[LINUX] Iptables aus der Dokumentation gelernt

Ich war frustriert, als ich mehrmals versucht habe, iptables zu verstehen. Ich verstehe die Worte nicht immer.

――Was ist ein Tisch? ――Was ist eine Kette? ――Was ist ein Ziel?

Es gibt viele Erklärungen im Internet, aber ich konnte nichts dagegen tun. Dieses Mal möchte ich die Dokumentation zu iptables ernsthaft lesen und verstehen.

25.12.2019 Nachtrag Während ich Informationen sammelte, um iptables zu verstehen, fand ich eine großartige Referenz-Übersetzungsseite für Japanisch. Wir empfehlen, dass Sie sich für genaues Wissen auf Folgendes beziehen. Iptables Tutorial Japanische Übersetzung Eine Übersicht über Tabellen und Ketten finden Sie in Kapitel 6. Ich denke.

Gliederung

1. Lesen Sie zuerst die iptable-Handbücher DSPRIPTION, TAGETS, TABLES, um das Grundwissen zu erlernen und zu organisieren.
2. Lesen Sie danach @ suins "Aufdecken der stärksten iptables in meiner Geschichte".

$ man iptables

Das Folgende ist ein Auszug aus dem Handbuch zu iptables 1.6.1.

DESCRIPTION

Sie können Folgendes sehen, indem Sie die SEQ lesen.

• Was machen Iptables?
• Das Konzept von Tabellen, Ketten und Zielen

Iptables and ip6tables are used to set up, maintain, and inspect the tables of IPv4 and IPv6 packet filter rules in the Linux kernel. Several different tables may be defined. Each table contains a number of built-in chains and may also contain user-defined chains.

• Der Linux-Kernel verfügt über eine Tabelle mit IPv4- und IPv6-Paketfilterregeln. --iptables werden zum Aufstellen, Warten und Prüfen verwendet.
• Es werden mehrere verschiedene Tabellen definiert.
• Jede Tabelle enthält integrierte Ketten und ggf. benutzerdefinierte Ketten.

Each chain is a list of rules which can match a set of packets. Each rule specifies what to do with a packet that matches. This is called a `target', which may be a jump to a user-defined chain in the same table.

• Jede Kette ist eine Liste von Regeln, die mit einer Reihe von Paketen übereinstimmen.
• Jede Regel gibt an, was mit dem übereinstimmenden Paket zu tun ist. ――Dieses "Was zu tun ist" wird als Ziel bezeichnet. (Manchmal ist es ein Sprung zu einer benutzerdefinierten Kette in derselben Tabelle.

Zusammenfassung

1. ** Tabelle ** bezieht sich auf die Paketfiltertabelle, die im Linux-Kernel vorhanden ist Es gibt mehrere Tabellen, und jede Tabelle enthält eine Kette
2. ** Chain ** ist eine Liste von Regeln zum Abgleichen von Paketen
3. Was macht das ** Ziel ** mit den übereinstimmenden Paketen?

TARGETS

Sie können Folgendes herausfinden, indem Sie ZIELE lesen.

• Was tun, wenn das Paket nicht übereinstimmt? Was tun, wenn es übereinstimmt?
• Über die Ziele AKZEPTIEREN, TROPFEN, ZURÜCK

A firewall rule specifies criteria for a packet and a target. If the packet does not match, the next rule in the chain is examined; if it does match, then the next rule is specified by the value of the target, which can be the name of a user-defined chain, one of the targets described in iptables-extensions(8), or one of the special values ACCEPT, DROP or RETURN.

• Wenn die Pakete nicht übereinstimmen, versuchen Sie die folgenden Regeln.
• Wenn die Pakete übereinstimmen, wird die nächste Regel durch den Zielwert angegeben.
• Der Zielwert ist eine benutzerdefinierte Kette oder ein spezieller Wert, ACCEPT, DROP, RETURN.

ACCEPT means to let the packet through. DROP means to drop the packet on the floor. RETURN means stop traversing this chain and resume at the next rule in the previous (calling) chain. If the end of a built-in chain is reached or a rule in a built-in chain with target RETURN is matched, the target specified by the chain policy determines the fate of the packet.

