More Related Content
More from Yashar Esmaildokht
More from Yashar Esmaildokht (20)
Iptables
- 2. iptablesیکفایروالبرایگنو/لینوکساست.است نصب فرضپیش بصورت لینوکس هایتوزیع بیشتر بروی که.نام تیبلزپیآی
و شهرت اما است شبکه بالتر و ترپایین هایلیه حدودی تا و ترانسفر لیه سطح در سیاستی هر اجرای به قادر که است ابزاری
روتینگ از حرف که آنجا شودمی مربوط ترانسفر لیه در آن حصر و حد بی انعطاف به ،هسته سطح رر افزانرم این اصلی محبوبیت
هابسته)Packets(است آنها وضعیت و.
Iptablesتیم توسطnetfilterشد طراحی.نام به ،آن طراحی ایزنجیره ساختار علت به ابتدا درipchainنام بعدها اما یافت شهرت
iptablesشد گذاشته آن بر.اینآتش دیوار)Firewall(هایبسته روی فقط محدودی بسیار هایسیاست توانستمی تنها ابتدا در
شد اضافه آن به مانندی ماژول هایقسمت زمان مرور به اما کند اعمال ورودی.
Iptables(2) -yashar esmaildokhtدخت اسمعیل -یاشار
- 3. محلی یشبکه یک دراز بسیاری رفع و ترافیک کنترل ،امنیت برقراری ،شبکه آدرس یترجمه ،بهتر مدیریت ،حفاظت برای
،لینوکس عاملسیستم آتش دیواره شودمی استفاده آتش دیواره از نیازها.IPTablesمعرفی به ابتدا ،مقاله این در است.
ساختارIPTablesاست شده تشکیل هاانطباق و هاقانون ،هازنجیره ،هاجدول از ساختار این پردازیممی. .IPTables
تعدادی از قانون هر و قانون تعدادی از زنجیره هر ،زنجیره تعدادی از جدول هر است فرضپیش جدول چهار دارای.
داشته انطباق قانون یک با کامل طور به ایبسته اگر است هدف مجموعه یک دارای قانون هر است شده تشکیل انطباق. .
طور به را آتش دیواره از عبورکننده هایبسته سرنوشت ادامه در شد خواهد اجرا بسته مورد در قانون آن هدف ،باشد.
دهیممی توضیح کامل.
شبکه آن به ناخواسته هایدسترسی مسدودکردن منظور به که است کامپیوتری یشبکه یک از بخشی آتش دیواره یک
و رمزنگاری ،ردکردن ،دادناجازه منظور به که است ابزارها از ایمجموعه یا ابزار یک ،همچنین است شده طراحی.
و قوانین از ایمجموعه اساس بر مختلف امنیتی هایدامنه بین کامپیوتری ترافیک کل نمودن پراکسی یا رمزگشایی
شود سازیپیاده دو این از ترکیبی یا و افزارنرم ،افزارسخت روی تواندمی آتش دیواره شودمی استفاده معیارها. .
اینترنت به متصل داخلی یشبکه به اینترنت ناخواسته کاربران دسترسی از جلوگیری برای لل معمو آتش هایدیواره
را هاپیام یهمه آتش دیواره کنندمی عبور آتش دیواره از اینترنت از دریافتی و ارسالی هایپیام کلیه شوندمی استفاده. .
دیواره تنظیم برای کندمی مسدود ،کنندنمی برآورده را شده مشخص امنیتی معیارهای که هاییآن و کندمی بررسی.
نام به ابزاری از لینوکس عاملسیستم آتشIPTablesشودمی استفاده.NetfilterوIPTablesافزارینرم ساختارهای
یهسته درون2.4.xیهسته و2.6.xو شبکه آدرس یترجمه ، هابسته فیلترکردن توانمی هاآن کمک به که باشندمی
داد انجام را هابسته اصلح.
آتش دیواره
است زیر موارد شامل که دهدمی ارائه سرویس چندین آتش دیواره:
•آدرس از حفاظتIPهایشبکه کنندمی عمل مسیریاب یک مانند آتش هایدیواره از بسیاری ترافیک کنترل و. :
هایشبکه مثال عنوان به مختلف)192.168.1.1/24و10.100.100.0/24برقرار ارتباط یکدیگر با توانندمی (
این کنندمی استفاده اضافی هایزیرشبکه ایجاد به کمک برای ابزار این از فقط شبکه مدیران از بسیاری کنند. .
از استفاده با و است آتش دیواره اجزای از یکی خصوصیتIPTablesوIPChainsبا بنابراین است شده کامل.
آدرس یکIPیترجمه لزوما آتش دیواره چهاگر آوریم وجودبه گسترده یشبکه یا محلی یشبکه یک توانیممی.
مانند آتش هایدیواره اکثر اما ،دهدنمی انجام را شبکه آدرسIPTablesکنندمی فراهم را امکان این.
•شبکه تفکیکدر و است هاشبکه دیگر و شبکه یک بین مرز یک ایجاد برای ابتدایی ابزار یک آتش دیواره :
کندمی کمک ترافیک مدیریت.
•سمع استراق و پویشی ، دهیسرویس از جلوگیری هایحمله برابر در محافظتنقطه یک عنوان به آتش دیواره :
کندمی کنترل را شبکه از خروجی و ورودی ترافیک که کندمی عمل منفرد.
•کردن فیلترIPفیلتر دارد پورت و آدرس مبنای بر را اتصال کردنرد یا پذیرفتن توانایی آتش دیواره پورت و. :
Iptables(3) -yashar esmaildokhtدخت اسمعیل -یاشار
- 4. است همراه هابسته کردن فیلتر با کردن فیلتر از نوع این است آتش دیواره یک کاربرد ترینشدهشناخته کردن.
باشد نیز بسته مبدا اساس بر بلکه هابسته مقصد مبنای بر تنها نه و بوده پیچیده بسیار تواندمی و.
•بررسی با را ترافیک که است آتش دیواره نوع یک پراکسی یدهندهسرویس کلی طور به محتوا کردن فیلتر:
URLتواندمی ،شود تنظیم درستی به ،پراکسی بر مبتنی آتش دیواره اگر کندمی مدیریت ،صفحه محتوای و.
کند مسدود و شناسایی ،است مدنظر که محتوایی.
•بسته مسیر تعویضبفرستد دیگر میزبان یک یا دیگر پورت یک به را ترافیک باید آتش دیواره اوقات بعضی. :
یدهندهسرویس اگر مثلSquidتمام آتش دیواره کار این با ،است شده نصب آتش دیواره از غیر میزبانی روی
پورت به شده فرستاده ترافیک80و444هایاتصال در استاندارد هایپورت)HTTPوHTTPSپردازش برای را (
فرستدمی پراکسی یدهندهسرویس به بیشتر.
از عبارتند آتش دیواره انواع:
•شده تعریف قوانین اساس بر و کندمی نگاه شبکه از شده خارج یا شده وارد بسته هر به بسته فیلترکننده:
،کاربران برای و کندمی عمل موثر طور به بسته فیلترکننده افزارنرم کندمی رد یا قبول را آن کاربر توسط.
جعل برای و بوده مشکل آن پیکربندی اما است شفافIPاست مستعد.
•کاربرد یدروازههایدهندهسرویس مانند خاص هایکاربرد در :FTPوTelnetاعمال را امنیتی هایمکانیزم
شود کارآیی کاهش باعث است ممکن اما ،است مفید بسیار افزارنرم این کندمی. .
•مدار سطح دروازهاتصال یک کههنگامی :TCPیاUDPاز کندمی اعمال را امنیتی هایمکانیزم ،شودمی برقرار.
شوند مبادله بیشتر کنترل بدون هامیزبان بین توانندمی هابسته ،شودمی برقرار اتصال که ایلحظه.
•موثری طور به و کندمی مسدود را شبکه از خروجی و ورودی هایپیام یکلیه پراکسی یدهندهسرویس:
کندمی پنهان را شبکه واقعی هایآدرس.
پایه مفاهیم
به مربوط متون درIPTablesاین ،موارد از بسیاری در اندشده داده توضیح ادامه در که دارد وجود مفاهیمی.
شود مطالب بدفهمی باعث است ممکن که روندمی کاربه یکدیگر جای به اصطلحات.
Netfilter
دستکاری و مسدودکردن منظور به و دارد قرار لینوکس یهسته در که است هاقلب از ایمجموعه حاوی چارچوبی
از که ابزاری ترینشدهشناخته رودمی کار به هابسته.Netfilterفیلتر را هابسته که است آتش دیواره ،کندمی استفاده
مانند نیز دیگری ابزارهای کندمی.NATایپروژه نام همچنین کنندمی استفاده آن از بسته بندیصف و دارحالت پیگیری ،.
،کرد فراهم لینوکس برای را آتش دیواره ابزارهای از ایمجموعه کهNetfilterپروژه این در که اجزایی اکثر است بوده.
تهیه نیز هاییکتابخانه و کاربر فضای ابزارهای از ایمجموعه اما هستند هسته در بارگذاری قابل هایماژول شدند تهیه
شدند.
IPFilter
هابسته محدودکردن معیار دهدمی انجام را کاربری رابط یک از عبور حین در هابسته انتخابی عبوردادن یا مسدودکردن.
یلیه های سرآیند اساس بر3)IPv4، IPv6یلیه و (4)TCP، UDP، ICMP4،دارد کاربرد همه از بیش که معیاری است. (
Iptables(4) -yashar esmaildokhtدخت اسمعیل -یاشار
- 5. است مقصد و مبدا پروتکل و پورت ،مقصد و مبدا آدرس.IPFilterبرای ابتدا که است آتش هایدیواره انواع از یکی
OpenBSDمزایای از برخی ذکر به ادامه در دارد وجود نیز دیگر عامل هایسیستم در اکنون اما ،یافت توسعه.IPFilter
پردازیممی.
•متصل اینترنت مانند خارجی یشبکه یک به داخلی هایشبکه و است لینوکس ،عامل سیستم کههنگامی کنترل:
،مثال برای نمود مسدود را آن از خاصی انواع و داد عبور یاجازه ترافیک از خاصی انواع به توانمی ،است.
خارجی یشبکه از خاصی بخش به هابسته رفتن از توانمی بنابراین ،است مقصد آدرس حاوی هابسته سرآیند
از هاییآگهی و تبلیغات ،وب هایصفحه در دیگر مثالی عنوان به نمود جلوگیری.doubleclick.netدارند وجود
به توانمی ،کندمی هاآن بارگذاری صرف را زیادی زمان مرورگر وIPFilterاز ایبسته هیچ گفت
doubleclick.netنکند دریافت.
•ترافیک روی بر باید بنابراین است داخلی منظم یشبکه و اینترنت آشفته دنیای بین رابط تنها لینوکس امنیت. :
اما شود خارج شبکه از چیزی چه که نباشد مهم است ممکن کرد اعمال هاییمحدودیت داخلی یشبکه به وارده.
طریق از کسی که نخواهید است ممکن مثال عنوان به بود نگران باید وارده هایبسته مورد در.Telnetبا
دهندهسرویس یک و کنید استفاده اینترنت از تنها بخواهید است ممکن کند برقرار ارتباط دهندهسرویس.
داشتن با کارها این تمامی گیردمی را اتصالی هرگونه جلوی بنابراین نباشید. .IPFilterاست پذیرامکان.
•مراقبتبسته زیادی تعداد ،است شده پیکربندی نامناسبی طور به که محلی یشبکه در سیستمی اوقات گاهی :
است مناسب جااین در کندمی ارسال شبکه از خارج به را.IPFilterرویداد هر وقوع که کرد تنظیم طوری را
دهد گزارش را غیرطبیعی.
شبکه آدرس یترجمه)NAT(
آدرس یک به نیاز وب دهندگانسرویس و دیگرکامپیوترها با ارتباط در کامپیوتری هرIPرشد و اینترنت گسترش با دارد.
هایآدرس تعداد رسدمی نظر به کاری هایشبکه و خانگی استفادهIPطراحی ،ساده حل راه یک نباشد کافی موجود.
آدرس قالب مجددIPاین تا کشدمی طول سال چندین اما ،دهدمی را بیشتری هایآدرس تعداد داشتن امکان که است
جااین در است اینترنت زیرساخت کل اصلح نیازمند و شود سازیپیاده حل راه.NATکندمی حل را مشکل.NATیک به
عمل مشخص محلی یشبکه یک و اینترنت بین رابط عنوان به که دهدمی را امکان این مسیریاب یک مثل منفرد دستگاه
یک صورت این در کند.IPهایآدرس تعداد کمبود شود استفاده کامپیوتر یمجموعه یک برای تواندمی منفرد.IPتنها
از استفاده دلیلNATاز استفاده مزایای از نیز بهتر مدیریت و امنیت برقراری چون دیگری فواید نیست.NATاست.
مفهومNATبه ورود یدروازه عنوان به مسيرياب يا كامپيوتر مثل دستگاه يك كه است معنا اين به و ساده بسيار( )
كه دستگاهي آدرس به را كاري هايايستگاه هايآدرس كار اين با و كندمي عمل اينترنتNATترجمه است فعال آن روي
ديگر بيان به ،كندميNATكلي طور به و كاري هايايستگاه و شودمی فعال است متصل اينترنت به كه دستگاهي روي
اينترنت به كه بيندمي ساده دستگاه يك صورتبه را شبكه اينترنت ديگر سوي از کندمي پنهان اينترنت ديد از را شبكه.
باشدمي متصل.NATفقط نيست كاري هايايستگاه روي دوباره تنظيمات به نيازي و كندنمي ايجاد تغيير شبكه روي.
كه است دستگاهي آدرس همان كه را شبكه از خروجي یدروازه آدرس بايستمي كاري هايايستگاهNATفعال آن روي
بدانند را است شده.
Iptables(5) -yashar esmaildokhtدخت اسمعیل -یاشار
- 6. IPTables
سری از لینوکس یهسته1.1داریIPFilterنام به ابزاری از هابسته فیلترکردن قوانین تنظیم برای است بوده.ipfwadm
لینوکس در شدمی استفاده.2.2نام به ابزاریIPChainsلینوکس برای سرانجام و شد معرفی2.4ابزارIPTablesمعرفی
حقیقت در شد.IPTablesعلوه کند فیلتر را هاییبسته چه که گویدمی آن به و گویدمی سخن هسته با که است ابزاری.
هایماژول قوانین دستکاری و ایجاد برای ،هابسته کردن فیلتر برNATزیرا ،شودمی استفاده نیزNATطریق از نیز
قوانین مجموعهIPFilterنام اغلب شودمی پیکربندی.IPTablesشامل که آتش دیواره زیرساخت کل برایNetfilter،
و اتصال پیگیریNATاصلی هایویژگی شودمی استفاده ،است.IPTablesاز عبارتند:
•بسته فیلتر قوانین یمجموعه یکلیه کردنفهرست
•بسته فیلتر قوانین یمجموعه در قوانین اصلح کردن کم افزودن/ /
•بسته فیلتر قوانین یمجموعه در قانون هر هایشمارنده کردن صفر فهرست/
که این دلیل بهIPTablesکاربر توسط حتما باید ،دارد نیاز اجرا برای خاصی امتیازات بهrootاکثر در شود اجرا.
لینوکس هایسیستمIPTablesیشاخه درusr/sbin/iptablesدستور اجرای با و شودمی نصبman iptablesتوانمی
یپروژه کرد پیدا دسترسی آن به مربوط مستندات به.netfilter/IPTablesسال در1998توسط میلدیRusty Russell
یدهندهتوسعه کهIPChainsتیم ،پروژه پیشرفت با شد شروع بود نیز.Netfilterشده داده توسعه افزارنرم گرفت شکل.
لیسانس تحت هاآن توسطGNU/GPLچارچوب است.Xtablesکه دهدمی را هاییجدول تعریف امکان سیستم مدیر به
نوع با جدول هر شود برخورد چگونه بسته با که کندمی مشخص قانون هر هستند قوانین از هاییزنجیره شامل. .
زنجیره یک در قانون یک شوندمی پردازش هازنجیره پیمایش با هابسته دارد سروکار ،بسته پردازش از خاصی. .
یا ورودی بسته هر باشد داشته ادامه تواندمی جایی هر تا روند این و بفرستد دیگری زنجیره به را بسته یک تواندمی.
بپیماید را ایزنجیره چه ابتدا در که کندمی مشخص بسته منبع پیمایدمی را زنجیره یک حداقل شبکه از خروجی. .
تواندمی سیستم مدیر شودمی حذف ،برسد زنجیره انتهای به که ایبسته مثال برای دارند هاییسیاست توکار جداول. .
گونهاین انتهای به ایبسته اگر و است نشده تعریف سیاست هازنجیره این برای کند ایجاد زنجیره دلخواه تعداد به.
انواع با زنجیره یک در قانون هر گرددمی باز ،است کرده فراخوانی را آن که ایزنجیره به دوباره ،برسد هازنجیره.
را زنجیره یک ایبسته وقتی باشد داشته هدف یک است ممکن قانون همچنین یابدمی انطباق خاصی هایبسته. .
و شودمی فرستاده بعدی قانون به بسته ،نکند پیدا انطباق بسته با قانون اگر کندمی بررسی را آن ،قانون هر ،پیمایدمی.
در پیوسته پیمایش به بسته شودمی برخورد بسته با شده مشخص هدف در چهآن طبق ،یابد انطباق بسته با قانون اگر.
تا دهدمی ادامه زنجیره)1تصمیم بسته نهایی سرنوشت مورد در صورت این در که یابد انطباق بسته آن با قانون یک (
یا شودمی حذف یا قبول بسته مثل شودمی گرفته) ( )2یزنجیره به بسته و کند فراخوانی را بازگشت هدف ،قانون یک (
یا بازگردد فراخواننده)3برسد زنجیره انتهای به بسته. (
اصطلاحات و عباراتIPTables
،هستند لزم بعدی مطالب درک برای و دارند را کاربرد بیشترین که اصطلحاتی و عبارات از تعدادی ،بخش این ادامه در
شوندمی داده شرح.
انطباق:
باید سرآیند یک که گویدمی قانون یک به که منفرد انطباق یک اول معنی رودمی کاربه مختلف معنی دو با کلمه این: .
Iptables(6) -yashar esmaildokhtدخت اسمعیل -یاشار
- 7. انطباق مثل باشد اطلعاتی چه محتوی-- .sourceمحدوده یا خاص میزبان یک باید منبع آدرس که گویدمی ما به
یک مورد در قانون یک کل اگر دوم معنی است شده تشکیل انطباق چندین یا یک از قانون هر باشد شبکه از خاصی: . .
آورده ادامه در هاانطباق پرکاربردترین از نمونه چند است یافته انطباق قانون با بسته گوییممی کند صدق بسته.
اندشده:
•--)source (-sآدرس یک :IPدهدمی انطباق را شبکه یا مبدا.
•--)destination (-dآدرس یک :IPدهدمی انطباق را شبکه یا مقصد.
•--)protocol (-pیک روی :IPدهدمی انجام انطباق.
•--)in-interface (-iکندمی ایجاد ورودی رابط یک. :
•interfaceکندمی ایجاد خروجی رابط یک. :
•--stateدهدمی انطباق اتصال حالت از ایمجموعه روی. :
•--stringدهدمی انجام انطباق ،کاربردی یلیه داده هایبایت از ایرشته روی. :
قانون:
هایسازیپیاده اکثر در که است هدف یک همراه به انطباق چندین یا یک از ایمجموعهIPTablesایمجموعه قانون یک ،
باشیم داشته قانون هر برای هدف چندین توانیممی هاسازیپیاده از بعضی در است انطباق چندین از. .
قوانین یمجموعه:
سازیپیاده در قوانین از ایمجموعهIPTablesشوندمی نوشته پیکربندی فایل یک در قوانین یمجموعه باشدمی. .
پرش:jump
دستورالعملJUMPنام ،هدف نام نوشتن جای به که تفاوت این با شودمی نوشته آن مانند دقیقا و است هدف یک مانند.
پردازش آن در و شودمی فرستاده بعدی یزنجیره به بسته ،داشت انطباق قانون اگر شودمی نوشته دیگر یزنجیره یک.
شودمی.
هدف:target
پیدا انطباق کامل طور به قانون کل اگر دارد هدف یمجموعه یک قوانین یمجموعه در موجود قانون هر کلی طور به.
آدرس یا و حذف ،قبول را آن باید که گویدمی مثل کرد چه بسته با باید که کندمی مشخص هدف تعریف ،کند.IPرا آن
شده آورده پرکاربرد هدف چند ادامه در باشد نداشته یا باشد داشته هدف یا پرش است ممکن قانون یک کرد ترجمه. .
است:
•ACCEPTدهد ادامه خود راه به که دهدمی اجازه بسته یک به. :
•DROPشودنمی انجام آن روی دیگری پردازش هیچ و کندمی حذف را بسته یک. :
•LOGدر را بسته یک :syslogکندمی ثبت.
•REJECTکندمی ارسال ،مناسب پاسخ یک همزمان و کندمی حذف را بسته یک. :
•RETURNشودمی فراخواننده یزنجیره در بسته یک پردازش ادامه باعث. :
جدول:table
در و دارد خاصی هدف جدول هرIPTablesجداول دارد وجود جدول چهار ،:Filter، Nat، RawوMangleعنوان به .
Iptables(7) -yashar esmaildokhtدخت اسمعیل -یاشار
- 8. جدول ،مثالFilterجدول و است شده طراحی هابسته کردن فیلتر منظور بهNatآدرس یترجمه برای فقطIPهابسته
شودمی استفاده.
اتصال پیگیری:
هایویژگی ترینمهم از یکیNetfilterکلیه که دهدمی هسته به را امکان این اتصال پیگیری است اتصال پیگیری.
هم به ،دهندمی تشکیل را اتصال یک هم با که هاییبسته کلیه وسیلهبدین و کند پیگیری را هاجلسه یا شبکه هایاتصال
کند مرتبط.NATو دارد نیاز هم به مرتبط هایبسته یترجمه برای اطلعات این بهIPTablesاطلعات این از تواندمی
زیر شرح به مختلف هایحالت به را بسته هر ،اتصال پیگیری کند عمل دارحالت آتش دیواره یک مانند و کند استفاده.
کندمی بندیطبقه:
•جدیدجدید اتصال یک یبسته اولین. :
•شدهبرقراردارد وجود که است اتصالی از قسمتی که ایبسته. :
•وابستهاست مرتبط موجود اتصال یک به اتصال این و است کرده شروع را جدید اتصال یک که ایبسته. :
•نامعتبرنیست ایشدهشناخته اتصال هیچ از قسمتی. :
•ردیابی عدمیک برای را اتصال پیگیری تا شودمی داده نسبت بسته یک به مدیر توسط که است خاصی حالت :
ندهد انجام خاص بسته.
زنجیره:chain
یک زنجیره هر شودمی اعمال ،پیمایندمی را زنجیره که هاییبسته روی بر که است قانون یمجموعه یک زنجیره یک.
کند تعریف را هاییزنجیره تواندمی نیز کاربر اما دارد توکار زنجیره یمجموعه یک جدول هر دارد خاص هدف. .
از عبارتند توکار هایزنجیره ترینمهمINPUT، OUTPUTوFORWARD
•INPUTکهاین از بعد البته شوندمی وارد محلی یشبکه به که شودمی پیمایش هاییبسته توسط زنجیره این. :
شود انجام هاآن مسیریابی عمل هسته در.
•OUTPUTشوندمی تولید لینوکس سیستم در که است هاییبسته برای. :
•FORWARDدر باید هابسته ،شودمی استفاده دیگر یشبکه به شبکه یک کردنمتصل برای آتش دیواره وقتی :
رودمی کاربه زنجیره این مورد این در که شوند مسیریابی آتش دیواره.
از عبارتند دیگر یزنجیره دوPREROUTINGوPOSTROUTINGعمل از بعد و قبل را هابسته سرآیند اصلح که
دهندمی انجام ،هسته توسط مسیریابی.
Iptables(8) -yashar esmaildokhtدخت اسمعیل -یاشار
- 9. گیرد می انجام زیر فرمان با که باشد می مرتبط سرویس نمودن فعال دستور این با کار برای اول قدم:
service iptables start
نکته:سرویس اینکه از قبلiptablesسرویس بایستی شود اجراip6tablesکنیم غیرفعال را.دستورات کار این برای
کنیم می وارد فرمان خط در را زیر:
service ip6tables stop
chkconfig ip6tables off
وضعیت شود فعال فرض پیش صورت به سرویس این سیستم شدن بوت موقع اینکه برایrunlevelدر بایستی
حالتONشود می داده قرار:
chkconfig --level 345 iptables on
ها پورت کردن بسته و باز:
پورت کردن باز برای80کنیم می استفاده زیر فرمان از فایروال در:
iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
-pمعادلprotocolوsportمعادلو مبدا پورتdportباشد می مقصد پورت معادل.
به نیاز صورت در همچنیناز استفادهhttpsپورت بایستی443باشد باز نیز:
iptables -A INPUT -p tcp -m tcp --sport 443 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT
شود می استفاده مشابه دستورات از نیز ها پورت سایر برای.
دستور ساختارiptables:
شود می تقسیم بخش دو به دستور این گرامر:chain,target
iptables -A chain -j target
chainپارامتر و است اصلی قسمت–A (append )یکruleنماید می اضافه را.chainمعادل تواند می
input,ouput,forwardباشند می دائمی پارامترهای که باشد.
پارامتر–j (jump )قوانین مجموعه در محلیiptablesگیرد می انجام آنجا به پرش که کند می مشخص را.به آن مقادیر
شامل ترتیبaccept,drop,rejectباشند می.پارامتر توسط–nتوانید می نیزchainاضافه سفارشی و جدید های
کنید.
Iptables(9) -yashar esmaildokhtدخت اسمعیل -یاشار
- 10. با کارpolicyهایfirewall:
Iptblesپارامتر از–pایجاد برایruleکند می استفاده فرض پیش های.زیر دستورات مثلو ارسالی های پکت کلیه
کند می بلک را شبکه درگاه در دریافتی:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
های پکت که شود می توصیه همچنینforwardنیز شدهdeniedدر ناخواسته طور به داخلی شبکه کاربران تا شوند
نشوند نمایان اینترنت.ruleرود می کار به کار این انجام برای زیر:
iptables -P FORWARD DROP
تنظیم از بعدpolicy chainتوانید میruleرا نظر مورد هایکنید تعریف:
قوانین بازیابی و ذخیره ی نحوهiptables:
Ruleهایfirewallکامپیوتر زمانیکه تاonصورت به سیستم مجدد اندازی راه با و باشند می معتبر باشد
اتوماتیکresetشوند می.دستور از شوند اجرا اتوماتیک صورت به ،مجدد اندازی راه از بعد قوانین این اینکه برای
کنید زیراستفاده:
/sbin/service iptables save
نکته:سایرRuleمسیر در ها/etc/sysconfig/iptablesشوند می ذخیره.
Iptables(10) -yashar esmaildokhtدخت اسمعیل -یاشار
- 11. 1.فایروال وضعیت نمایش:
در حاضر حال در که هایی رول شدن مشخص برایiptablesزیر دستور از توانید می ،دارند وجود
فرمائید استفاده:
iptables -L -n -v
باشد زیر شکل به تواند می دستور خروجی:
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
بود خواهد زیر شکل به وضعیت احتمال ،اید کرده اضافه هایی رول قبل از خود فایروال در اگر:
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
394 43586 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state
RELATED,ESTABLISHED
93 17292 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0
1 142 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- br0 br0 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
0 0 TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02
TCPMSS clamp to PMTU
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 wanin all -- vlan2 * 0.0.0.0/0 0.0.0.0/0
0 0 wanout all -- * vlan2 0.0.0.0/0 0.0.0.0/0
Iptables(11) -yashar esmaildokhtدخت اسمعیل -یاشار
- 12. 0 0 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 425 packets, 113K bytes)
pkts bytes target prot opt in out source destination
Chain wanin (1 references)
pkts bytes target prot opt in out source destination
Chain wanout (1 references)
pkts bytes target prot opt in out source destination
فرمائید استفاده زیر دستور از رول هر خط شماره همراه به ها رول نمایش برای:
iptables -n -L -v --line-numbers
بود خواهد زیر مشابه ،دستور خروجی احتمال:
Chain INPUT (policy DROP)
num target prot opt source destination
1 DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID
2 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
4 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP)
num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
2 DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID
3 TCPMSS tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to
PMTU
4 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
5 wanin all -- 0.0.0.0/0 0.0.0.0/0
6 wanout all -- 0.0.0.0/0 0.0.0.0/0
7 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
Chain wanin (1 references)
Iptables(12) -yashar esmaildokhtدخت اسمعیل -یاشار
- 13. num target prot opt source destination
Chain wanout (1 references)
num target prot opt source destination
دستور توضیح:
L: -ها رول لیست
v: -جزئیات نمایش
n: -نمایشipعددی بصورت پورت و
2.فایروال وضعیت تغییر:
کرد استفاده توان می فایروال ریست و خاموش ، روشن برای زیر دستورات از:
service iptables stop
service iptables start
service iptables restart
، بمانید باقی منوال همین به وضعیت نیز سرور ریستارت از پس و خاموش را فایروال خواهید می اگر
نمائید وارد را زیر دستور:
service iptables stop
chkconfig iptables off
3.فایروال های رول و قوانین حذف:
آورید بدست را رول خط شماره زیر دستورات کمک به ابتدا:
iptables -L INPUT -n --line-numbers
iptables -L OUTPUT -n --line-numbers
iptables -L OUTPUT -n --line-numbers | less
iptables -L OUTPUT -n --line-numbers | grep 202.54.1.1
شماره خط در موجود رول حذف برای مثال عنوان به حال4فرمائید استفاده زیر دستور از توانید می:
iptables -D INPUT 4
Iptables(13) -yashar esmaildokhtدخت اسمعیل -یاشار
- 14. فرمایید استفاده خود نظر مورد پی ای به مروبطه قوانین حذف برای زیر دستور از یا و:
iptables -D INPUT -s 202.54.1.1 -j DROP
توضیح:
D: -شده انتخاب زنجیره از رول چند یا یک حذف
3.1فایروال از ها رول کلیه حذف)Flush iptables:(
فرمائید استفاده زیر دستور از توانید می ها رول کلیه حذف برای:
iptables -F
تیبل در اگر وnatوmangleنمائید وارد است لزم نیز را زیر دستور دو ، کردید اضافه رولی نیز:
iptables -t nat -F
iptables -t mangle -F
فرمائید استفاده زیر دستور از مجدد ها رول وضعیت مشاهده برای:
iptables -L -v -n
Iptables(14) -yashar esmaildokhtدخت اسمعیل -یاشار
- 15. 4.فایروال در فوروارد یا و خروجی ، ورودی ترافیک کردن مسدود نحوه:
فرمائید استفاده زیر دستورات از توانید می ترافیک کل کردن مسدود برای)دستورات این که نمائید دقت
گردد سرور به شما دسترسی از مانع تواند می: (.
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
فرمائید استفاده زیر دستور از توانید می فایروال در شده اضافه تغییرات نمودن ذخیره برای:
service iptables save
iptables-save > iptable.rule
را آن میتوانیم زیر دستور با سپس کنیم ذخیره نظر مد مسیر در میتوانید را ها رول ما اینجا در.
کنیم ریستور:
iptables-restore < iptables.rule
برای نکته:saveفایل در را کردن ریستور به مربوط دستور توانیدمی دایمی بصورت کردن
interfacesنمونه برای دهید قرار شبکه کارت تنظیمات: ( )
Iptables(15) -yashar esmaildokhtدخت اسمعیل -یاشار
- 16. pre-up iptables-restore < iptables.rule
5.یک نمودن مسدود نحوهIPسرور روی بر:
پی ای سوی از ورودی ترافیک توانید می شما اول دستورات کمک به1.2.3.4دوم دستور کردن وارد به و
گردد می مسدود مثال مورد پی ای رنج برای ورودی ترافیک کل.
iptables -A INPUT -s 1.2.3.4 -j DROP
iptables -A INPUT -s 192.168.0.0/24 -j DROP
6.خاص پورت یک روی بر ورودی ترافیک کردن مسدود نحوه:
پورت روی بر را ورودی ترافیک توان می زیر دستورات کمک به80نمائید مسدود.است توضیح به لزم
پورت از سرور وب معمول که80کند می استفاده سایت وب نمایش برای.
iptables -A INPUT -p tcp --dport 80 -j DROP
iptables -A INPUT -i eth1 -p tcp --dport 80 -j DROP
پورت روی بر ورودی ترافیک کردن مسدود برای80یک برای تنهاIPرنج یک یا وIPاز توانید می
فرمائید استفاده زیر دستورات:
Iptables(16) -yashar esmaildokhtدخت اسمعیل -یاشار
- 17. iptables -A INPUT -p tcp -s 1.2.3.4 --dport 80 -j DROP
iptables -A INPUT -i eth1 -p tcp -s 192.168.1.0/24 --dport 80 -j DROP
7.خروجی ترافیک نمودن مسدود نحوه:
یک برای خروجی ترافیک نمودن مسدود برایIPرنج یک یا و خاصIPزیر دستورات از توانید می
فرمائید استفاده:
iptables -A OUTPUT -d 1.2.3.4 -j DROP
iptables -A OUTPUT -d 192.168.1.0/24 -j DROP
iptables -A OUTPUT -o eth1 -d 192.168.1.0/24 -j DROP
8.ها فعالیت کردن ل گ:
شوید مطلع است وقوع حال در سرور شبکه روی بر که هایی فعالیت ریز از تا استفا نیاز مواقع از خیلی
از جلوگیری برای مثال برایIP spoofingاینترفیس روی برeth1استفاده زیر دستور از توانید می
فرمائید.حالیکه در دستور این دربا نیز گرفته صورت های تلش ، گردد می مسدود مربوطه ترافیک
پیشوندIP_SPOOF Aشود می ذخیره ل گ در:
Iptables(17) -yashar esmaildokhtدخت اسمعیل -یاشار
- 18. iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j LOG --log-prefix "IP_SPOOF A: "
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
مسیر در ها ل گ معمول/var/log/messagesمورد لینوکس ویرایش به توجه با البته که دارند قرار
باشد متفاوت تواند می استفاده.استفاده زیر دستورات از توانید می مربوطه های ل گ مشاهده برای
فرمائید:
tail -f /var/log/messages
grep --color 'IP SPOOF' /var/log/messages
سوکت قابلیت از توان می فایل ل گ شدن حجیم از جلوگیری برای-mکمک به که کرد استفاده دستور در
هر در مثال برای که نمود تنظیم توان می آن5از بیش دقیقه7در را موردننماید ذخیره ل گ:
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -m limit --limit 5/m --limit-burst 7 -j LOG --log-prefix
"IP_SPOOF A: "
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
9.شویم؟ آگاه شبکه روی بر فایروال توسط پورت یک بودن بسته یا باز از چگونه
فرمایئد استفاده زیر دستور از توانید می پورت نبودن و بودن باز از آگاهی برای:
Iptables(18) -yashar esmaildokhtدخت اسمعیل -یاشار
- 19. netstat -tulpn
پورت پورت آیا اینکه از اطلع برایtcp 80فرمایید استفاده زیر دستور از خیر یا است باز:
netstat -tulpn | grep :80
پورت اگر80نمائید وارد را زیر دستور نبود باز:
service httpd start
پورت که یابید اطمینان زیر دستور کمک به80است نشده بسته فایروال روی بر:
iptables -L INPUT -v -n | grep 80
فرمایئد استفاده زیر دستور از توانید می بود مسدود صورتیکه در:
iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
service iptables save
10.فایروال کردن فعال غیر:
هایصلی سرویس صحیح کارکرد از مانع فایروال یا و هستید روبرو فایروال به دسترسی در مشکلی با اگر
نمائید خاموش را فایروال زیر دستورات کمک به توانید می است شده شما سرور.دستور از استفاده با
Iptables(19) -yashar esmaildokhtدخت اسمعیل -یاشار
- 20. نمی فعال مجدد فایروال و ماند خواهد باقی منوال همین به وضعیت سرور ریستارت از پس نیز دوم
مانند جانبی افزار نرم از شما آنکه مگر ،گرددcsfفعال مجدد فایروال ترتیب بدین که باشید کرده استفاده
داشت نخواهد شدن غیرفعال قابلیت شکل بدین و گردد می:
service iptables stop
chkconfig iptables off
با بیشتر آشنایی برایiptablesمطالعه وmanualفرمائید استفاده زیر دستور از توانید می آن های:
man iptables
بود خواهد استفاده قابل زیر دستور آن راهنمای مشاهده برای:
iptables -h
فرمائید استفاده زیر سینتکس نیز هستید خاص دستور یک برای تنها فایروال راهنمای بدنبال اگر:
iptales -j DROP -h
Iptables(20) -yashar esmaildokhtدخت اسمعیل -یاشار
- 21. دستورتوضیح
# iptables -t filter -Lدهد می نمایش را شدن فیلتر جدول زنجیرهای تمام
# iptables -t nat -Lجدول های زنجیر تمامnatدهد می نمایش را
# iptables -t filter -Fکندمی پاک شدن فیلتر جدول از را شروط و قوانین تمام
# iptables -t nat -Fجدول از را شروط و قوانین تمامnatکندمی پاک
# iptables -t filter -Xکندمی پاک را باشد شده درست کاربر توسط که را زنجیری هر
# iptables -t filter -A INPUT -p tcp --dport telnet -j
ACCEPT
اتصالت یاجازهtelnetدهدمی ورودی به را
# iptables -t filter -A OUTPUT -p tcp --dport http -j
DROP
اتصالتHTTPکنندمی قطع را خروجی به
# iptables -t filter -A FORWARD -p tcp --dport pop3 -j
ACCEPT
اتصالت یاجازهPOP3زنجیر به راforwardدهدمی
# iptables -t filter -A INPUT -j LOG --log-prefixورودی ی رشته بروی اتفاقات ثبت
# iptables -t nat -A POSTROUTING -o eth0 -j
MASQUERADE
پیکربندیPATاز خروجی های بسته برویeth0
# iptables -t nat -A PREROUTING -d 192.168.0.1 -p tcp
-m tcp --dport 22 -j DNAT --to-destination 10.0.0.2:22
میزبان به میزبان یک به شده دهی آدرس های بسته مجدد هدایت
دیگر
ترتیب به زیر های دستورLOGفایل در را هاییvar/log/message/خروجی های دسترسی برای)
Outgoing Access(ورودی های دسترسی و)Incoming Access(پورت به21پروتکل وtcp)پروتکلftp(
مبدای هر از)توسط شده داده نشانs- 0/0(کنند می ثبت.log–prefixاینجا در که خاص رشته یک یعنی
:>FTPکند می اضافه پیام ابتدای به را است.
”:>iptables -A OUTPUT -p tcp -s 0/0 –dport 21 -j LOG –log-prefix “FTP
”:>iptables -A INPUT -p tcp -s 0/0 –dport 21 -j LOG –log-prefix “FTP
•کار همان زیر های دستورLOGپروتکل برای را بالicmpدستور یاpingفایل در
var/log/message/کنند می ثبت.
”:>iptables -A OUTPUT -p icmp -j LOG --log-prefix “PING
”:>iptables -A INPUT -p icmp -j LOG --log-prefix “PING
Iptables(21) -yashar esmaildokhtدخت اسمعیل -یاشار
- 22. عنوان به لینوکسی ماشین تنظیمNAT
NATمخففNetwork Address Translateشبکه درون خصوصی های آدرس دسترسی برایLANاست اینترنت به.هر معمول طور به
شبکه کارتLANآدرس یا عمومی آدرس یک دارای بایدValidباشد داشته دسترسی اینترنت به بتواند تا باشد.از توان می اماNATو
کرد استفاده اینترنت به آنها دسترسی برای ها ماشین همه برای عمومی آدرس یک.ماشین یک حالت این در)غیره یا ویندوز ،لینوکس(
ننواننع ننهبRouterننهفوظیNATننردیگ ننیم نندههع ننهب را.ننشقن ننهک ننینیشماNATآدرس دو دارای دارد را)ننبکهش ننارتک دو(ننایه آدرس نناب
اسنت عمنومی و خصوصنی.آدرس ننقیطر از را ایننترنت بنه ننوطبمر هنای درخواسنت محلنی ننبکهش درون هنای ننینشماGatewayبنه ننودخ
ماشینNATماشین و ارسالNATمبدا آدرس جایگزین را خود آدرس)محلنی شنبکه از نندهنکن درخواست ماشین آدرس(از پنس و ننردهک
دهد می مبدا ماشین تحویل را پاسخ و کرده خود آدرس جایگزین را محلی مبدا ماشین آدرس ،اینترنت از پاسخ دریافت.
سنازی پینادهNATتوسنطiptablesشنود ننیم ننامجان.جندول از نننیهمچنnatننهب ننوطبمرiptablesینا زنجینره ننراهمه بنهchainsآن هنای
کنیم می استفاده. .IP Masqueradeآنرا کهIPMASQدرون های ماشین به نامند می نیزLANآدرس اختصاص بدون تا هد می اجازه
ماشنین به را خود های درخواست آنها تک تک به عمومیNATنندنکن ننالسار.IPMASQ serverینک نقنشGatewayننهک نندنک منی بنازی را
ننتسا ننیلمح ننبکهش ننهب ننلصمت ننریگدی و ننترنتنای ننهب ننلصمت ننیکی ،ننبکهش ننارتک دو دارای.ننرایب ننیلمح ننبکهش درون ننایه ننتمسسی ننامیمت
پشت در اینترنت به دسترسیIPMASQ serverدارند قرار.
تفاوتSNATوIPMASQتنظیم در که است این درIPMASQاینترنت به که دیوایسی یا مودم آدرس از ما)عمومی شبکه(است متصل
کنیم می استفاده.در واقع درSNATباشنیم داشنته را عمنومی آدرس ینک بایند)کنینم خرینداری(ماشنین شنبکه کنارت روی بنر آننرا وNAT
کنیم تنظیم.در اماIPMASQننای اینترنت به متصل دیوایس آدرس ازoutgoing deviceکنینم ننیم ننتفادهسا منودم ماننند) .کنه ننیسآدر از
ISPکنیم می استفاده است داده اختصاص(.
تنظیم چگونگی پست این درSNATوIPMASQدستور نوسطiptablesشد خواهد گفته.سازی پیاده برایNATنندولج از بایدnatاز
iptablesکنیم استفاده)با شده مشخصt nat(-زنجینره از همچنین وPOSTROUTINGجندول ازnatکنینم منی ننتفادهسا.کنیند تنوجه
زنجیرهPOSTROUTINGبرایSNATوIPMASQشود می استفاده.واقع درRoleبه شده داده اختصاص هایPOSTROUTINGاز پس
شد خواهند انجام ،شبکه از بسته ترک از پیش و یابی مسیر های تصمیم.
تنظیم از پیشNATتوسطiptablesویژگی که لزمip_forwardکنیم فعال را.
echo “1” > /proc/sys/net/ipv4/ip_forward
تنظیم برایIPMASQتوسطiptablesکنید استفاده زیر دستور از
iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o eth0 -j MASQUERADE
ننالب ننتورسد درnatننتسا نندولج ننامن.ننوییچسt-رود ننیم ننارک ننهب نندولج نننیتعی ننرایب.A POSTROUTING-ننکیRoleننرهیزنج ننرایب را
POSTROUTINGکنید می اضافه) .Append.(سوییچs-مبدا های آدرس کننده مشخص)محلنی شنبکه خصوصنی هنای آدرس همنان(و
سوییچo-آن روی بنر عمنومی آدرس کنه خروجنی دینوایس کنردن مشنخص برایتنظینماسنت شنده.بندون زینر دسنتور از تواینند منی ینا
کنید استفاده مبدا های آدرس تعیین
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
تنظیم برای همچنینSNATکنید استفاده زیر دستور از.درSNATدستور در دستی طور به عمومی های آدرس بایدiptablesمشخص
شوند.
iptables -t nat-A POSTROUTING-s 192.168.0.0/24-o eth0-j SNAT–to 4.4.3.27-4.4.3.45
تنظیم پس است شده استفاده عمومی آدرس دو بینید می که همانطورSNATننورتص بهDynamic SNATاسنت.ننکی از توانسنتید ننیم
صورت آن در که کنید استفاده عمومی آدرسStatic SNATشد می تنظیم.
Iptables(22) -yashar esmaildokhtدخت اسمعیل -یاشار
- 23. ICMP)مخففInternet Control Message Protocol(های پروتکل ترین اصلی از یکیTCP/IPهاست پیام دریافت و ارسال برای.
ICMPهایی پیام ارسال جهت تنها)های بستهIP(ماشین یک از)سیستمPCیاRouterیاMobile Deviceشبکه درون که آنچه هر و
LANاز و باشد اینترنت یاTCP/IPکند استفاده(کنیم می استفاده دیگر ماشین به.دستورpingدستور ترین اصلی)برنامه(از که ای
کند می استفاده پروتکل این.پیام دوecho requestوecho replyدارند وجود پروتکل این در.pingهای پیام توسطecho request
با دیگر سمت و فرستاده دیگر ماشین به پیامیecho replyدهد می پاسخ.دهد می نشان بیشتری اطلعات زیر شکل.
ICMPشود می استفاده شبکه درون مشکلت رفع منظور به و است پورت شماره فاقد که است پروتکلی تنها.زیر قانون سه
درiptablesچیز همه که هستند این معرفDROPشوند.شود می وارد که بسته هر یعنی)INPUT Chain(می خارج که ای بسته هر و
شود)OUTPUT Chain(خواهد می که ای بسته هر وForwardشود)FORWARD Chain(بایدDROPتعیین ما که آنهایی جز به شوند
کنیم می.
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
های بسته تنها خواهیم می ولی شود می فیلتر چیز همه قانون سه این با که است این اصلی مشکلICMPکنیم فیلتر را.توجه باید
کردن دفیلتر که داشتICMPهای پیام که است صورت این بهecho requestو خروجیecho replyهای بسته همچنین و ورودی
echo requestو ورودیecho replyکنیم فیلتر باید را خروجی.
های پیام زیر دستورecho requestهای پیام و ورودیecho replyکند می فیلتر را خروجی.
iptables -A INPUT -p icmp –icmp-type 8 -s 0/0 -d 192.168.1.4 -m state –state NEW,ESTABLISHED -j
DROP
iptables -A OUTPUT -p icmp –icmp-type 0 –s 192.168.1.3 -d 0/0 -m state –state ESTABLISHED -j
DROP
سوئیچp-در پروتکل تعیین برایiptablesمقادیر از یکی که شود می استفادهTCP,UDPوICMPبگیرد تواند می را.در همچنین
سوئیچ جلویicmp-type–عدد دو از0و8معادل از عدد بجای توانید می و اند شده داده نشان بال جدول در که شده استفاده
کنید استفاده آنها حروفی.0/0شبکه درون آدرسی هر از یعنی.های موردپیام در زیر دستورecho requestوecho replyعکس
باشد می بال دستور.
