Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

Коротко о IPTables

Рубрика: Безопасность -> Брандмауэр
Метки:
Пятница, 6 февраля 2009 г.
Просмотров: 6276

Современный компьютер невозможно представить без сети. В каждом новом компьютере, как правило уже есть сетевая плата. Она нужна для выхода в локальную или глобальную сеть. Но при выходе в сеть компьютер подвергается опасности быть взломанным. Чтобы этого избежать и придумали различные способы фильтрации пакетов.

     Фильтрация пакетов подразумевает под собой анализ заголовка пакета, его последующего сравнения с набором некоторых правил, и выполнения действия над пакетом в зависимости от правил, которые заданы для него.

     IPTables - это встроенный в ядро фильтр пакетов в Linux, основанного на последних ядрах 2.4 и 2.6. Раньше в ядре 2.2 использовался фильтр пакетов ipchains. Тем , кто работал с ipchains, будет легко разобраться с IPTables. Они отличаются только синтаксисом команд, да в IPTables прибавилось очень много дополнитель­ных возможностей фильтрации пакетов. Также в IPTables появились функции DNAT/SNAT и продвиже­ния портов (port forwarding).


     IPTables не работает на прикладном уровне, решение о дальнейшем пути пакета принимается только на основании его заголовков, а не со­держимого. Есть, конечно, патчи, расширяющие функциональность IPTables, но о них не все знают. Такое решение, основанное только на заголовке пакета, не всегда является правильным: к примеру, все знают, что UDP-пакеты с портом отправителя 53 связаны с DNS-сервером, а TCP-пакеты с портом 80 - с Web-сервером. Это не всегда так. Хороший крекер непременно обойдет правила брандмауэра, собирая свои, никак не связанные с DNS и HTTP, пакеты с этими портами.

     Частая причина использования брандмауэра - это за­щита внутренней сети от внешнего мира, но не менее важна защита внешнего мира от внутренней сети. Это значит, что машины внутренней сети могут ис­пользоваться для DoS-атак других сетей или отдельных компьютеров. Администратор не должен такого допустить. В случае, если машины сети будут использоваться для DoS-атаки, виноватым окажется администратор сети.

     IPTables может повысить безопасность сети в довольно широ­ком смысле. Он умеет блокировать баннеры и Cookies при серфинге, что избавит пользователей от просмотра различной рекламы и уменьшит время загрузки страницы. Также он может блокировать доступ сотрудников компании к определенным сайтам. Можно блокировать некоторые сетевые приложения (в частности, ICQ, P2P).

     IPTables записывает действия каждого пакета пришедшего или ушедшего из сети. IPTables имеет немало опций. Не нужно помнить все эти опции: необходимо знать только самые необходимые из них. Но в плане самообразования, конечно, желательно ознакомится со всеми опциями этого замечательного пакета фильтров.