--ACCEPT übergibt das Paket

• DROP lässt das Paket auf den Boden fallen, wirft es also weg --RETURN beendet das Scannen der Kette und fährt mit der nächsten Regel in der aufrufenden Kette fort
• Wenn das Ende einer integrierten Kette erreicht ist oder eine RETURN-Übereinstimmung in der integrierten Kette hergestellt wird, wird das Schicksal des Pakets durch die Richtlinie dieser Kette festgelegt.

Zusammenfassung

• Zu den Zielen gehören ACCEPT, DROP, RETURN
• Keine Übereinstimmung mit den integrierten Kettenregeln. Die Paketverarbeitung wird durch die Richtlinie festgelegt

• Informationen zu REJECT finden Sie unter man ip tables-extensions.

TABLES

Sie können Folgendes sehen, indem Sie TABELLEN lesen.

--Was ist in mehreren vorhandenen Tabellen enthalten? --Was ist die integrierte Kette in der Filtertabelle?

There are currently five independent tables (which tables are present at any time depends on the kernel configuration options and which modules are present). The tables are as follows

• Abhängig von der Kernel-Konfiguration gibt es derzeit 5 unabhängige Tabellen.
• Es ist Filter, Nat, Mangle, Raw, Sicherheit

Hier werden nur die Filtertabelle und die Nat-Tabelle übersetzt.

filter: This is the default table (if no -t option is passed). It contains the built-in chains INPUT (for packets destined to local sockets), FORWARD (for packets being routed through the box), and OUTPUT (for locally-generated packets).

• Die Filtertabelle ist die Standardtabelle, wenn Sie die Option -t nicht verwenden --Diese Tabelle enthält die folgenden integrierten Ketten --INPUT (für Pakete, die für lokale Sockets bestimmt sind) --FORWARD (für Pakete, die weitergeleitet werden) --OUTPUT (für lokal generierte Pakete)

nat: This table is consulted when a packet that creates a new connection is encountered. It consists of four built-ins: PREROUTING (for altering packets as soon as they come in), INPUT (for altering packets destined for local sockets), OUTPUT (for altering locally-generated packets before routing), and POSTROUTING (for altering packets as they are about to go out). IPv6 NAT support is available since kernel 3.7.

• Auf die nat-Tabelle wird verwiesen, wenn ein Paket erkannt wird, das eine neue Verbindung herstellt. --Diese Tabelle enthält die folgenden vier integrierten Ketten --PERROUTING (zum Ändern eingehender Pakete) --INPUT (zum Ändern von Paketen, die an lokale Sockets adressiert sind) --OUTPUT (zum Ändern lokal generierter Pakete vor dem Routing) --POSTROUTING (zum Ändern ausgehender Pakete)

Abbildung der Filtertabelle

Lassen Sie uns ein Diagramm des bisherigen Verständnisses erstellen.

• Es gibt eine Filtertabelle, die drei integrierte Ketten und eine benutzerdefinierte Kette enthält.
• Pakete, die für lokale Sockets bestimmt sind, befinden sich in der INPUT-Kette, Pakete, die weitergeleitet werden, befinden sich in der FORWARD-Kette und lokal generierte Pakete befinden sich in der OUTPUT-Kette, um festzustellen, ob sie den Regeln entsprechen
• Jede Kette hat Regeln, und wenn sie übereinstimmen, AKZEPTIEREN, TROPFEN, ZURÜCK oder zu einer benutzerdefinierten Kette springen.
• Wenn sie nicht übereinstimmen, bestimmt die Kettenrichtlinie die Verarbeitung zu ACCEPT oder DROP.

Lesen Sie "Enthüllung der stärksten iptables in meiner Geschichte"

Ich werde einen Auszug mit dem Wissen lesen, das ich bisher gewonnen habe.

Politische Entscheidung

 iptables -P INPUT DROP # Alle DROP. Es ist eine gute Idee, alle Löcher zu schließen, bevor Sie die erforderlichen Anschlüsse öffnen.
iptables -P OUTPUT  ACCEPT
iptables -P FORWARD DROP

-P, --policy chain target

Ich habe eine Richtlinie für die integrierte Kette festgelegt. Es bestimmt die endgültige Behandlung, wenn das Paket nicht mit der Regelliste der Kette übereinstimmt.

