ‫کردن‬ ‫صفر‬ /‫فهرست‬ ‫که‬ ‫این‬ ‫دلیل‬ ‫به‬ IPTables ‫کاربر‬ ‫توسط‬ ‫حتما‬ ‫باید‬ ،‫دارد‬ ‫نیاز‬ ‫اجرا‬ ‫برای‬ ‫خاصی‬ ‫امتیازات‬ ‫به‬ root ‫لینوکس‬ ‫های‬‫سیستم‬ ‫اکثر‬ ‫در‬ .‫شود‬ ‫اجرا‬ IPTables ‫ی‬‫شاخه‬ ‫در‬ usr/sbin/iptables ‫دستور‬ ‫اجرای‬ ‫با‬ ‫و‬ ‫شود‬‫می‬ ‫نصب‬ man iptables ‫ی‬‫پروژه‬ .‫کرد‬ ‫پیدا‬ ‫دسترسی‬ ‫آن‬ ‫به‬ ‫مربوط‬ ‫مستندات‬ ‫به‬ ‫توان‬‫می‬ netfilter/IPTables ‫سال‬ ‫در‬ 1998 ‫توسط‬ ‫میلدی‬ Rusty Russell ‫ی‬‫دهنده‬‫توسعه‬ ‫که‬ IPChains ‫تیم‬ ،‫پروژه‬ ‫پیشرفت‬ ‫با‬ .‫شد‬ ‫شروع‬ ‫بود‬ ‫نیز‬ Netfilter ‫شده‬ ‫داده‬ ‫توسعه‬ ‫افزار‬‫نرم‬ .‫گرفت‬ ‫شکل‬ ‫لیسانس‬ ‫تحت‬ ‫ها‬‫آن‬ ‫توسط‬ GNU/GPL ‫چارچوب‬ .‫است‬ Xtables ‫هر‬ .‫هستند‬ ‫قوانین‬ ‫از‬ ‫هایی‬‫زنجیره‬ ‫شامل‬ ‫که‬ ‫دهد‬‫می‬ ‫را‬ ‫هایی‬‫جدول‬ ‫تعریف‬ ‫امکان‬ ‫سیستم‬ ‫مدیر‬ ‫به‬ ‫یک‬ .‫شوند‬‫می‬ ‫پردازش‬ ‫ها‬‫زنجیره‬ ‫پیمایش‬ ‫با‬ ‫ها‬‫بسته‬ .‫دارد‬ ‫سروکار‬ ،‫بسته‬ ‫پردازش‬ ‫از‬ ‫خاصی‬ ‫نوع‬ ‫با‬ ‫جدول‬ ‫هر‬ .‫شود‬ ‫برخورد‬ ‫چگونه‬ ‫بسته‬ ‫با‬ ‫که‬ ‫کند‬‫می‬ ‫مشخص‬ ‫قانون‬ ‫حداقل‬ ‫شبکه‬ ‫از‬ ‫خروجی‬ ‫یا‬ ‫ورودی‬ ‫بسته‬ ‫هر‬ .‫باشد‬ ‫داشته‬ ‫ادامه‬ ‫تواند‬‫می‬ ‫جایی‬ ‫هر‬ ‫تا‬ ‫روند‬ ‫این‬ ‫و‬ ‫بفرستد‬ ‫دیگری‬ ‫زنجیره‬ ‫به‬ ‫را‬ ‫بسته‬ ‫یک‬ ‫تواند‬‫می‬ ‫زنجیره‬ ‫یک‬ ‫در‬ ‫قانون‬ ‫انتهای‬ ‫به‬ ‫که‬ ‫ای‬‫بسته‬ ‫مثال‬ ‫برای‬ .‫دارند‬ ‫هایی‬‫سیاست‬ ‫توکار‬ ‫جداول‬ .‫بپیماید‬ ‫را‬ ‫ای‬‫زنجیره‬ ‫چه‬ ‫ابتدا‬ ‫در‬ ‫که‬ ‫کند‬‫می‬ ‫مشخص‬ ‫بسته‬ ‫منبع‬ .‫پیماید‬‫می‬ ‫را‬ ‫زنجیره‬ ‫یک‬ ‫انتهای‬ ‫به‬ ‫ای‬‫بسته‬ ‫اگر‬ ‫و‬ ‫است‬ ‫نشده‬ ‫تعریف‬ ‫سیاست‬ ‫ها‬‫زنجیره‬ ‫این‬ ‫برای‬ .‫کند‬ ‫ایجاد‬ ‫زنجیره‬ ‫دلخواه‬ ‫تعداد‬ ‫به‬ ‫تواند‬‫می‬ ‫سیستم‬ ‫مدیر‬ .‫شود‬‫می‬ ‫حذف‬ ،‫برسد‬ ‫زنجیره‬ ‫همچنین‬ .‫یابد‬‫می‬ ‫انطباق‬ ‫خاصی‬ ‫های‬‫بسته‬ ‫انواع‬ ‫با‬ ‫زنجیره‬ ‫یک‬ ‫در‬ ‫قانون‬ ‫هر‬ .‫گردد‬‫می‬ ‫باز‬ ،‫است‬ ‫کرده‬ ‫فراخوانی‬ ‫را‬ ‫آن‬ ‫که‬ ‫ای‬‫زنجیره‬ ‫به‬ ‫دوباره‬ ،‫برسد‬ ‫ها‬‫زنجیره‬ ‫گونه‬‫این‬ ‫به‬ ‫بسته‬ ،‫نکند‬ ‫پیدا‬ ‫انطباق‬ ‫بسته‬ ‫با‬ ‫قانون‬ ‫اگر‬ .‫کند‬‫می‬ ‫بررسی‬ ‫را‬ ‫آن‬ ،‫قانون‬ ‫هر‬ ،‫پیماید‬‫می‬ ‫را‬ ‫زنجیره‬ ‫یک‬ ‫ای‬‫بسته‬ ‫وقتی‬ .‫باشد‬ ‫داشته‬ ‫هدف‬ ‫یک‬ ‫است‬ ‫ممکن‬ ‫قانون‬ ‫زنجیره‬ ‫در‬ ‫پیوسته‬ ‫پیمایش‬ ‫به‬ ‫بسته‬ .‫شود‬‫می‬ ‫برخورد‬ ‫بسته‬ ‫با‬ ‫شده‬ ‫مشخص‬ ‫هدف‬ ‫در‬ ‫چه‬‫آن‬ ‫طبق‬ ،‫یابد‬ ‫انطباق‬ ‫بسته‬ ‫با‬ ‫قانون‬ ‫اگر‬ ‫و‬ ‫شود‬‫می‬ ‫فرستاده‬ ‫بعدی‬ ‫قانون‬ ‫یا‬ (‫شود‬‫می‬ ‫حذف‬ ‫یا‬ ‫قبول‬ ‫بسته‬ ‫)مثل‬ ‫شود‬‫می‬ ‫گرفته‬ ‫تصمیم‬ ‫بسته‬ ‫نهایی‬ ‫سرنوشت‬ ‫مورد‬ ‫در‬ ‫صورت‬ ‫این‬ ‫در‬ ‫که‬ ‫یابد‬ ‫انطباق‬ ‫بسته‬ ‫آن‬ ‫با‬ ‫قانون‬ ‫یک‬ ‫تا‬ ‫دهد‬‫می‬ ‫ادامه‬ .‫برسد‬ ‫زنجیره‬ ‫انتهای‬ ‫به‬ ‫بسته‬ ‫یا‬ ‫بازگردد‬ ‫فراخواننده‬ ‫ی‬‫زنجیره‬ ‫به‬ ‫بسته‬ ‫و‬ ‫کند‬ ‫فراخوانی‬ ‫را‬ ‫بازگشت‬ ‫هدف‬ ،‫قانون‬ ‫یک‬ ‫اصطلحات‬ ‫و‬ ‫عبارات‬ IPTables .‫شوند‬‫می‬ ‫داده‬ ‫شرح‬ ،‫هستند‬ ‫لزم‬ ‫بعدی‬ ‫مطالب‬ ‫درک‬ ‫برای‬ ‫و‬ ‫دارند‬ ‫را‬ ‫کاربرد‬ ‫بیشترین‬ ‫که‬ ‫اصطلحاتی‬ ‫و‬ ‫عبارات‬ ‫از‬ ‫تعدادی‬ ،‫بخش‬ ‫این‬ ‫ادامه‬ ‫در‬ ‫انطباق‬ – ‫تقدم‬ : -- ‫انطباق‬ ‫مثل‬ .‫باشد‬ ‫اطلعاتی‬ ‫چه‬ ‫محتوی‬ ‫باید‬ ‫سرآیند‬ ‫یک‬ ‫که‬ ‫گوید‬‫می‬ ‫قانون‬ ‫یک‬ ‫به‬ ‫که‬ ‫منفرد‬ ‫انطباق‬ ‫یک‬ :‫اول‬ ‫معنی‬ .‫رود‬‫می‬ ‫کار‬‫به‬ ‫مختلف‬ ‫معنی‬ ‫دو‬ ‫با‬ ‫کلمه‬ ‫این‬ source :‫دوم‬ ‫معنی‬ .‫است‬ ‫شده‬ ‫تشکیل‬ ‫انطباق‬ ‫چندین‬ ‫یا‬ ‫یک‬ ‫از‬ ‫قانون‬ ‫هر‬ .‫باشد‬ ‫شبکه‬ ‫از‬ ‫خاصی‬ ‫محدوده‬ ‫یا‬ ‫خاص‬ ‫میزبان‬ ‫یک‬ ‫باید‬ ‫منبع‬ ‫آدرس‬ ‫که‬ ‫گوید‬‫می‬ ‫ما‬ ‫به‬ :‫اند‬‫شده‬ ‫آورده‬ ‫ادامه‬ ‫در‬ ‫ها‬‫انطباق‬ ‫پرکاربردترین‬ ‫از‬ ‫نمونه‬ ‫چند‬ .‫است‬ ‫یافته‬ ‫انطباق‬ ‫قانون‬ ‫با‬ ‫بسته‬ ‫گوییم‬‫می‬ ‫کند‬ ‫صدق‬ ‫بسته‬ ‫یک‬ ‫مورد‬ ‫در‬ ‫قانون‬ ‫یک‬ ‫کل‬ ‫اگر‬ • --) source (-s ‫آدرس‬ ‫یک‬ : IP .‫دهد‬‫می‬ ‫انطباق‬ ‫را‬ ‫شبکه‬ ‫یا‬ ‫مبدا‬ • --) destination (-d ‫آدرس‬ ‫یک‬ : IP .‫دهد‬‫می‬ ‫انطباق‬ ‫را‬ ‫شبکه‬ ‫یا‬ ‫مقصد‬ • --) protocol (-p ‫یک‬ ‫روی‬ : IP .‫دهد‬‫می‬ ‫انجام‬ ‫انطباق‬ • --) in-interface (-i .‫کند‬‫می‬ ‫ایجاد‬ ‫ورودی‬ ‫رابط‬ ‫یک‬ : • interface .‫کند‬‫می‬ ‫ایجاد‬ ‫خروجی‬ ‫رابط‬ ‫یک‬ : • -- state .‫دهد‬‫می‬ ‫انطباق‬ ‫اتصال‬ ‫حالت‬ ‫از‬ ‫ای‬‫مجموعه‬ ‫روی‬ : • -- string .‫دهد‬‫می‬ ‫انجام‬ ‫انطباق‬ ،‫کاربردی‬ ‫ی‬‫لیه‬ ‫داده‬ ‫های‬‫بایت‬ ‫از‬ ‫ای‬‫رشته‬ ‫روی‬ : ‫قانون‬ ) rule ( : ‫های‬‫سازی‬‫پیاده‬ ‫اکثر‬ ‫در‬ ‫که‬ ‫است‬ ‫هدف‬ ‫یک‬ ‫همراه‬ ‫به‬ ‫انطباق‬ ‫چندین‬ ‫یا‬ ‫یک‬ ‫از‬ ‫ای‬‫مجموعه‬ IPTables ‫از‬ ‫بعضی‬ ‫در‬ .‫است‬ ‫انطباق‬ ‫چندین‬ ‫از‬ ‫ای‬‫مجموعه‬ ‫قانون‬ ‫یک‬ ، .‫باشیم‬ ‫داشته‬ ‫قانون‬ ‫هر‬ ‫برای‬ ‫هدف‬ ‫چندین‬ ‫توانیم‬‫می‬ ‫ها‬‫سازی‬‫پیاده‬ ) 9 (
  • 10. ‫قوانین‬ ‫ی‬‫مجموعه‬ : ‫سازی‬‫پیاده‬ ‫در‬ ‫قوانین‬ ‫از‬ ‫ای‬‫مجموعه‬ IPTables .‫شوند‬‫می‬ ‫نوشته‬ ‫پیکربندی‬ ‫فایل‬ ‫یک‬ ‫در‬ ‫قوانین‬ ‫ی‬‫مجموعه‬ .‫باشد‬‫می‬ ‫پرش‬ : jump ‫دستورالعمل‬ JUMP ‫اگر‬ .‫شود‬‫می‬ ‫نوشته‬ ‫دیگر‬ ‫ی‬‫زنجیره‬ ‫یک‬ ‫نام‬ ،‫هدف‬ ‫نام‬ ‫نوشتن‬ ‫جای‬ ‫به‬ ‫که‬ ‫تفاوت‬ ‫این‬ ‫با‬ .‫شود‬‫می‬ ‫نوشته‬ ‫آن‬ ‫مانند‬ ‫دقیقا‬ ‫و‬ ‫است‬ ‫هدف‬ ‫یک‬ ‫مانند‬ .‫شود‬‫می‬ ‫پردازش‬ ‫آن‬ ‫در‬ ‫و‬ ‫شود‬‫می‬ ‫فرستاده‬ ‫بعدی‬ ‫ی‬‫زنجیره‬ ‫به‬ ‫بسته‬ ،‫داشت‬ ‫انطباق‬ ‫قانون‬ ‫هدف‬ : target ‫باید‬ ‫که‬ ‫کند‬‫می‬ ‫مشخص‬ ‫هدف‬ ‫تعریف‬ ،‫کند‬ ‫پیدا‬ ‫انطباق‬ ‫کامل‬ ‫طور‬ ‫به‬ ‫قانون‬ ‫کل‬ ‫اگر‬ .‫دارد‬ ‫هدف‬ ‫ی‬‫مجموعه‬ ‫یک‬ ‫قوانین‬ ‫ی‬‫مجموعه‬ ‫در‬ ‫موجود‬ ‫قانون‬ ‫هر‬ ‫کلی‬ ‫طور‬ ‫به‬ ‫آدرس‬ ‫یا‬ ‫و‬ ‫حذف‬ ،‫قبول‬ ‫را‬ ‫آن‬ ‫باید‬ ‫که‬ ‫گوید‬‫می‬ ‫مثل‬ .‫کرد‬ ‫چه‬ ‫بسته‬ ‫با‬ IP ‫در‬ .‫باشد‬ ‫نداشته‬ ‫یا‬ ‫باشد‬ ‫داشته‬ ‫هدف‬ ‫یا‬ ‫پرش‬ ‫است‬ ‫ممکن‬ ‫قانون‬ ‫یک‬ .‫کرد‬ ‫ترجمه‬ ‫را‬ ‫آن‬ :‫است‬ ‫شده‬ ‫آورده‬ ‫پرکاربرد‬ ‫هدف‬ ‫چند‬ ‫ادامه‬ • ACCEPT .‫دهد‬ ‫ادامه‬ ‫خود‬ ‫راه‬ ‫به‬ ‫که‬ ‫دهد‬‫می‬ ‫اجازه‬ ‫بسته‬ ‫یک‬ ‫به‬ : • DROP .‫شود‬‫نمی‬ ‫انجام‬ ‫آن‬ ‫روی‬ ‫دیگری‬ ‫پردازش‬ ‫هیچ‬ ‫و‬ ‫کند‬‫می‬ ‫حذف‬ ‫را‬ ‫بسته‬ ‫یک‬ : • LOG ‫در‬ ‫را‬ ‫بسته‬ ‫یک‬ : syslog .‫کند‬‫می‬ ‫ثبت‬ • REJECT .‫کند‬‫می‬ ‫ارسال‬ ،‫مناسب‬ ‫پاسخ‬ ‫یک‬ ‫همزمان‬ ‫و‬ ‫کند‬‫می‬ ‫حذف‬ ‫را‬ ‫بسته‬ ‫یک‬ : • RETURN .‫شود‬‫می‬ ‫فراخواننده‬ ‫ی‬‫زنجیره‬ ‫در‬ ‫بسته‬ ‫یک‬ ‫پردازش‬ ‫ادامه‬ ‫باعث‬ : ‫جدول‬ : table ‫در‬ ‫و‬ ‫دارد‬ ‫خاصی‬ ‫هدف‬ ‫جدول‬ ‫هر‬ IPTables ‫جداول‬ :‫دارد‬ ‫وجود‬ ‫جدول‬ ‫پنج‬ ، Filter، Nat، Raw ‫و‬ Mangle ‫و‬. security ‫جدول‬ ،‫مثال‬ ‫عنوان‬ ‫به‬ Filter ‫منظور‬ ‫به‬ ‫جدول‬ ‫و‬ ‫است‬ ‫شده‬ ‫طراحی‬ ‫ها‬‫بسته‬ ‫کردن‬ ‫فیلتر‬ Nat ‫آدرس‬ ‫ی‬‫ترجمه‬ ‫برای‬ ‫فقط‬ IP .‫شود‬‫می‬ ‫استفاده‬ ‫ها‬‫بسته‬ ‫اتصال‬ ‫پیگیری‬ : ‫های‬‫ویژگی‬ ‫ترین‬‫مهم‬ ‫از‬ ‫یکی‬ Netfilter ‫و‬ ‫کند‬ ‫پیگیری‬ ‫را‬ ‫ها‬‫جلسه‬ ‫یا‬ ‫شبکه‬ ‫های‬‫اتصال‬ ‫کلیه‬ ‫که‬ ‫دهد‬‫می‬ ‫هسته‬ ‫به‬ ‫را‬ ‫امکان‬ ‫این‬ ‫اتصال‬ ‫پیگیری‬ .‫است‬ ‫اتصال‬ ‫پیگیری‬ .‫کند‬ ‫مرتبط‬ ‫هم‬ ‫به‬ ،‫دهند‬‫می‬ ‫تشکیل‬ ‫را‬ ‫اتصال‬ ‫یک‬ ‫هم‬ ‫با‬ ‫که‬ ‫هایی‬‫بسته‬ ‫کلیه‬ ‫وسیله‬‫بدین‬ NAT ‫و‬ ‫دارد‬ ‫نیاز‬ ‫هم‬ ‫به‬ ‫مرتبط‬ ‫های‬‫بسته‬ ‫ی‬‫ترجمه‬ ‫برای‬ ‫اطلعات‬ ‫این‬ ‫به‬ IPTables ‫زیر‬ ‫شرح‬ ‫به‬ ‫مختلف‬ ‫های‬‫حالت‬ ‫به‬ ‫را‬ ‫بسته‬ ‫هر‬ ،‫اتصال‬ ‫پیگیری‬ .‫کند‬ ‫عمل‬ ‫دار‬‫حالت‬ ‫آتش‬ ‫دیواره‬ ‫یک‬ ‫مانند‬ ‫و‬ ‫کند‬ ‫استفاده‬ ‫اطلعات‬ ‫این‬ ‫از‬ ‫تواند‬‫می‬ :‫کند‬‫می‬ ‫بندی‬‫طبقه‬ • ‫جدید‬ .‫جدید‬ ‫اتصال‬ ‫یک‬ ‫ی‬‫بسته‬ ‫اولین‬ : • ‫شده‬‫برقرار‬ .‫دارد‬ ‫وجود‬ ‫که‬ ‫است‬ ‫اتصالی‬ ‫از‬ ‫قسمتی‬ ‫که‬ ‫ای‬‫بسته‬ : • ‫وابسته‬ .‫است‬ ‫مرتبط‬ ‫موجود‬ ‫اتصال‬ ‫یک‬ ‫به‬ ‫اتصال‬ ‫این‬ ‫و‬ ‫است‬ ‫کرده‬ ‫شروع‬ ‫را‬ ‫جدید‬ ‫اتصال‬ ‫یک‬ ‫که‬ ‫ای‬‫بسته‬ : • ‫نامعتبر‬ .‫نیست‬ ‫ای‬‫شده‬‫شناخته‬ ‫اتصال‬ ‫هیچ‬ ‫از‬ ‫قسمتی‬ : • ‫ردیابی‬ ‫عدم‬ .‫ندهد‬ ‫انجام‬ ‫خاص‬ ‫بسته‬ ‫یک‬ ‫برای‬ ‫را‬ ‫اتصال‬ ‫پیگیری‬ ‫تا‬ ‫شود‬‫می‬ ‫داده‬ ‫نسبت‬ ‫بسته‬ ‫یک‬ ‫به‬ ‫مدیر‬ ‫توسط‬ ‫که‬ ‫است‬ ‫خاصی‬ ‫حالت‬ : ‫زنجیره‬ : chain ‫ی‬‫مجموعه‬ ‫یک‬ ‫جدول‬ ‫هر‬ .‫دارد‬ ‫خاص‬ ‫هدف‬ ‫یک‬ ‫زنجیره‬ ‫هر‬ .‫شود‬‫می‬ ‫اعمال‬ ،‫پیمایند‬‫می‬ ‫را‬ ‫زنجیره‬ ‫که‬ ‫هایی‬‫بسته‬ ‫روی‬ ‫بر‬ ‫که‬ ‫است‬ ‫قانون‬ ‫ی‬‫مجموعه‬ ‫یک‬ ‫زنجیره‬ ‫یک‬ .‫کند‬ ‫تعریف‬ ‫را‬ ‫هایی‬‫زنجیره‬ ‫تواند‬‫می‬ ‫نیز‬ ‫کاربر‬ ‫اما‬ ‫دارد‬ ‫توکار‬ ‫زنجیره‬ ‫از‬ ‫عبارتند‬ ‫توکار‬ ‫های‬‫زنجیره‬ ‫ترین‬‫مهم‬ INPUT، OUTPUT ‫و‬ FORWARD • INPUT ‫انجام‬ ‫ها‬‫آن‬ ‫مسیریابی‬ ‫عمل‬ ‫هسته‬ ‫در‬ ‫که‬‫این‬ ‫از‬ ‫بعد‬ ‫البته‬ .‫شوند‬‫می‬ ‫وارد‬ ‫محلی‬ ‫ی‬‫شبکه‬ ‫به‬ ‫که‬ ‫شود‬‫می‬ ‫پیمایش‬ ‫هایی‬‫بسته‬ ‫توسط‬ ‫زنجیره‬ ‫این‬ : .‫شود‬ • OUTPUT .‫شوند‬‫می‬ ‫تولید‬ ‫لینوکس‬ ‫سیستم‬ ‫در‬ ‫که‬ ‫است‬ ‫هایی‬‫بسته‬ ‫برای‬ : • FORWARD ‫در‬ ‫که‬ ‫شوند‬ ‫مسیریابی‬ ‫آتش‬ ‫دیواره‬ ‫در‬ ‫باید‬ ‫ها‬‫بسته‬ ،‫شود‬‫می‬ ‫استفاده‬ ‫دیگر‬ ‫ی‬‫شبکه‬ ‫به‬ ‫شبکه‬ ‫یک‬ ‫کردن‬‫متصل‬ ‫برای‬ ‫آتش‬ ‫دیواره‬ ‫وقتی‬ : .‫رود‬‫می‬ ‫کار‬‫به‬ ‫زنجیره‬ ‫این‬ ‫مورد‬ ‫این‬ ) 10 (
  • 11. ‫از‬ ‫عبارتند‬ ‫دیگر‬ ‫ی‬‫زنجیره‬ ‫دو‬ PREROUTING ‫و‬ POSTROUTING .‫دهند‬‫می‬ ‫انجام‬ ،‫هسته‬ ‫توسط‬ ‫مسیریابی‬ ‫عمل‬ ‫از‬ ‫بعد‬ ‫و‬ ‫قبل‬ ‫را‬ ‫ها‬‫بسته‬ ‫سرآیند‬ ‫اصلح‬ ‫که‬ ) 11 (
  • 13. : ‫گفت‬ ‫میتوان‬ ‫چنین‬ ‫کلی‬ ‫طور‬ ‫به‬ Rule ‫برای‬ ‫که‬ ‫است‬ ‫دستوری‬ ‫دربرگیرنده‬ ،‫قانون‬ ‫یا‬ .‫رود‬ ‫بکار‬ ‫باید‬ ‫آن‬ ‫روی‬ ‫بر‬ ‫کار‬ ‫یک‬ ‫وانجام‬ ‫ها‬ ‫بسته‬ ‫انتخاب‬ ‫مبدأ‬ ‫از‬ ‫شده‬ ‫ارسال‬ ‫های‬ ‫بسته‬ ‫تمام‬ :‫مثل‬ ۱۹۲.۱۶۸.۰.۱ ‫آدرس‬ ‫یا‬ .‫شوند‬ ‫حذف‬ IP ‫شده‬ ‫ارسال‬ ‫های‬ ‫بسته‬ ‫تمام‬ ‫مبدا‬ ‫کامپیوتر‬ ‫از‬ ۱۹۲.۱۶۸.۰.۵ ‫به‬ ۸۰.۴۰.۵۰.۶۰ .‫یابد‬ ‫تغییر‬ Chain ‫مثل‬ .‫باشد‬ ‫می‬ ‫قوانین‬ ‫از‬ ‫ای‬ ‫مجموعه‬ ،‫زنجیر‬ ‫یا‬ ‫یک‬ ‫تشکیل‬ ‫یکدیگر‬ ‫با‬ ‫توانند‬ ‫می‬ ‫بال‬ ‫قانون‬ ‫دو‬ chain ‫نام‬ ‫به‬ . testchain ‫را‬ ‫بدهند‬ ) 13 (
  • 14. : ‫خلصه‬ ‫واقع‬‫در‬ Netfilter ‫و‬ IPTables ‫کرنل‬ ‫درون‬ ‫افزاری‬ ‫نرم‬ ‫ساختاری‬ 2.4 . x ‫کرنل‬ ‫و‬ 2.6 . x ‫بتوان‬ ‫آن‬ ‫کمک‬ ‫به‬ ‫شود‬ ‫می‬ ‫باعث‬ ‫که‬ ‫باشد‬ ‫می‬ packet filtering ) ‫فیلتر‬ ‫معرفی‬ ‫پرتکل‬ ‫های‬ ‫بسته‬ ‫کردن‬ ( ، NAT ) ‫شبکه‬ ‫آدرس‬ ‫ترجمه‬ ( ‫ها‬ ‫بسته‬ ‫به‬ ‫مربوط‬ ‫اعمال‬ ‫سایر‬ ‫و‬ ) mangle ( ‫داد‬ ‫انجام‬ ‫را‬ . ‫ها‬ ‫بسته‬ ) Packet ( ‫مدل‬ ‫شبکه‬ ‫لیه‬ ‫در‬ ‫که‬ ‫است‬ ‫پروتکلی‬ ‫داده‬ ‫واحد‬ ، OSI ‫باشد‬ ‫می‬ ‫عمل‬ ‫حال‬ ‫در‬ " . ‫پروتکل‬ ‫داده‬ ‫واحد‬ " ‫مخفف‬ ‫کلمه‬ ‫با‬ PDU ‫از‬ ‫که‬ ‫عبارت‬ Protocol Data Unit ‫شود‬ ‫می‬ ‫داده‬ ‫نشان‬ ،‫باشد‬ ‫می‬ . PDU ‫متفاوت‬ ‫های‬ ‫لیه‬ ‫در‬ ‫و‬ ‫مختلف‬ ‫های‬ ‫پروتکل‬ ‫برای‬ ‫ها‬ OSI ‫دارد‬ ‫تفاوت‬ ‫یکدیگر‬ ‫با‬ . ‫مثل‬ PDU ) ‫پروتکل‬ ‫داده‬ ‫واحد‬ ‫یعنی‬ ( ‫لیه‬ ‫در‬ 2 ‫لیه‬ ‫در‬ ‫حالیکه‬ ‫در‬ ‫باشد‬ ‫می‬ ‫فریم‬ ، 3 ‫است‬ ‫بسته‬ ، . ‫اصطلح‬ ‫اوقات‬ ‫گاهی‬ PDU ‫گردد‬ ‫می‬ ‫شبکه‬ ‫دنیای‬ ‫به‬ ‫واردان‬ ‫تازه‬ ‫سردرگمی‬ ‫باعث‬ . ‫گویند‬ ‫می‬ ‫وقتی‬ ‫مثل‬ PDU ‫رسانه‬ ‫روی‬ ‫بر‬ ‫حرکت‬ ‫حال‬ ‫در‬ ) ‫سیم‬ ( ‫در‬ ‫یا‬ ‫و‬ ‫است‬ ‫فریم‬ ‫منظور‬ ،‫دوم‬ ‫لیه‬ . ‫سوم‬ ‫لیه‬ ‫به‬ ‫مربوط‬ ‫که‬ ‫ها‬ ‫بسته‬ ) ‫یعنی‬ Network ( ‫گیرند‬ ‫می‬ ‫قرار‬ ‫ها‬ ‫فریم‬ ‫درون‬ ،‫باشند‬ ‫می‬ . ‫بسته‬ ‫یک‬ ‫ساختار‬ ‫با‬ ‫صورتیکه‬ ‫در‬ ‫بپردازیم‬ ‫ها‬ ‫بسته‬ ‫بین‬ ‫از‬ ‫انتخاب‬ ‫به‬ ،‫خاص‬ ‫قوانینی‬ ‫کمک‬ ‫به‬ ‫و‬ ‫محتویات‬ ‫این‬ ‫براساس‬ ‫و‬ ‫کرده‬ ‫وارسی‬ ‫آنرا‬ ‫محتویات‬ ‫توانیم‬ ‫می‬ ،‫باشیم‬ ‫آشنا‬ . ‫مهم‬ ‫وظایف‬ ‫از‬ ‫یکی‬ IPTables ‫قوانین‬ ‫براساس‬ ‫که‬ ‫باشد‬ ‫می‬ ‫همیم‬ ‫نیز‬ ) rule ( ‫را‬ ‫دیگر‬ ‫گروهی‬ ‫عبور‬ ‫جلوی‬ ‫یا‬ ‫و‬ ‫بدهد‬ ‫عبور‬ ‫اجازه‬ ‫بعضی‬ ‫به‬ ‫و‬ ‫کرده‬ ‫بررسی‬ ‫را‬ ‫ها‬ ‫بسته‬ ‫محتویات‬ ، ‫بگیرد‬ . IPTables ‫است‬ ‫افزار‬ ‫نرم‬ ‫یک‬ . ‫خانواده‬ ‫تر‬ ‫قدیمی‬ ‫های‬ ‫نسخه‬ ‫با‬ ‫که‬ ‫کسانی‬ Linux ‫مانند‬ Read Hat 7.x ،‫اند‬ ‫داشته‬ ‫سروکار‬ IPChain ‫آورند‬ ‫می‬ ‫خاطر‬ ‫به‬ ‫را‬ . IPChain ‫بزرگ‬ ‫پدر‬ ‫نوعی‬ ‫به‬ ‫که‬ ‫است‬ ‫قدیم‬ ‫فایروال‬ ‫یک‬ IPTable ‫گردد‬ ‫می‬ ‫محسوب‬ ! IPTables ‫کمک‬ ‫به‬ Netfilter ‫نوشت‬ ‫را‬ ‫قوانین‬ ‫توان‬ ‫می‬ ‫آن‬ ‫توسط‬ ‫که‬ ‫است‬ ‫فرمانی‬ ‫خط‬ ‫خاص‬ ‫دستورات‬ ‫از‬ ‫ای‬ ‫مجموعه‬ ‫دارای‬ ‫و‬ ‫است‬ ‫شده‬ ‫ساخته‬ . ‫مثل‬ ‫آدرس‬ ‫با‬ ‫کامپیوتر‬ ‫از‬ ‫ها‬ ‫بسته‬ ‫اگر‬ ‫گوییم‬ ‫می‬ ‫قوانین‬ ‫این‬ ‫طبق‬ IP، 192.168.0.1 ‫کن‬ ‫حذف‬ ‫را‬ ‫آنها‬ ،‫بود‬ ! • NAT ‫مخفف‬ ‫که‬ Network Address Translation ‫معنی‬ ‫به‬ ‫و‬ ‫باشد‬ ‫می‬ " ‫شبکه‬ ‫آدرس‬ ‫ترجمه‬ " ‫انتقال‬ ‫برای‬ ،‫گردد‬ ‫می‬ ‫باعث‬ ‫که‬ ‫است‬ ‫استانداردی‬ ،‫است‬ ‫آدرس‬ ‫مجموعه‬ ‫یک‬ ‫از‬ ‫داخلی‬ ‫شبکه‬ ‫روی‬ ‫بر‬ ‫داده‬ ‫های‬ ‫بسته‬ IP ‫های‬ ‫آدرس‬ ‫از‬ ‫دیگری‬ ‫مجموعه‬ ‫از‬ ‫خارجی‬ ‫ترافیک‬ ‫برای‬ ‫و‬ IP ‫شود‬ ‫استفاده‬ . ‫شکل‬ ‫در‬ 1 ، ‫آدرس‬ ‫کننده‬ ‫ترجمه‬ ‫وسیله‬ ‫یک‬ ‫نقش‬ ‫تواند‬ ‫می‬ ،‫خارجی‬ ‫و‬ ‫داخلی‬ ‫شبکه‬ ‫دو‬ ‫بین‬ ‫موجود‬ ‫کامپیوتر‬ IP ‫یا‬ NAT ‫کند‬ ‫بازی‬ ‫را‬ . ‫های‬ ‫آدرس‬ ،‫کامپیوتر‬ ‫این‬ IP ‫های‬ ‫آدرس‬ ‫به‬ ‫را‬ ‫شبکه‬ ‫داخلی‬ ‫سمت‬ ‫در‬ ‫موجود‬ IP ‫میکند‬ ‫ترجمه‬ ،‫هستند‬ ‫استفاده‬ ‫مورد‬ ‫اینترنت‬ ‫یا‬ ‫و‬ ‫شبکه‬ ‫خارجی‬ ‫سمت‬ ‫روی‬ ‫بر‬ ‫که‬ ‫خارجی‬ . ‫دلیل‬ ‫از‬ ‫یکی‬ ‫از‬ ‫استفاده‬ ‫و‬ ‫کار‬ ‫این‬ NAT ‫نشان‬ ‫را‬ ‫دیگر‬ ‫آدرس‬ ‫یک‬ ‫آنها‬ ‫به‬ ‫و‬ ‫کرده‬ ‫مخفی‬ ‫بیرونی‬ ‫کاربران‬ ‫دید‬ ‫از‬ ‫را‬ ‫خود‬ ‫داخلی‬ ‫های‬ ‫آدرس‬ ‫توانند‬ ‫می‬ ‫کاربران‬ ‫که‬ ‫است‬ ‫آن‬ ‫دهند‬ . • ) 14 (
  • 16. ‫اندازی‬ ‫راه‬ ‫امکان‬ NAT ‫عامل‬ ‫سیستم‬ ‫در‬ Windows 2003 ‫مختلف‬ ‫های‬ ‫خانواده‬ ، Linux ‫روترهای‬ ‫و‬ Cisco ‫دارد‬ ‫وجود‬ . Mangling ‫معنای‬ ‫به‬ " ‫پیچاندن‬ " ‫یا‬ ‫و‬ " ‫دادن‬ ‫فرم‬ ‫تغییر‬ " ‫و‬ ... ‫باشد‬ ‫می‬ ! ‫دنیای‬ ‫در‬ IPTable ‫شود‬ ‫می‬ ‫شنیده‬ ‫زیاد‬ ‫اصطلح‬ ‫این‬ . ‫است‬ ‫قرار‬ ‫چیزی‬ ‫چه‬ ‫ولی‬ ‫یابد؟‬ ‫تغییر‬ Mangling ) ‫محتویات‬ ‫تغییر‬ ‫یا‬ ( ‫در‬ ‫خاصی‬ ‫فیلدهای‬ ‫محتویات‬ ‫تا‬ ‫دهد‬ ‫می‬ ‫را‬ ‫امکان‬ ‫این‬ ‫کرنل‬ ‫به‬ Header ‫دهد‬ ‫تغییر‬ ‫را‬ ‫ها‬ ‫بسته‬ ‫به‬ ‫مربوط‬ . ‫مورد‬ ‫در‬ ‫توضیح‬ ‫حتما‬ ‫یابد؟‬ ‫تغییر‬ ‫فیلدها‬ ‫محتویات‬ ‫باید‬ ‫چرا‬ ‫ولی‬ NAT ‫اید‬ ‫نکرده‬ ‫فراموش‬ ‫را‬ . ‫وظیفه‬ NAT ‫تبدیل‬ ‫دیگری‬ ‫آدرس‬ ‫به‬ ‫را‬ ‫آدرس‬ ‫یک‬ ‫که‬ ‫بود‬ ‫آن‬ ‫کند‬ . ‫آدرس‬ ‫مثل‬ IP ‫از‬ ‫بسته‬ ‫یک‬ ‫فرستنده‬ 192.168.0.5 ‫به‬ 80.40.50.60 ‫شود‬ ‫عوض‬ . ‫فیلدهای‬ ‫از‬ ‫یکی‬ ‫در‬ ‫فرستنده‬ ‫آدرس‬ Header ‫شده‬ ‫ذخیره‬ ‫کمک‬ ‫به‬ ‫و‬ ‫است‬ Mangling ‫داد‬ ‫تغییر‬ ‫را‬ ‫فیلد‬ ‫این‬ ‫محتویات‬ ‫توان‬ ‫می‬ . ‫را‬ ‫تابع‬ ‫یک‬ ،‫کند‬ ‫می‬ ‫عبور‬ ‫قلبی‬ ‫از‬ ‫بسته‬ ‫یک‬ ‫که‬ ‫دفعه‬ ‫هر‬ ‫تا‬ ‫دهد‬ ‫می‬ ‫اجازه‬ ‫کرنل‬ ‫درون‬ ‫های‬ ‫ماجول‬ ‫به‬ ‫که‬ ‫باشد‬ ‫می‬ ‫کرنل‬ ‫درون‬ ‫قلب‬ ‫تعدادی‬ ‫مانند‬ ‫دهد‬ ‫نشان‬ ‫العملی‬ ‫عکس‬ ‫نیاز‬ ‫صورت‬ ‫در‬ ‫و‬ ‫بزند‬ ‫صدا‬ . IPTables ‫آنکه‬ ‫از‬ ‫پیش‬ ،‫کند‬ ‫می‬ ‫عبور‬ ‫ای‬ ‫بسته‬ ‫وقت‬ ‫هر‬ ‫و‬ ‫نموده‬ ‫استفاده‬ ‫کرنل‬ ‫های‬ ‫قلب‬ ‫از‬ ‫کند‬ ‫می‬ ‫چک‬ ‫آنرا‬ ،‫گردد‬ ‫ارسال‬ ‫خاص‬ ‫شبکه‬ ‫یک‬ ‫به‬ ‫بتواند‬ . ‫از‬ ‫بتوان‬ ‫آنکه‬ ‫برای‬ IPTables ‫باشد‬ ‫شده‬ ‫اجرا‬ ‫و‬ ‫پیکربندی‬ ‫باید‬ ‫نیز‬ ‫سرویس‬ ‫و‬ ‫باشد‬ ‫شده‬ ‫ایجاد‬ ‫کرنل‬ ‫در‬ ‫آن‬ ‫از‬ ‫پشتیبانی‬ ‫قابلیت‬ ‫باید‬ ،‫نمود‬ ‫استفاده‬ . ‫های‬ ‫خانواده‬ ‫اکثر‬ ‫در‬ ‫ویژگی‬ ‫این‬ ‫خوشبختانه‬ Linux ‫با‬ ‫و‬ ‫باشد‬ ‫شده‬ ‫فعال‬ ‫متوسط‬ ‫حالت‬ ‫در‬ ‫یا‬ ‫و‬ ‫نباشد‬ ‫فعال‬ ‫دلیلی‬ ‫به‬ ‫است‬ ‫ممکن‬ ‫ولی‬ ‫دارد‬ ‫وجود‬ ‫نکند‬ ‫کار‬ ‫قدرت‬ ‫حداکثر‬ ! ‫که‬ ‫است‬ ‫آن‬ ‫علت‬ IPTables ‫اعمال‬ ‫از‬ ‫بسیاری‬ ‫است‬ ‫ممکن‬ ‫و‬ ‫شود‬ ‫می‬ ‫گیر‬ ‫سخت‬ ‫بسیار‬ ،‫گردد‬ ‫فعال‬ ‫حداکثر‬ ‫حالت‬ ‫به‬ ‫وقتی‬ ‫بیفتد‬ ‫کار‬ ‫از‬ ‫نیز‬ ‫ای‬ ‫شبکه‬ ‫جاری‬ . ‫قانون‬ ‫تعدادی‬ ،‫فایروال‬ ‫اندازی‬ ‫راه‬ ‫با‬ ) rule ( ‫زنجیر‬ ‫و‬ ) chain ( ‫فایروال‬ ‫به‬ ‫متصل‬ ‫های‬ ‫شبکه‬ ‫بین‬ ‫خواهند‬ ‫می‬ ‫که‬ ‫هایی‬ ‫بسته‬ ‫برای‬ ‫و‬ ‫گردد‬ ‫می‬ ‫ایجاد‬ ‫گردد‬ ‫می‬ ‫استفاده‬ ،‫یابند‬ ‫انتقال‬ . • 4 . ‫ساختار‬ IPTables : ‫از‬ ‫استفاده‬ ‫برای‬ IPTables ‫شد‬ ‫آشنا‬ ‫آن‬ ‫سازنده‬ ‫اجزاء‬ ‫با‬ ‫باید‬ . ‫فایروال‬ IPTables ‫دارای‬ 3 ‫شکل‬ ‫در‬ ‫که‬ ‫میباشد‬ ‫اصلی‬ ‫عنصر‬ 2 ‫است‬ ‫آمده‬ . ‫این‬ 3 ‫بلک‬ ‫از‬ ‫عبارتند‬ ‫فایروال‬ ‫ساختار‬ ‫سازنده‬ : ‫قانون‬ ‫و‬ ‫زنجیر‬ ،‫جدول‬ . ) 16 (
  • 17. Rule ‫رود‬ ‫بکار‬ ‫باید‬ ‫آن‬ ‫روی‬ ‫بر‬ ‫کار‬ ‫یک‬ ‫انجام‬ ‫و‬ ‫ها‬ ‫بسته‬ ‫انتخاب‬ ‫برای‬ ‫که‬ ‫است‬ ‫دستوری‬ ‫دربرگیرنده‬ ،‫قانون‬ ‫یا‬ . ‫مثل‬ : ‫مبدا‬ ‫از‬ ‫شده‬ ‫ارسال‬ ‫های‬ ‫بسته‬ ‫تمام‬ 192.168.0.1 ‫شوند‬ ‫حذف‬ ، . ‫آدرس‬ ‫یا‬ IP ‫کامپیوتر‬ ‫از‬ ‫شده‬ ‫ارسال‬ ‫های‬ ‫بسته‬ ‫تمام‬ ‫مبدا‬ 192.168.0.5 ‫به‬ 80.40.50.60 ‫یابد‬ ‫تغییر‬ . ‫نمونه‬ ‫دو‬ ‫موارد‬ ‫این‬ rule ‫گردند‬ ‫می‬ ‫تشکیل‬ ‫عملکرد‬ ‫یک‬ ‫به‬ ‫مربوط‬ ‫بخش‬ ‫یک‬ ‫و‬ ‫بندی‬ ‫دسته‬ ‫و‬ ‫انتخاب‬ ‫به‬ ‫مربوط‬ ‫بخش‬ ‫یک‬ ‫از‬ ‫خود‬ ‫که‬ ‫دهند‬ ‫می‬ ‫نشان‬ ‫را‬ . Chain ‫باشد‬ ‫می‬ ‫قوانین‬ ‫از‬ ‫ای‬ ‫مجموعه‬ ،‫زنجیر‬ ‫یا‬ . ‫یک‬ ‫تشکیل‬ ‫یکدیگر‬ ‫با‬ ‫توانند‬ ‫می‬ ‫بال‬ ‫قانون‬ ‫دو‬ ‫مثل‬ chain ‫نام‬ ‫به‬ testchn ‫بدهند‬ ‫را‬ . Table ‫باشد‬ ‫می‬ ‫زنجیرها‬ ‫از‬ ‫ای‬ ‫مجموعه‬ ،‫جدول‬ ‫یا‬ . ‫مثل‬ chain ‫دو‬ ‫با‬ ‫فوق‬ chain ‫فرضی‬ ‫های‬ ‫نام‬ ‫به‬ ‫دیگر‬ mainchn ‫و‬ changechn ‫نام‬ ‫به‬ ‫جدول‬ ‫یک‬ ‫تشکیل‬ input_tbl ‫بدهند‬ ‫را‬ . IPTables ‫دارای‬ ‫فرض‬ ‫پیش‬ ‫شکل‬ ‫به‬ 3 ‫های‬ ‫نام‬ ‫به‬ ‫اصلی‬ ‫جدول‬ filter ، nat ‫و‬ mangle ‫باشد‬ ‫می‬ . ‫این‬ ‫به‬ ‫نیز‬ ‫را‬ ‫دیگری‬ ‫جداول‬ ‫نیاز‬ ‫برحسب‬ ‫میتوان‬ ‫البته‬ ‫نمود‬ ‫اضافه‬ ‫مجموعه‬ . ‫بندی‬ ‫دسته‬ ‫برای‬ ‫و‬ ‫کاربران‬ ‫توسط‬ ‫جداول‬ ‫این‬ chain ‫و‬ ‫ها‬ rule ‫دارد‬ ‫کاربرد‬ ‫خودشان‬ ‫توسط‬ ‫شده‬ ‫تعریف‬ ‫های‬ . ‫بخواهند‬ ‫که‬ ‫هم‬ ‫زمانی‬ ‫هر‬ ‫ولی‬ ‫نمایند‬ ‫حذف‬ ‫را‬ ‫خود‬ ‫جداول‬ 3 ‫فرض‬ ‫پیش‬ ‫جدول‬ filter ، nat ‫و‬ mangle ‫نیستند‬ ‫حذف‬ ‫قابل‬ . ‫گردد‬ ‫می‬ ‫ارائه‬ ‫فوق‬ ‫گانه‬ ‫سه‬ ‫جداول‬ ‫از‬ ‫کدام‬ ‫هر‬ ‫مورد‬ ‫در‬ ‫توضیحی‬ ‫زیر‬ ‫در‬ : ‫جدول‬ filter : ‫و‬ ‫قوانین‬ ‫کلیه‬ ‫گیرنده‬ ‫بر‬ ‫در‬ chain ‫باشد‬ ‫می‬ ‫ها‬ ‫بسته‬ ‫نمودن‬ ‫فیلتر‬ ‫های‬ . ‫سوی‬ ‫از‬ ‫ارسالی‬ ‫های‬ ‫بسته‬ ‫حذف‬ ‫به‬ ‫مربوط‬ ‫قوانین‬ ‫مثل‬ ‫شبکه‬ 172.16.0.0 ‫برای‬ ‫عبور‬ ‫مجوز‬ ‫صدور‬ ‫یا‬ ‫و‬ ‫کامپیوتر‬ ‫از‬ ‫ارسالی‬ ‫های‬ ‫بسته‬ 10.10.5.8 ‫و‬ ... ‫گیرند‬ ‫می‬ ‫قرار‬ ‫جدول‬ ‫این‬ ‫در‬ ‫همگی‬ . ‫علوه‬ ‫پورت‬ ‫مثل‬ ‫خاص‬ ‫پروتکل‬ ‫و‬ ‫پورت‬ ‫یک‬ ‫به‬ ‫مربوط‬ ‫های‬ ‫بسته‬ ‫که‬ ‫کرد‬ ‫تعریف‬ ‫جدول‬ ‫این‬ ‫در‬ ‫قوانینی‬ ‫توان‬ ‫می‬ ‫اینها‬ ‫بر‬ 80 ‫پروتکل‬ ‫به‬ ‫مربوط‬ ‫که‬ http ) ‫وب‬ ‫همان‬ ‫یا‬ ( ‫پورت‬ ‫به‬ ‫مربوط‬ ‫های‬ ‫بسته‬ ‫ولی‬ ‫باشند‬ ‫داشته‬ ‫عبور‬ ‫اجازه‬ ‫است‬ 21 ‫پروتکل‬ ‫یا‬ ftp ‫باشند‬ ‫نداشته‬ ‫عبور‬ ‫اجازه‬ . ‫این‬ ‫اصلی‬ ‫وظیفه‬ ‫پس‬ ‫کنند‬ ‫نمی‬ ‫فیلتر‬ ‫که‬ ‫است‬ ‫قوانینی‬ ‫یا‬ ‫و‬ ‫کننده‬ ‫فیلتر‬ ‫قوانین‬ ‫نگهداری‬ ‫جدول‬ . ‫مانند‬ ‫گوناگون‬ ‫معیارهای‬ ‫براساس‬ ‫نکردن‬ ‫فیلتر‬ ‫یا‬ ‫و‬ ‫کردن‬ ‫فیلتر‬ ‫عمل‬ ‫آدرس‬ IP ‫و‬ ‫پورت‬ ‫شماره‬ ‫یا‬ ‫و‬ ‫مقصد‬ ‫و‬ ‫مبدا‬ ... ‫پذیرد‬ ‫می‬ ‫صورت‬ . • ‫جدول‬ nat : ‫مورد‬ ‫در‬ ‫توضیح‬ nat ‫دارید‬ ‫خاطر‬ ‫به‬ ‫که‬ ‫را‬ . ‫و‬ ‫قوانین‬ ‫کلیه‬ ‫گیرنده‬ ‫بر‬ ‫در‬ ‫جدول‬ ‫این‬ chain ‫آدرس‬ ‫ترجمه‬ ‫وظیفه‬ ‫که‬ ‫است‬ ‫هایی‬ IP ‫را‬ ‫دارند‬ ‫برعهده‬ . ‫بگیرید‬ ‫نظر‬ ‫در‬ ‫را‬ ‫زیر‬ ‫قانون‬ ‫مثال‬ ‫بعنوان‬ : ‫کامپیوتر‬ ‫از‬ ‫ای‬ ‫بسته‬ ‫اگر‬ 10.10.10.8 ‫آدرس‬ ،‫شد‬ ‫ارسال‬ IP ‫به‬ ‫را‬ ‫فرستنده‬ 80.50.60.90 ‫بدهید‬ ‫تغییر‬ . ‫دهد‬ ‫می‬ ‫انجام‬ ‫را‬ ‫آدرس‬ ‫ترجمه‬ ‫عمل‬ ‫بلکه‬ ،‫دهد‬ ‫نمی‬ ‫انجام‬ ‫فیلتر‬ ‫مورد‬ ‫در‬ ‫عملی‬ ‫قانون‬ ‫این‬ . ‫جدول‬ ‫در‬ ‫آن‬ ‫جای‬ ‫بنابراین‬ filter ‫جدول‬ ‫در‬ ‫باید‬ ‫و‬ ‫نبوده‬ nat ‫قرار‬ ‫گیرد‬ . ‫جدول‬ mangle : ‫فیلدهای‬ ‫دستکاری‬ ‫به‬ ‫مربوط‬ ،‫پیشرفته‬ ‫اعمال‬ ‫کلیه‬ header ‫می‬ ‫صورت‬ ‫جدول‬ ‫این‬ ‫در‬ ‫موجود‬ ‫قوانین‬ ‫توسط‬ ‫شبکه‬ ‫در‬ ‫ارسالی‬ ‫های‬ ‫بسته‬ ‫در‬ ‫گیرد‬ . ‫جدول‬ ‫تفاوت‬ nat ‫و‬ mangle ‫تغییر‬ ‫به‬ ‫مربوط‬ ‫قوانین‬ ‫فقط‬ ‫که‬ ‫است‬ ‫آن‬ ‫در‬ ‫آدرس‬ IP ‫جدول‬ ‫در‬ ‫پورت‬ ‫یا‬ ‫و‬ nat ‫به‬ ‫مربوط‬ ‫قوانین‬ ‫سایر‬ ‫ولی‬ ‫گیرند‬ ‫می‬ ‫قرار‬ ‫فیلدهای‬ ‫تغییر‬ header ‫جدول‬ ‫در‬ ،‫دارند‬ ‫کاربرد‬ ‫پیشرفته‬ ‫حالت‬ ‫در‬ ‫که‬ mangle ‫گیرند‬ ‫می‬ ‫جای‬ . • ‫تعدادی‬ ،‫جداول‬ ‫این‬ ‫از‬ ‫هرکدام‬ ‫درون‬ chain ‫گیرد‬ ‫می‬ ‫قرار‬ ‫فرض‬ ‫پیش‬ ‫شکل‬ ‫به‬ . ‫این‬ ‫جمله‬ ‫از‬ chain ‫به‬ ‫میتوان‬ ‫ها‬ 8 ‫عدد‬ chain ،‫است‬ ‫آمده‬ ‫زیر‬ ‫در‬ ‫که‬ ‫اصلی‬ ) 17 (
  • 18. ‫کرد‬ ‫اشاره‬ : chain ‫های‬ input، forward ‫و‬ output ‫جدول‬ filter 1 chain ‫های‬ prerouting ‫و‬ postrouting ‫جدول‬ nat 2 chain ‫های‬ prerouting ، input ‫و‬ output ‫جدول‬ mangle 3 ‫از‬ ‫تعدادی‬ ‫فقط‬ ‫ها‬ ‫این‬ ‫البته‬ chain ‫تمام‬ ‫بر‬ ‫علوه‬ ‫و‬ ‫بوده‬ ‫فرض‬ ‫پیش‬ ‫های‬ chain ‫ساخت‬ ‫امکان‬ ‫فرض‬ ‫پیش‬ ‫های‬ chain ‫دارد‬ ‫وجود‬ ‫نیز‬ ‫کاربران‬ ‫توسط‬ . ‫شکل‬ 3 ‫های‬ ‫جدول‬ ‫در‬ ‫موجود‬ ‫قوانین‬ ‫و‬ ‫باشد‬ ‫می‬ ‫چگونه‬ ‫ها‬ ‫بسته‬ ‫حرکت‬ ‫نحوه‬ ،‫مقاله‬ ‫این‬ ‫در‬ ‫بحث‬ ‫مورد‬ ‫مدل‬ ‫شبکه‬ ‫در‬ ‫که‬ ‫دهد‬ ‫می‬ ‫نشان‬ IPTable ‫چه‬ ‫در‬ ، ‫دهند‬ ‫می‬ ‫قرار‬ ‫بررسی‬ ‫مورد‬ ‫را‬ ‫فایروال‬ ‫به‬ ‫خروجی‬ ‫یا‬ ‫و‬ ‫ورودی‬ ‫های‬ ‫بسته‬ ‫نقاطی‬ . ‫ساختار‬ ‫کل‬ ‫تواند‬ ‫می‬ ‫شبکه‬ ‫مدیر‬ IPTables ‫عملکرد‬ .‫نماید‬ ‫فعال‬ ‫کامپیوتر‬ ‫اینترفیس‬ ‫هر‬ ‫روی‬ ‫بر‬ ‫را‬ ‫آن‬ ‫از‬ ‫قسمتی‬ ‫فقط‬ ‫یا‬ ‫و‬ IPTables ‫یک‬ ‫تا‬ ‫شود‬ ‫می‬ ‫باعث‬ .‫گردد‬ ‫فایروال‬ ‫به‬ ‫تبدیل‬ ‫کامپیوتر‬ ‫شکل‬ ‫در‬ ‫که‬ ‫همانطور‬ 3 ‫بسته‬ ‫جریان‬ .‫است‬ ‫شده‬ ‫داده‬ ‫نشان‬ ‫جدا‬ ‫نمودار‬ ‫دو‬ ‫در‬ ‫برعکس‬ ‫و‬ ‫داخل‬ ‫به‬ ‫خارجی‬ ‫شبکه‬ ‫از‬ ‫بسته‬ ‫یک‬ ‫حرکت‬ ‫مسیر‬ ،‫است‬ ‫مشخص‬ :‫باشد‬ ‫می‬ ‫شکل‬ ‫بدین‬ ‫ساختار‬ ‫این‬ ‫درون‬ ‫شبکه‬ ‫کارت‬ ‫طریق‬ ‫از‬ ‫فایروال‬ ‫به‬ ‫بسته‬ ‫یک‬ ‫ورود‬ ‫هنگام‬ ‫به‬ eth0 ‫زنجیر‬ ‫قسمت‬ ‫اولین‬ ، prerouting ‫جدول‬ ‫در‬ mangle ‫با‬ ‫را‬ ‫ترکیب‬ ‫این‬ .‫باشد‬ ‫می‬ mangle / prerouting ،‫باشید‬ ‫داشته‬ ‫یاد‬ ‫به‬ ‫اگر‬ .‫دهیم‬ ‫می‬ ‫نشان‬ mangling ‫در‬ ‫خاصی‬ ‫فیلدهای‬ ‫بتواند‬ ‫کرنل‬ ‫که‬ ‫شود‬ ‫می‬ ‫باعث‬ (‫محتویات‬ ‫)تغییر‬ header ‫تغییر‬ ‫را‬ .‫سازند‬ ‫می‬ ‫ممکن‬ ‫را‬ ‫عمل‬ ‫این‬ ‫زنجیر‬ ‫این‬ ‫در‬ ‫موجود‬ ‫قوانین‬ .‫دهید‬ ‫از‬ mangle / prerouting ‫وارد‬ ‫بسته‬ ، nat / prerouting ‫که‬ ‫گردید‬ ‫بیان‬ ‫قبل‬ .‫شود‬ ‫می‬ nat ‫آدرس‬ ‫ترجمه‬ ‫برای‬ IP .‫رود‬ ‫می‬ ‫بکار‬ ‫دیگر‬ ‫شبکه‬ ‫به‬ ‫شبکه‬ ‫یک‬ ‫از‬ ‫آدرس‬ ‫توانند‬ ‫می‬ ،‫زنجیر‬ ‫این‬ ‫در‬ ‫موجود‬ ‫قوانین‬ IP .‫کنند‬ ‫عوض‬ ‫را‬ ‫مقصد‬ ‫پورت‬ ‫آدرس‬ ‫یا‬ ‫و‬ ‫مقصد‬ ‫فایروال‬ ‫یک‬ ‫روی‬ ‫بر‬ ‫اگر‬ ‫بنابراین‬ IPTables ‫پروتکل‬ ‫به‬ ‫مربوط‬ ‫اگر‬ ،‫اینترنتی‬ ‫کاربران‬ ‫سوی‬ ‫از‬ ‫فایروال‬ ‫به‬ ‫ورودی‬ ‫های‬ ‫بسته‬ ‫تمام‬ ‫که‬ ‫بنویسیم‬ ‫قوانینی‬ ‫بخواهیم‬ http ‫آدرس‬ ‫سمت‬ ‫به‬ ،‫بودند‬ 192.168.5.5 ‫در‬ ‫باید‬ ،‫شوند‬ ‫هدایت‬ ‫داخلی‬ ‫شبکه‬ ‫روی‬ nat / prerouting ‫به‬ ‫مربوط‬ ‫ورودی‬ ‫های‬ ‫بسته‬ ‫تمام‬ ‫مقصد‬ ‫آدرس‬ ، http ‫به‬ ‫را‬ 192.168.5.5 .‫داد‬ ‫تغییر‬ : ‫باشید‬ ‫داشته‬ ‫خاطر‬ ‫به‬ ‫بنابراین‬ nat / prerouting ‫آدرس‬ ‫تغییر‬ ‫برای‬ IP ‫بخش‬ .‫باشد‬ ‫می‬ ‫مقصد‬ ‫پورت‬ ‫آدرس‬ ‫یا‬ ‫و‬ ‫مقصد‬ Route ‫یا‬ ‫و‬ ‫زنجیر‬ ‫یا‬ ‫جدول‬ ‫یک‬ ،‫است‬ ‫آمده‬ ‫شکل‬ ‫در‬ ‫که‬ rule ) 18 (
  • 19. .‫نباشد‬ Roué ‫آدرس‬ ‫نیز‬ ‫گیری‬ ‫تصمیم‬ ‫اساس‬ .‫شود‬ ‫ارسال‬ ‫جدول‬ ‫کدام‬ ‫و‬ ‫زنجیر‬ ‫کدام‬ ‫به‬ ‫باید‬ ‫بسته‬ ‫گیرد‬ ‫می‬ ‫تصمیم‬ ‫که‬ ‫است‬ ‫قسمتی‬ ‫فقط‬ IP .‫است‬ ‫مقصد‬ ‫بخش‬ ‫بنابراین‬ route ‫آدرس‬ ، (‫)مسیریابی‬ IP ‫را‬ ‫بسته‬ ‫مقصد‬ check ‫آدرس‬ ‫اگر‬ .‫کند‬ ‫می‬ IP ‫آدرس‬ ‫مساوی‬ ،‫بسته‬ ‫مقصد‬ IP ‫است‬ ‫معلوم‬ ،‫باشد‬ ‫فایروال‬ ‫خود‬ ‫و‬ ‫شده‬ ‫ارسال‬ ‫فایروال‬ ‫برای‬ ‫بسته‬ ‫که‬ route ‫قسمت‬ ‫به‬ ‫را‬ ‫بسته‬ mangle / input ‫آدرس‬ ‫اگر‬ .‫نماید‬ ‫می‬ ‫ارسال‬ IP ،‫باشد‬ ‫دیگری‬ ‫چیز‬ ‫هر‬ ‫مقصد‬ route ‫را‬ ‫بسته‬ ‫به‬ filter / forward ‫قسمت‬ .‫کند‬ ‫می‬ ‫ارسال‬ filter / input ‫این‬ .‫میدهد‬ ‫قرار‬ ‫بررسی‬ ‫مورد‬ ‫را‬ ‫شوند‬ ‫وارد‬ ‫فایروال‬ ‫به‬ ‫خواهند‬ ‫می‬ ‫که‬ ‫را‬ ‫هایی‬ ‫بسته‬ ‫تمام‬ ، ‫یا‬ ‫بسته‬ ‫کننده‬ ‫فیلتر‬ ‫یک‬ ‫ساده‬ ‫عبارت‬ ‫به‬ .‫شود‬ ‫بلک‬ ‫باید‬ ‫یا‬ ‫و‬ ‫باشد‬ ‫می‬ ‫قبول‬ ‫مورد‬ ‫بسته‬ ‫یک‬ ‫آیا‬ ‫کند‬ ‫می‬ ‫معین‬ ‫که‬ ‫است‬ ‫قوانینی‬ ‫حاوی‬ ‫زنجیر‬ packet-filter .‫باشد‬ ‫می‬ ‫عنوان‬ ‫با‬ ‫شکل‬ ‫روی‬ ‫بر‬ ‫دیگر‬ ‫قسمت‬ ‫یک‬ local process ‫ممکن‬ ‫فایروال‬ ‫روی‬ ‫بر‬ ‫موجود‬ ‫های‬ ‫پراسس‬ ‫از‬ ‫بعضی‬ .‫است‬ ‫شده‬ ‫مشخص‬ ‫محلی‬ ‫های‬ ‫پراسس‬ ‫یا‬ ‫تواند‬ ‫می‬ ‫دسته‬ ‫این‬ ‫از‬ ‫مثال‬ ‫یک‬ .‫نمایند‬ ‫برقرار‬ ‫ارتباط‬ ‫شبکه‬ ‫روی‬ ‫موجود‬ ‫های‬ ‫سرویس‬ ‫و‬ ‫وسایل‬ ‫سایر‬ ‫با‬ ‫شبکه‬ ‫کارت‬ ‫طریق‬ ‫از‬ ‫بخواهند‬ ‫است‬ ping ‫کردن‬ ‫سرویس‬ ‫بودن‬ ‫موجود‬ ‫یا‬ ‫و‬ ،‫فایروال‬ ‫پشت‬ ‫از‬ ‫دیگر‬ ‫کامپیوترهای‬ DNS ‫سرویس‬ ‫یا‬ ‫و‬ NTP .‫باشد‬ ‫فایروال‬ ‫کامپیوتر‬ ‫روی‬ ‫بر‬ ‫به‬ ‫ابتدا‬ ‫ها‬ ‫بسته‬ ‫نوع‬ ‫این‬ mangle / output ‫زنجیر‬ .‫شوند‬ ‫می‬ ‫وارد‬ mangle / output ‫به‬ ‫شبیه‬ ‫عملکردی‬ mangle / prerouting ‫این‬ ‫در‬ ‫تفاوت‬ ‫ولی‬ .‫دارند‬ ‫زنجیر‬ ‫به‬ ،‫شوند‬ ‫می‬ ‫تولید‬ ‫فایروال‬ ‫خود‬ ‫توسط‬ ‫که‬ ‫هایی‬ ‫بسته‬ ‫فقط‬ ‫که‬ ‫است‬ mangle / output .‫شوند‬ ‫می‬ ‫وارد‬ ‫زنجیر‬ filter / output ‫یک‬ ‫آیا‬ ‫که‬ ‫کنند‬ ‫می‬ ‫مشخص‬ ‫که‬ ‫هستند‬ ‫قوانینی‬ ‫شامل‬ ‫زنجیر‬ ‫این‬ .‫کند‬ ‫می‬ ‫مدیریت‬ ‫را‬ ‫شوند‬ ‫می‬ ‫خارج‬ ‫فایروال‬ ‫از‬ ‫که‬ ‫را‬ ‫هایی‬ ‫بسته‬ ، ‫یک‬ ‫نیز‬ ‫بخش‬ ‫این‬ ،‫ساده‬ ‫عبارت‬ ‫به‬ .‫شود‬ ‫بلک‬ ‫یا‬ ‫و‬ ‫گیرد‬ ‫قرار‬ ‫موردقبول‬ ‫باید‬ ‫بسته‬ packet-filter ‫زنجیر‬ ،‫موازی‬ ‫مسیر‬ ‫در‬ .‫باشد‬ ‫می‬ filter / forward ‫بسته‬ ‫اجازه‬ ‫آن‬ ‫به‬ ‫یا‬ ‫و‬ ‫کرده‬ ‫حذف‬ ‫آنرا‬ ‫بسته‬ ‫ویژگیهای‬ ‫براساس‬ ‫و‬ ‫داده‬ ‫قرار‬ ‫بررسی‬ ‫مورد‬ ‫را‬ ‫شوند‬ ‫می‬ ‫فرستاده‬ ‫داخلی‬ ‫شبکه‬ ‫سمت‬ ‫به‬ ‫خارجی‬ ‫شبکه‬ ‫از‬ ‫که‬ ‫را‬ ‫هایی‬ .‫دهند‬ ‫می‬ ‫عبور‬ nat / postrouting ‫آدرس‬ ‫توان‬ ‫می‬ ‫آن‬ ‫توسط‬ ‫که‬ ‫است‬ ‫قوانینی‬ ‫گیرنده‬ ‫بر‬ ‫در‬ ‫زنجیر‬ ‫این‬ .‫باشد‬ ‫می‬ ‫ها‬ ‫بسته‬ ‫حرکتی‬ ‫مسیر‬ ‫در‬ ‫نقطه‬ ‫آخرین‬ ، IP ‫یا‬ ‫و‬ ‫مبدا‬ ‫زنجیر‬ ‫کنیم‬ ‫می‬ ‫یادآوری‬ ‫پس‬ .‫داد‬ ‫تغییر‬ ‫را‬ ‫عبوری‬ ‫بسته‬ ‫یک‬ ‫مبدا‬ ‫پورت‬ ‫شماره‬ nat / prerouting ‫آدرس‬ ‫که‬ ‫است‬ ‫قوانینی‬ ‫برگیرنده‬ ‫در‬ IP ‫پورت‬ ‫یا‬ ‫و‬ ‫مقصد‬ ‫در‬ ‫ولی‬ ‫کنند‬ ‫می‬ ‫عوض‬ ‫را‬ ‫مقصد‬ nat / postrouting ‫آدرس‬ ‫که‬ ‫داریم‬ ‫قوانینی‬ IP .‫کنند‬ ‫می‬ ‫عوض‬ ‫را‬ ‫مبدا‬ ‫پورت‬ ‫شماره‬ ‫و‬ ‫مبدا‬ : ‫واقع‬‫در‬ IPTables ‫ابزار‬ ‫کمک‬ ‫به‬ ‫که‬ ‫است‬ ‫فایروال‬ ‫یک‬ Netfilter ‫از‬ ‫قبل‬ ‫نسل‬ .‫است‬ ‫شده‬ ‫ساخته‬ ، IPTables ‫نام‬ ‫با‬ IPchains ‫درون‬ .‫شود‬ ‫می‬ ‫شناخته‬ IPTables ، ‫شکل‬ ‫در‬ ‫که‬ ‫دارند‬ ‫قرار‬ ‫یکدیگر‬ ‫با‬ ‫خاصی‬ ‫ارتباط‬ ‫در‬ ‫زنجیرها‬ .‫داریم‬ ‫را‬ ‫قوانین‬ ‫و‬ ‫زنجیرها‬ ،‫جداول‬ 3 ‫جداول‬ ‫از‬ ‫هرکدام‬ ‫کاربرد‬ ‫خلصه‬ ‫شکل‬ ‫به‬ .‫شد‬ ‫داده‬ ‫نشان‬ ‫جدول‬ ‫مطابق‬ ‫آنها‬ ‫درون‬ ‫زنجیر‬ ‫و‬ 1 :‫باشد‬ ‫می‬ ‫زنجیر‬ ‫نام‬ / ‫جدول‬ ‫نام‬ mangle / prerouting ‫شود‬ ‫می‬ ‫استفاده‬ ‫ندرت‬ ‫به‬ nat / prerouting ‫آدرس‬ ‫تغییر‬ IP ‫مقصد‬ ‫پورت‬ ‫و‬ ‫مقصد‬ filter / forward ) ‫انتقال‬ forward ‫آن‬ ‫کنترل‬ ‫و‬ ‫دیگر‬ ‫شبکه‬ ‫به‬ ‫شبکه‬ ‫یک‬ ‫از‬ ‫بسته‬ ( ) 19 (
  • 20. nat / postrouting ‫آدرس‬ ‫تغییر‬ IP ‫مبدا‬ ‫پورت‬ ‫و‬ ‫مبدا‬ filter / input ‫زنجیر‬ input ‫کند‬ ‫می‬ ‫چک‬ ‫را‬ ‫فایروال‬ ‫خود‬ ‫به‬ ‫ورودی‬ ‫های‬ ‫بسته‬ ‫که‬ mangle / input ‫شود‬ ‫می‬ ‫استفاده‬ ‫ندرت‬ ‫به‬ mangle / output ‫شود‬ ‫می‬ ‫استفاده‬ ‫ندرت‬ ‫به‬ filter / output ‫زنجیر‬ output ‫کند‬ ‫می‬ ‫چک‬ ‫را‬ ‫فایروال‬ ‫خود‬ ‫از‬ ‫خروجی‬ ‫های‬ ‫بسته‬ ‫که‬ ) 20 (
  • 21. ‫گیرد‬ ‫می‬ ‫انجام‬ ‫زیر‬ ‫فرمان‬ ‫با‬ ‫که‬ ‫باشد‬ ‫می‬ ‫مرتبط‬ ‫سرویس‬ ‫نمودن‬ ‫فعال‬ ‫دستور‬ ‫این‬ ‫با‬ ‫کار‬ ‫برای‬ ‫اول‬ ‫قدم‬ : service iptables start ‫نکته‬ : ‫سرویس‬ ‫اینکه‬ ‫از‬ ‫قبل‬ iptables ‫سرویس‬ ‫بایستی‬ ‫شود‬ ‫اجرا‬ ip6tables ‫کنیم‬ ‫غیرفعال‬ ‫را‬ . ‫کنیم‬ ‫می‬ ‫وارد‬ ‫فرمان‬ ‫خط‬ ‫در‬ ‫را‬ ‫زیر‬ ‫دستورات‬ ‫کار‬ ‫این‬ ‫برای‬ : service ip6tables stop chkconfig ip6tables off ‫وضعیت‬ ‫شود‬ ‫فعال‬ ‫فرض‬ ‫پیش‬ ‫صورت‬ ‫به‬ ‫سرویس‬ ‫این‬ ‫سیستم‬ ‫شدن‬ ‫بوت‬ ‫موقع‬ ‫اینکه‬ ‫برای‬ runlevel ‫حالت‬ ‫در‬ ‫بایستی‬ ON ‫شود‬ ‫می‬ ‫داده‬ ‫قرار‬ : chkconfig --level 345 iptables on ‫ها‬ ‫پورت‬ ‫کردن‬ ‫بسته‬ ‫و‬ ‫باز‬ : ‫پورت‬ ‫کردن‬ ‫باز‬ ‫برای‬ 80 ‫کنیم‬ ‫می‬ ‫استفاده‬ ‫زیر‬ ‫فرمان‬ ‫از‬ ‫فایروال‬ ‫در‬ : iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT - p ‫معادل‬ protocol ‫و‬ sport ‫معادل‬ ‫و‬ ‫مبدا‬ ‫پورت‬ dport ‫باشد‬ ‫می‬ ‫مقصد‬ ‫پورت‬ ‫معادل‬ . ‫به‬ ‫نیاز‬ ‫صورت‬ ‫در‬ ‫همچنین‬ ‫از‬ ‫استفاده‬ https ‫پورت‬ ‫بایستی‬ 443 ‫باشد‬ ‫باز‬ ‫نیز‬ : iptables -A INPUT -p tcp -m tcp --sport 443 -j ACCEPT iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT ‫شود‬ ‫می‬ ‫استفاده‬ ‫مشابه‬ ‫دستورات‬ ‫از‬ ‫نیز‬ ‫ها‬ ‫پورت‬ ‫سایر‬ ‫برای‬ . ‫دستور‬ ‫ساختار‬ iptables : ‫شود‬ ‫می‬ ‫تقسیم‬ ‫بخش‬ ‫دو‬ ‫به‬ ‫دستور‬ ‫این‬ ‫گرامر‬ : chain,target iptables -A chain -j target chain ‫پارامتر‬ ‫و‬ ‫است‬ ‫اصلی‬ ‫قسمت‬ – A (append ( ‫یک‬ rule ‫نماید‬ ‫می‬ ‫اضافه‬ ‫را‬ . chain ‫معادل‬ ‫تواند‬ ‫می‬ input,ouput,forward ‫می‬ ‫دائمی‬ ‫پارامترهای‬ ‫که‬ ‫باشد‬ ‫باشند‬ . ‫پارامتر‬ – j (jump ( ‫قوانین‬ ‫مجموعه‬ ‫در‬ ‫محلی‬ iptables ‫گیرد‬ ‫می‬ ‫انجام‬ ‫آنجا‬ ‫به‬ ‫پرش‬ ‫که‬ ‫کند‬ ‫می‬ ‫مشخص‬ ‫را‬ . ‫شامل‬ ‫ترتیب‬ ‫به‬ ‫آن‬ ‫مقادیر‬ accept,drop,reject ‫می‬ ‫باشند‬ . ‫پارامتر‬ ‫توسط‬ – n ‫توانید‬ ‫می‬ ‫نیز‬ chain ‫کنید‬ ‫اضافه‬ ‫سفارشی‬ ‫و‬ ‫جدید‬ ‫های‬ . ‫با‬ ‫کار‬ policy ‫های‬ firewall : Iptbles ‫پارامتر‬ ‫از‬ – p ‫ایجاد‬ ‫برای‬ rule ‫کند‬ ‫می‬ ‫استفاده‬ ‫فرض‬ ‫پیش‬ ‫های‬ . ‫زیر‬ ‫دستورات‬ ‫مثل‬ ‫کند‬ ‫می‬ ‫بلک‬ ‫را‬ ‫شبکه‬ ‫درگاه‬ ‫در‬ ‫دریافتی‬ ‫و‬ ‫ارسالی‬ ‫های‬ ‫پکت‬ ‫کلیه‬ : iptables -P INPUT DROP iptables -P OUTPUT DROP ‫های‬ ‫پکت‬ ‫که‬ ‫شود‬ ‫می‬ ‫توصیه‬ ‫همچنین‬ forward ‫نیز‬ ‫شده‬ denied ‫نشوند‬ ‫نمایان‬ ‫اینترنت‬ ‫در‬ ‫ناخواسته‬ ‫طور‬ ‫به‬ ‫داخلی‬ ‫شبکه‬ ‫کاربران‬ ‫تا‬ ‫شوند‬ . rule ‫انجام‬ ‫برای‬ ‫زیر‬ ‫رود‬ ‫می‬ ‫کار‬ ‫به‬ ‫کار‬ ‫این‬ : iptables -P FORWARD DROP ‫تنظیم‬ ‫از‬ ‫بعد‬ policy chain ‫توانید‬ ‫می‬ rule ‫را‬ ‫نظر‬ ‫مورد‬ ‫های‬ ‫کنید‬ ‫تعریف‬ : ‫قوانین‬ ‫بازیابی‬ ‫و‬ ‫ذخیره‬ ‫ی‬ ‫نحوه‬ iptables : ) 21 (
  • 22. Rule ‫های‬ firewall ‫کامپیوتر‬ ‫زمانیکه‬ ‫تا‬ on ‫اتوماتیک‬ ‫صورت‬ ‫به‬ ‫سیستم‬ ‫مجدد‬ ‫اندازی‬ ‫راه‬ ‫با‬ ‫و‬ ‫باشند‬ ‫می‬ ‫معتبر‬ ‫باشد‬ reset ‫شوند‬ ‫می‬ . ‫از‬ ‫بعد‬ ‫قوانین‬ ‫این‬ ‫اینکه‬ ‫برای‬ ‫کنید‬ ‫زیراستفاده‬ ‫دستور‬ ‫از‬ ‫شوند‬ ‫اجرا‬ ‫اتوماتیک‬ ‫صورت‬ ‫به‬ ،‫مجدد‬ ‫اندازی‬ ‫راه‬ : /sbin/service iptables save ‫نکته‬ : ‫سایر‬ Rule ‫مسیر‬ ‫در‬ ‫ها‬ / etc/sysconfig/iptables ‫شوند‬ ‫می‬ ‫ذخیره‬ . ) 22 (
  • 23. 1 . ‫فایروال‬ ‫وضعیت‬ ‫نمایش‬ : ‫در‬ ‫حاضر‬ ‫حال‬ ‫در‬ ‫که‬ ‫هایی‬ ‫رول‬ ‫شدن‬ ‫مشخص‬ ‫برای‬ iptables ‫فرمائید‬ ‫استفاده‬ ‫زیر‬ ‫دستور‬ ‫از‬ ‫توانید‬ ‫می‬ ،‫دارند‬ ‫وجود‬ : iptables -L -n -v ‫باشد‬ ‫زیر‬ ‫شکل‬ ‫به‬ ‫تواند‬ ‫می‬ ‫دستور‬ ‫خروجی‬ : Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination ‫بود‬ ‫خواهد‬ ‫زیر‬ ‫شکل‬ ‫به‬ ‫وضعیت‬ ‫احتمال‬ ،‫اید‬ ‫کرده‬ ‫اضافه‬ ‫هایی‬ ‫رول‬ ‫قبل‬ ‫از‬ ‫خود‬ ‫فایروال‬ ‫در‬ ‫اگر‬ : Chain INPUT (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID 394 43586 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 93 17292 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0 1 142 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination 0 0 ACCEPT all -- br0 br0 0.0.0.0/0 0.0.0.0/0 0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID 0 0 TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU 0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 0 0 wanin all -- vlan2 * 0.0.0.0/0 0.0.0.0/0 0 0 wanout all -- * vlan2 0.0.0.0/0 0.0.0.0/0 0 0 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0 Chain OUTPUT (policy ACCEPT 425 packets, 113K bytes) pkts bytes target prot opt in out source destination Chain wanin (1 references) pkts bytes target prot opt in out source destination ) 23 (
  • 24. Chain wanout (1 references) pkts bytes target prot opt in out source destination ‫فرمائید‬ ‫استفاده‬ ‫زیر‬ ‫دستور‬ ‫از‬ ‫رول‬ ‫هر‬ ‫خط‬ ‫شماره‬ ‫همراه‬ ‫به‬ ‫ها‬ ‫رول‬ ‫نمایش‬ ‫برای‬ : iptables -n -L -v --line-numbers ‫بود‬ ‫خواهد‬ ‫زیر‬ ‫مشابه‬ ،‫دستور‬ ‫خروجی‬ ‫احتمال‬ : Chain INPUT (policy DROP) num target prot opt source destination 1 DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID 2 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 4 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 Chain FORWARD (policy DROP) num target prot opt source destination 1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 2 DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID 3 TCPMSS tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU 4 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED 5 wanin all -- 0.0.0.0/0 0.0.0.0/0 6 wanout all -- 0.0.0.0/0 0.0.0.0/0 7 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 Chain OUTPUT (policy ACCEPT) num target prot opt source destination Chain wanin (1 references) num target prot opt source destination Chain wanout (1 references) num target prot opt source destination ‫دستور‬ ‫توضیح‬ : L : - ‫ها‬ ‫رول‬ ‫لیست‬ v : - ‫جزئیات‬ ‫نمایش‬ n : - ‫نمایش‬ ip ‫عددی‬ ‫بصورت‬ ‫پورت‬ ‫و‬ 2 . ‫فایروال‬ ‫وضعیت‬ ‫تغییر‬ : ) 24 (
  • 25. ‫کرد‬ ‫استفاده‬ ‫توان‬ ‫می‬ ‫فایروال‬ ‫ریست‬ ‫و‬ ‫خاموش‬ ، ‫روشن‬ ‫برای‬ ‫زیر‬ ‫دستورات‬ ‫از‬ : service iptables stop service iptables start service iptables restart ‫نمائید‬ ‫وارد‬ ‫را‬ ‫زیر‬ ‫دستور‬ ، ‫بمانید‬ ‫باقی‬ ‫منوال‬ ‫همین‬ ‫به‬ ‫وضعیت‬ ‫نیز‬ ‫سرور‬ ‫ریستارت‬ ‫از‬ ‫پس‬ ‫و‬ ‫خاموش‬ ‫را‬ ‫فایروال‬ ‫خواهید‬ ‫می‬ ‫اگر‬ : service iptables stop chkconfig iptables off 3 . ‫فایروال‬ ‫های‬ ‫رول‬ ‫و‬ ‫قوانین‬ ‫حذف‬ : ‫آورید‬ ‫بدست‬ ‫را‬ ‫رول‬ ‫خط‬ ‫شماره‬ ‫زیر‬ ‫دستورات‬ ‫کمک‬ ‫به‬ ‫ابتدا‬ : iptables -L INPUT -n --line-numbers iptables -L OUTPUT -n --line-numbers iptables -L OUTPUT -n --line-numbers | less iptables -L OUTPUT -n --line-numbers | grep 202.54.1.1 ‫شماره‬ ‫خط‬ ‫در‬ ‫موجود‬ ‫رول‬ ‫حذف‬ ‫برای‬ ‫مثال‬ ‫عنوان‬ ‫به‬ ‫حال‬ 4 ‫فرمائید‬ ‫استفاده‬ ‫زیر‬ ‫دستور‬ ‫از‬ ‫توانید‬ ‫می‬ : iptables -D INPUT 4 ‫فرمایید‬ ‫استفاده‬ ‫خود‬ ‫نظر‬ ‫مورد‬ ‫پی‬ ‫ای‬ ‫به‬ ‫مروبطه‬ ‫قوانین‬ ‫حذف‬ ‫برای‬ ‫زیر‬ ‫دستور‬ ‫از‬ ‫یا‬ ‫و‬ : iptables -D INPUT -s 202.54.1.1 -j DROP ‫توضیح‬ : D : - ‫شده‬ ‫انتخاب‬ ‫زنجیره‬ ‫از‬ ‫رول‬ ‫چند‬ ‫یا‬ ‫یک‬ ‫حذف‬ 3.1 ‫فایروال‬ ‫از‬ ‫ها‬ ‫رول‬ ‫کلیه‬ ‫حذف‬ ) Flush iptables :( ) 25 (
  • 26. ‫فرمائید‬ ‫استفاده‬ ‫زیر‬ ‫دستور‬ ‫از‬ ‫توانید‬ ‫می‬ ‫ها‬ ‫رول‬ ‫کلیه‬ ‫حذف‬ ‫برای‬ : iptables -F ‫تیبل‬ ‫در‬ ‫اگر‬ ‫و‬ nat ‫و‬ mangle ‫نمائید‬ ‫وارد‬ ‫است‬ ‫لزم‬ ‫نیز‬ ‫را‬ ‫زیر‬ ‫دستور‬ ‫دو‬ ، ‫کردید‬ ‫اضافه‬ ‫رولی‬ ‫نیز‬ : iptables -t nat -F iptables -t mangle -F ‫فرمائید‬ ‫استفاده‬ ‫زیر‬ ‫دستور‬ ‫از‬ ‫مجدد‬ ‫ها‬ ‫رول‬ ‫وضعیت‬ ‫مشاهده‬ ‫برای‬ : iptables -L -v -n 4 . ‫فایروال‬ ‫در‬ ‫فوروارد‬ ‫یا‬ ‫و‬ ‫خروجی‬ ، ‫ورودی‬ ‫ترافیک‬ ‫کردن‬ ‫مسدود‬ ‫نحوه‬ : ‫فرمائید‬ ‫استفاده‬ ‫زیر‬ ‫دستورات‬ ‫از‬ ‫توانید‬ ‫می‬ ‫ترافیک‬ ‫کل‬ ‫کردن‬ ‫مسدود‬ ‫برای‬ ) ‫به‬ ‫شما‬ ‫دسترسی‬ ‫از‬ ‫مانع‬ ‫تواند‬ ‫می‬ ‫دستورات‬ ‫این‬ ‫که‬ ‫نمائید‬ ‫دقت‬ ‫گردد‬ ‫سرور‬ : (. iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP ‫فرمائید‬ ‫استفاده‬ ‫زیر‬ ‫دستور‬ ‫از‬ ‫توانید‬ ‫می‬ ‫فایروال‬ ‫در‬ ‫شده‬ ‫اضافه‬ ‫تغییرات‬ ‫نمودن‬ ‫ذخیره‬ ‫برای‬ : service iptables save ) 26 (
  • 27. iptables-save > iptable.rule : ‫کنیم‬ ‫ریستور‬ ‫را‬ ‫آن‬ ‫میتوانیم‬ ‫زیر‬ ‫دستور‬ ‫با‬ ‫سپس‬ . ‫کنیم‬ ‫ذخیره‬ ‫نظر‬ ‫مد‬ ‫مسیر‬ ‫در‬ ‫میتوانید‬ ‫را‬ ‫ها‬ ‫رول‬ ‫ما‬ ‫اینجا‬ ‫در‬ iptables-restore < iptables.rule ‫برای‬ : ‫نکته‬ save ‫فایل‬ ‫در‬ ‫را‬ ‫کردن‬ ‫ریستور‬ ‫به‬ ‫مربوط‬ ‫دستور‬ ‫توانید‬‫می‬ ‫دایمی‬ ‫بصورت‬ ‫کردن‬ interfaces ‫قرار‬ ( ‫شبکه‬ ‫کارت‬ ‫)تنظیمات‬ : ‫نمونه‬ ‫برای‬ ‫دهید‬ pre-up iptables-restore < iptables.rule 5 . ‫یک‬ ‫نمودن‬ ‫مسدود‬ ‫نحوه‬ IP ‫سرور‬ ‫روی‬ ‫بر‬ : ‫پی‬ ‫ای‬ ‫سوی‬ ‫از‬ ‫ورودی‬ ‫ترافیک‬ ‫توانید‬ ‫می‬ ‫شما‬ ‫اول‬ ‫دستورات‬ ‫کمک‬ ‫به‬ 1.2.3.4 ‫پی‬ ‫ای‬ ‫رنج‬ ‫برای‬ ‫ورودی‬ ‫ترافیک‬ ‫کل‬ ‫دوم‬ ‫دستور‬ ‫کردن‬ ‫وارد‬ ‫به‬ ‫و‬ ‫گردد‬ ‫می‬ ‫مسدود‬ ‫مثال‬ ‫مورد‬ . iptables -A INPUT -s 1.2.3.4 -j DROP iptables -A INPUT -s 192.168.0.0/24 -j DROP 6 . ‫خاص‬ ‫پورت‬ ‫یک‬ ‫روی‬ ‫بر‬ ‫ورودی‬ ‫ترافیک‬ ‫کردن‬ ‫مسدود‬ ‫نحوه‬ : ‫پورت‬ ‫روی‬ ‫بر‬ ‫را‬ ‫ورودی‬ ‫ترافیک‬ ‫توان‬ ‫می‬ ‫زیر‬ ‫دستورات‬ ‫کمک‬ ‫به‬ 80 ‫نمائید‬ ‫مسدود‬ . ‫پورت‬ ‫از‬ ‫سرور‬ ‫وب‬ ‫معمول‬ ‫که‬ ‫است‬ ‫توضیح‬ ‫به‬ ‫لزم‬ 80 ‫برای‬ ‫کند‬ ‫می‬ ‫استفاده‬ ‫سایت‬ ‫وب‬ ‫نمایش‬ . iptables -A INPUT -p tcp --dport 80 -j DROP iptables -A INPUT -i eth1 -p tcp --dport 80 -j DROP ) 27 (
  • 28. ‫پورت‬ ‫روی‬ ‫بر‬ ‫ورودی‬ ‫ترافیک‬ ‫کردن‬ ‫مسدود‬ ‫برای‬ 80 ‫یک‬ ‫برای‬ ‫تنها‬ IP ‫رنج‬ ‫یک‬ ‫یا‬ ‫و‬ IP ‫فرمائید‬ ‫استفاده‬ ‫زیر‬ ‫دستورات‬ ‫از‬ ‫توانید‬ ‫می‬ : iptables -A INPUT -p tcp -s 1.2.3.4 --dport 80 -j DROP iptables -A INPUT -i eth1 -p tcp -s 192.168.1.0/24 --dport 80 -j DROP 7 . ‫خروجی‬ ‫ترافیک‬ ‫نمودن‬ ‫مسدود‬ ‫نحوه‬ : ‫یک‬ ‫برای‬ ‫خروجی‬ ‫ترافیک‬ ‫نمودن‬ ‫مسدود‬ ‫برای‬ IP ‫رنج‬ ‫یک‬ ‫یا‬ ‫و‬ ‫خاص‬ IP ‫فرمائید‬ ‫استفاده‬ ‫زیر‬ ‫دستورات‬ ‫از‬ ‫توانید‬ ‫می‬ : iptables -A OUTPUT -d 1.2.3.4 -j DROP iptables -A OUTPUT -d 192.168.1.0/24 -j DROP iptables -A OUTPUT -o eth1 -d 192.168.1.0/24 -j DROP 8 . ‫ها‬ ‫فعالیت‬ ‫کردن‬ ‫لگ‬ : ‫از‬ ‫جلوگیری‬ ‫برای‬ ‫مثال‬ ‫برای‬ ‫شوید‬ ‫مطلع‬ ‫است‬ ‫وقوع‬ ‫حال‬ ‫در‬ ‫سرور‬ ‫شبکه‬ ‫روی‬ ‫بر‬ ‫که‬ ‫هایی‬ ‫فعالیت‬ ‫ریز‬ ‫از‬ ‫تا‬ ‫استفا‬ ‫نیاز‬ ‫مواقع‬ ‫از‬ ‫خیلی‬ IP spoofing ‫اینترفیس‬ ‫روی‬ ‫بر‬ eth1 ‫فرمائید‬ ‫استفاده‬ ‫زیر‬ ‫دستور‬ ‫از‬ ‫توانید‬ ‫می‬ . ‫حالیکه‬ ‫در‬ ‫دستور‬ ‫این‬ ‫در‬ ، ‫گردد‬ ‫می‬ ‫مسدود‬ ‫مربوطه‬ ‫ترافیک‬ ‫پیشوند‬ ‫با‬ ‫نیز‬ ‫گرفته‬ ‫صورت‬ ‫های‬ ‫تلش‬ IP_SPOOF A ‫شود‬ ‫می‬ ‫ذخیره‬ ‫لگ‬ ‫در‬ : iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j LOG --log-prefix "IP_SPOOF A: " iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP ‫مسیر‬ ‫در‬ ‫ها‬ ‫لگ‬ ‫معمول‬ / var/log/messages ‫باشد‬ ‫متفاوت‬ ‫تواند‬ ‫می‬ ‫استفاده‬ ‫مورد‬ ‫لینوکس‬ ‫ویرایش‬ ‫به‬ ‫توجه‬ ‫با‬ ‫البته‬ ‫که‬ ‫دارند‬ ‫قرار‬ . ‫برای‬ ‫فرمائید‬ ‫استفاده‬ ‫زیر‬ ‫دستورات‬ ‫از‬ ‫توانید‬ ‫می‬ ‫مربوطه‬ ‫های‬ ‫لگ‬ ‫مشاهده‬ : ) 28 (
  • 29. tail -f /var/log/messages grep --color 'IP SPOOF' /var/log/messages ‫سوکت‬ ‫قابلیت‬ ‫از‬ ‫توان‬ ‫می‬ ‫فایل‬ ‫لگ‬ ‫شدن‬ ‫حجیم‬ ‫از‬ ‫جلوگیری‬ ‫برای‬ - m ‫برای‬ ‫که‬ ‫نمود‬ ‫تنظیم‬ ‫توان‬ ‫می‬ ‫آن‬ ‫کمک‬ ‫به‬ ‫که‬ ‫کرد‬ ‫استفاده‬ ‫دستور‬ ‫در‬ ‫هر‬ ‫در‬ ‫مثال‬ 5 ‫از‬ ‫بیش‬ ‫دقیقه‬ 7 ‫در‬ ‫را‬ ‫مورد‬ ‫ننماید‬ ‫ذخیره‬ ‫لگ‬ : iptables -A INPUT -i eth1 -s 10.0.0.0/8 -m limit --limit 5/m --limit-burst 7 -j LOG --log-prefix "IP_SPOOF A: " iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP 9 . ‫شویم؟‬ ‫آگاه‬ ‫شبکه‬ ‫روی‬ ‫بر‬ ‫فایروال‬ ‫توسط‬ ‫پورت‬ ‫یک‬ ‫بودن‬ ‫بسته‬ ‫یا‬ ‫باز‬ ‫از‬ ‫چگونه‬ ‫فرمایئد‬ ‫استفاده‬ ‫زیر‬ ‫دستور‬ ‫از‬ ‫توانید‬ ‫می‬ ‫پورت‬ ‫نبودن‬ ‫و‬ ‫بودن‬ ‫باز‬ ‫از‬ ‫آگاهی‬ ‫برای‬ : netstat -tulpn ‫پورت‬ ‫پورت‬ ‫آیا‬ ‫اینکه‬ ‫از‬ ‫اطلع‬ ‫برای‬ tcp 80 ‫فرمایید‬ ‫استفاده‬ ‫زیر‬ ‫دستور‬ ‫از‬ ‫خیر‬ ‫یا‬ ‫است‬ ‫باز‬ : netstat -tulpn | grep :80 ‫پورت‬ ‫اگر‬ 80 ‫نمائید‬ ‫وارد‬ ‫را‬ ‫زیر‬ ‫دستور‬ ‫نبود‬ ‫باز‬ : service httpd start ‫پورت‬ ‫که‬ ‫یابید‬ ‫اطمینان‬ ‫زیر‬ ‫دستور‬ ‫کمک‬ ‫به‬ 80 ‫است‬ ‫نشده‬ ‫بسته‬ ‫فایروال‬ ‫روی‬ ‫بر‬ : iptables -L INPUT -v -n | grep 80 ‫فرمایئد‬ ‫استفاده‬ ‫زیر‬ ‫دستور‬ ‫از‬ ‫توانید‬ ‫می‬ ‫بود‬ ‫مسدود‬ ‫صورتیکه‬ ‫در‬ : ) 29 (