3.3. Sử dụng IPtables Commands
Linux bao hàm một số lượng các iptables commands khác nhau. Tất cả chúng đều thường bắt đầu bằng iptables và thêm vào một số các lựa chọn câu lệnh ( dạng command – line ). Cách tốt nhất là bắt đầu sử dụng iptables commands là xem cú pháp cơ bản cấu hình cho firewall đơn giản.
Để chỉ dẫn cho Linux bổ sung hay loại bỏ một rule, thì cú pháp như sau :
Iptables [-t table] CMD [chain] [filter_match] [target]
Các tham số tuỳ chọn được để trong cặp ngoặc vuông, table là bảng sẽ bị tác động, chain nào được tác động, loại lưu thông – filter match, tác động đến gói tin là gì – target. Ví dụ câu lệnh sau add một rule vào input chain của bảng filter mà nó drop tất cả các gói tin ICMP.
Iptables –t filter –A INPUT –p icmp DROP
-
Bảng sau mô tả các câu lệnh iptables thông dụng :
Bảng 4
Câu lệnh
|
Tên
|
Mô tả
|
-A
|
Append
|
Bổ sung một rule vào cuối một chain
|
-I
|
Insert
|
Chèn một rule vào đầu một chain
|
-D
|
Delete Rule
|
Xoá một rule
|
-L
|
List
|
Đưa ra danh sách tất cả các rules trong một chain.Nếu không chỉ rõ chain nào thì nó sẽ liệt kê rule trong tất cả các chain
|
-N
|
New
|
Tạo một chain của người dung.Chúng ta có thể tạo new chain với luật xử lý riêng mà có thể xử lý các gói trước khi chúng trở lại quá trình xử lý bình thường.
|
-X
|
Delete chain
|
Xoá một chain của người sử dụng
|
-F[]
|
Flush
|
Xoá tất cả các rules trong một chain.Nếu không chỉ rõ chain nào thì nó sẽ xoá tất cả các rules trong tất cả các chain.
|
-h
|
Help
|
Đưa ra tất cả các iptables command nhằm trợ giúp.
|
-
Các iptables target : Đó là các hành động của Linux sẽ thực hiện với gói tin. Bảng sau mô tả các target thông dụng
Bảng 5
Target
|
Mô tả
|
DROP
|
Khi rule gửi một gói với DROP target, nó sẽ bị thải hồi mà không có thông báo gì
|
REJECT
|
Gói tin cũng bị thải hồi nhưng Linux sẽ gửi lại một gói tin ICMP đến nguồn
|
ACCEPT
|
Cho phép gói tin đi qua firewall cũng như đi ra và đi vào mạng
|
LOG
|
Có nghĩa rằng các gói tin được logged và nó thường được sử dụng
trong các chain của người dung
|
SNAT
|
Chỉ sử dụng với PREROUTING chain trong bảng NAT.Nó sẽ biến đổi địa chỉ nguồn thành một địa chỉ mà chúng ta định nghĩa.Sử dụng với các gói tin đi vào mạng bên trong firewall
|
DNAT
|
Chỉ sử dụng với PREROUTING chain trong bảng NAT. Nó sẽ biến đổi địa chỉ đích thành một địa chỉ mà chúng ta định nghĩa.Thường sử dụng đối với các gói tin đi vào mạng.
|
MASQUERADE
|
Nó thực hiện NAT cho gói tin khi firewall có địa chỉ IP động – khi chúng ta kết nối Internet thông qua quay số. Target này chỉ sử dụng cho POSTROUTING chain trong bảng NAT.
|
user chain
|
Thay từ “user chain” cho tên của chain người sung định nghĩa.
|
-
Iptables options and conditions :
Option là thành phần cuối cùng trong iptables command mà chúng ta cần xác định trong xây dựng các rules cho firewall.Options xác định câu lệnh sẽ được xử lý như thế nào.Thông thường các options là các điều kiện ( condition ) mà được kiểm tra trước khi một command được thực thi.Những biểu thức điều kiện này được Linux đánh giá để quyết định lựa chọn command sẽ được thực thi hay bỏ qua.Bảng sau đây liệt kê các biểu thức điều kiện thông dụng.
Bảng 6
Option
|
Mô tả
| |
-p protocol
|
Xác định giao thức nào mà rule sẽ thực thi . tham số protocol có thể là tcp,udp, or icmp.Chúng ta cũng có thể sử dụng tên của giao thức nếu nó lắng nghe ở /ect/protocols hay protocol number.Nếu tất cả các giao thức thì sử dụng số 0 hoặc từ “all”.Còn nếu muốn sử dụng một số giao thức nào đó thì dung dấu phảy để ngăn cách.
|
-s source_address[/mask]
|
Xác định địa chỉ nguồn của gói tin.Ví dụ khi –s 192.168.1.1 thì chỉ định gói tin có địa chỉ 192.168.1.1. còn –s 192.168.1.0/24 chỉ định một dải địa chỉ IP từ 192.168.1.0 đến 192.168.1.255
|
-d destination_address[/mask]
|
Xác định địa chỉ đích của gói tin.Cũng giống như địa chỉ nguồn IP.
| |
-i interface
|
Xác định giao diện mạng mà trên đó các gói tin đi vào được nhận.Ví dụ chúng ta ám chỉ đến tất cả các gói tin mà đến giao diện mạng eth0 thì tag hi như sau : -i eth0.
|
--destination-port port
|
Tương tự như source-port
|
--source-port port
|
Xác định source port của gói tin TCP hay UDP. Bởi vì chỉ có những giao thức này sử dụng các cổng.Nó chỉ được sử dụng với option –p udp hay –p tcp.Ví dụ -p udp –source-port 53 ám chỉ đến tất cả các gói tin UDP với source port là 53; -p tcp –source-port 0:1023 ám chỉ tất cả các gói tin với source port từ 0 đến 1023.Nếu một dịch vụ đang lắng nghe tại files /ect/services thì chúng ta có thể dùng tên dịch vụ thay vì số cổng.
|
-o interface
|
Tương tự như –i option chỉ đến các gói tin đi ra bên ngoài qua các giao diện mạng.
|
--syn
|
Ví dụ -p tcp –syn sẽ kiểm tra một gói tin có là một phần của một kết nối TCP mới.
| |
--icmp –type type
|
Ví dụ -p icmp –icmp-type source-quench hay –p icmp – icmp-type 0 tất cả các loại gói tin ICMP
| |
!
|
Một mình nó không phải là một condition, nó được áp dụng cho tất cả các condition khác có nghĩa phủ định.Ví dụ -p 47, -p !47.
| |
-j target
|
Nó cũng không phải là một biểu thức lựa chọn.Nó chỉ ra rằng một gói tin sẽ được gửi tới một target nào đó, ví dụ : -j DROP tương đương với gói tin sẽ bi loại bỏ.
|
Chia sẻ với bạn bè của bạn: |