Wenn das Paket, auf das die Ketten INPUT und FORWARD abzielen (die darin enthaltene Regelliste), keiner der Regeln entspricht, spricht man von DROP.

Legen Sie zuerst diese Richtlinie fest und entscheiden Sie dann, welche Pakete zulässig sind, indem Sie eine Regel mit einem ACCEPT-Ziel hinzufügen. Ich denke, dies ist der Grund, warum es eine weiße Liste genannt wird.

Vertrauenswürdige Hosts zulassen

#lo steht für local loopback und zeigt auf seinen eigenen Host
iptables -A INPUT -i lo -j ACCEPT # SELF -> SELF

-A, --append chain rule-specification -i, --in-interface name -j, --jump target

Ich füge der INPUT-Kette eine Regel hinzu. Es stimmt mit dem Paket überein, das zu lo und ACCEPT kam.

Gegenmaßnahmen gegen Angriffe: Stealth-Scan

iptables -N STEALTH_SCAN # "STEALTH_SCAN"Bilden Sie eine Kette mit dem Namen
iptables -A STEALTH_SCAN -j LOG --log-prefix "stealth_scan_attack: "
iptables -A STEALTH_SCAN -j DROP

-N, --new-chain chain

Eine benutzerdefinierte Kette mit dem Namen STEALTH_SCAN wird erstellt, und die Regeln für das Springen zu LOG und DROP werden dieser Kette hinzugefügt.

Das LOG-Ziel wird nach der Verarbeitung nicht beendet, sondern verarbeitet die folgende Regel:

• Siehe das LOG der Man-IP-Tabellen-Erweiterungen

This is a "non-terminating target", i.e. rule traversal continues at the next rule.

Die obigen Einstellungen registrieren eine Regel zum Hinterlassen eines Protokolls und eine Regel zum Verwerfen eines Pakets in der STELALTH_SCAN-Kette. Wenn Sie zu dieser Kette springen, wird sie in der richtigen Reihenfolge angemeldet und das Paket wird verworfen.

Die Einstellungen für das Springen zu dieser Kette sind wie folgt.

#Pakete, die wie Stealth-Scans aussehen"STEALTH_SCAN"Springe zur Kette
iptables -A INPUT -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j STEALTH_SCAN
...#Die Fortsetzung wird weggelassen

INPUT wurde eine Regel hinzugefügt, die Paketen entspricht, bei denen es sich anscheinend um Stealth-Scans handelt, und die zur Kette STELALTH_SCAN springen.

• Ich denke, dass -p tcp --tcp-flags, -m state --state NEW eine Einstellung ist, die Paketen entspricht, die scheinbar Stealth-Scans sind. Wir werden hier nicht auf Stealth-Scans eingehen, also werden wir nicht darauf eingehen.

-j Obwohl AKZEPTIEREN usw. ein Sprung ist, schien es zunächst seltsam, Durch die Behandlung von ACCEPT, DROP und RETURN als spezielle Ketten ist das Gefühl der Fremdheit verschwunden.

Zusammenfassung

An dieser Stelle können Sie die Gliederung lesen. Wenn Sie die Option zum Abgleichen von Paketen kennenlernen, können Sie "Aufdecken der stärksten iptables in meinem Verlauf" verstehen.

"Die stärksten Iptables in meiner Geschichte verfügbar machen" dient jedoch nur zum Registrieren von Regeln in der INPUT-Kette Ich verstehe FORWARD und OUTPUT nicht. Nächstes Mal möchte ich hier etwas mehr graben. ← Ich habe folgendes geschrieben.

• Versuchen Sie, iptables zu lernen, bis Sie im Internet surfen können
• Versuchen Sie, iptablse zu lernen, Port Forward

25.12.2019 Nachtrag Während ich Informationen sammelte, um iptables zu verstehen, fand ich eine großartige Referenz-Übersetzungsseite für Japanisch. Wir empfehlen, dass Sie sich für genaues Wissen auf Folgendes beziehen. Iptables Tutorial Japanische Übersetzung Eine Übersicht über Tabellen und Ketten finden Sie in Kapitel 6. Ich denke.

Ich hoffe, dieser Artikel hat Ihnen beim Verständnis geholfen. ** "Gefällt mir" Danke. **: zwinker: