Erinevus lehekülje "Iptables puust ja punaseks" redaktsioonide vahel

Iptables on töövahend linuxi kernelisse ehitatud filtreerimismehanismi kasutamiseks.

Iptablesi kasutamiseks peavad olema laetud vastavad kerneli moodulit. Näiteks kui soovime kasutada enda reeglites LOG, REJECT ja MASQUERADE targeteid (ja need pole kernelisse kompileeritud), peame laadima järgnevad moodulid.

# /sbin/insmod ipt_LOG
# /sbin/insmod ipt_REJECT
# /sbin/insmod ipt_MASQUERADE

Iptablesi moodulid, koos kirjeldustega, leiab siit lingilt http://www.tummy.com/journals/entries/jafo_20050717_164535

Laaditud iptablesi moodulid leiab failist /proc/net/ip_tables_matches

# cat /proc/net/ip_tables_matches
helper
limit
state
udplite
udp
tcp
icmp

Paigaldatud netfilteri mooduleid näeb käsuga

# /lib/modules/`uname -r`/kernel/net/ipv4/netfilter

Iptablesi üheks olulisemaks punktiks on ahelad (chains).

Lihtsustatult on olemas kaks peamist ahelat mida paketid läbivad INPUT ja OUTPUT. Tegelikult juba nagu ülemiselt skeemilt näha on peamisi ahelaidki veel (lisaks saab neid ise juurde luua). Aga hetkel lihtsustamise mõttes vaatleme vaid neid kahte.

Igal ahelaga saab siduda reegleid. Näiteks tekitame järgneva reegli:

iptables -A INPUT -i eth0 -j REJECT 

See reegel on seotud INPUT ahelaga (ehk sissetulevad paketid) ja kehtib ainult pakettide kohta, mis tulevad eth0 võrguliidesele. Lisaks ütleb, et need paketid lükatakse tagasi.

Lubame SSH ühenduse

iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT

Teisisõnu blokeerib antud reegel kogu sissetuleva võrguliikluse eth0 võrguliidesel.

hetkel tulemüürile teada olevate seansside tabel asub /proc/net/ip_conntrack

• https://wiki.itcollege.ee/index.php/Iptables

Kasutatud: http://math.ut.ee/~mroos/turve/praks/iptables.html