iptables -A OUTPUT -p icmp –icmp-type 8 -s 192.168.1.3 -d 0/0 -m state –state NEW,ESTABLISHED -j
DROP
iptables -A INPUT -p icmp –icmp-type 0 -s 0/0 -d 192.168.1.4 -m state –state ESTABLISHED -j DROP
4شود می اجرا است شده گرفته نظر در فایروال بعنوان که ماشینی در بال خط)هستند مشخص مقصد و مبدا های ماشین.(فرض
ماشین خواهید می ای شبکه در کنید192.168.1.4ماشین از فقط و فقط192.168.1.3دستورpingبه ماشینی روی وقتی یعنی شود
آدرس192.168.1.5دستورping 192.168.1.4جلوی کنیم اجرا راpingماشین از ولی شود گرفته کردن192.168.1.3دستور بتوانیم
ping 192.168.1.4کنیم راددریافت پاسخ و انجام را.باید اینکار برای4آدرس با ماشین در را زیر خط192.168.1.4بنویسیم.
iptables -A INPUT -p icmp –icmp-type 8 -s 192.168.1.3 -m state –state NEW,ESTABLISHED -j ACCESS
iptables -A OUTPUT -p icmp –icmp-type 0 –s 192.168.1.3 -m state –state ESTABLISHED -j ACCESS
iptables -A OUTPUT -p icmp –icmp-type 8 -s 192.168.1.3 -m state –state NEW,ESTABLISHED
-j ACCESS
iptables -A INPUT -p icmp –icmp-type 0 -s 192.168.1.3 -m state –state ESTABLISHED -j ACCESS
Iptables(23) -yashar esmaildokhtدخت اسمعیل -یاشار
- 24. که فرضی پیش فایلiptablesکند می استفاده قوانین سازی ذخیره برای آن ازetc/sysconfig/iptablesفایروال است. /
دارند نظارت سیستم دو مابین ارسالی های بسته بر که هستند قوانین ای مجموعه ها.
دستور از استفاده مثال یکiptablesاست زیر بصورت.
iptables -A chain -j target
درiptablesاست زیر شده تعریف قبل از جدول سه:
•filterسوئیچ از استفاده با است فرض پیش جدول ارسالی های بسته بر کردن محدود و کنترل برای. . :tاز -
دستورiptablesسوئیچ اگر کنیم می تعیین را جدول.tفرض پیش بصورت ،نشود استفاده جدول تعیین برای -
جدولfilterشود می تعیین.
•natسازی پیاده برای :nat
•mangleیا گذاری نشانه برای :manglingشبکه در بسته یک کردن.
iptablesقالب در که قوانین از ای مجموعهchainنندنچ ننای ننکی نناملش ننریزنج هر شوند می سازی پیاده ها.Ruleانون ق ای
یا جدول قالب در ها زنجیره است.Tableننهس ننتسا نندهش ننکیلشت ننرهیزنج نندادیعت از جدول هر شوند می بندی دسته ها. .
را ننرضف ننشیپ ننایه زنجیره و جدول توان نمی که کنید توجه هستند زیر های زنجیر دارای شده گفته فرض پیش جدول.
ساختار کرد پاک.iptablesاست زیر بصورت.
iptables -> Tables -> Chains -> Rules
جدول های زنجیرهfilter
•INPUTشود می استفاده مقصد یک از سیستم به ورودی های بسته برای. :
•OUTPUTشود می استفاده مقصد یک به سیستم از خروجی های بسته برای. :
•FORWARDواسطه به ها بسته ارسال برای :NATشود می استفاده.
جدول های زنجیرهnat
•PREROUTINGاز پیش :Routingماشین یک از بسته یک که زمانی دهد می تغییر را آنها ها بسته مسیریابی. ( )
در معمولن که داد تغییر را مقصد آدرس توان می رسد می محلیDNATشوند می استفاده.
•OUTPUTزنجیره در قانون که ماشین محلی ماشین در شده تولید های بسته) :OUTPUTشده تعریف آن در(
دهد می تغییر ارسال از پیش.
•POSTROUTINGاز پس :Routingکند می ترک را سیستم بسته که زمانی مانند دهد می تغییر آنرا ،بسته. .
که سیستمی )منظوNATدارد قرار آن روی.(
جدول های زنجیرهmangle
•PREROUTING
•OUTPUT
•FORWARD
•INPUT
Iptables(24) -yashar esmaildokhtدخت اسمعیل -یاشار
- 25. •POSTROUTIN
سوئیجAبرای -Appendاز ننسپ ننودش ننیم استفاده جدول انتهای به قانون کردن.Appendتلیس ایانته هب انونق ردنک
ننوئیچس شنود منی نندهنخوا ننایینپ ننهب بنال از لیسنت اینن ننتهسب ننکی ورود هنگنام ننهب و شنده ننافهضا جندول در قنوانین.jرایب -
تعیینtargetبرایRuleسه شود می استفاده.targetدر زیرiptablesدارد وجود:
•ACCEPTکند می قبول آنرا فایروال ،کند پیدا تطلبیق قانونی با بسته اگر کند می دریافت را بسته. . :
•DROPاندازد می بیرون را بسته آن مبدا به پیغامی هیچ بدون فایروال ،کند پیدا تطبیق قانون با ای بسته اگر. :
•REJECTمانند :DROPکند می ارسال بسته فرستنده به خطا پیغام یک ولی اندازد می بیرون را بسته.
پراستفاده های سوئیچ
Aبرای : -Appendسوئیچ با شده تعیین جدول در زنجیره انتهای به قانون یک کردنt-
Dاضافه زنجیره به که قانونی خط همان عینن باید دارد وجود آن در قانون که ای زنجیره از قانون یک حذف برای. : -
بنویسید شدن پاک برای را کردید.
Iبرای : -Insertشود می استفاده زنجیره به قانون کردن.
Rبرای : -Replaceشود می استفاده زنجیره به قانون کردن.
Lشود می استفاده زنجیره تمامی یا خاص زنجیره یک های قانون کردن لیست برای. : -
iptables -L CHAIN_NAME
iptables -L CHAIN_NAME -t TABLE_NAME
زنجیره در شده تعریف قوانین تمامی زیر مثالINPUTجدول ازfilterدهد می نشان را.
iptables -L INPUT -t filter
خروجی:
خط در مثال بطورicmpاز منظور است شده داده مقصدی هر به منبعی هر از ها بسته ارسال اجازه.anywhereشاید اینکه مقصد در
تعریف قوانین فهرست زیر های دستور از استفاده با باشد داشته وجود شده تنظیم فایروالش که ماشینی روی شبکه کارت چندین.
جداول های زنجیره تمامی در شدهfilter,natوmangleشود می داده نشان:
iptables -t filter -L
iptables -t nat -L
Iptables(25) -yashar esmaildokhtدخت اسمعیل -یاشار
- 26. iptables -t mangle -L
Nیا زنجیره یک تعیین برای : -Chainشود می استفاده جدید.
دستور های سوئیچ از بیشتر اطلع برایiptablesکنید اجرا فرمان خط در را زیر دستور.
iptables -h
سوئیچ با همچنینVنسخه -iptablesشود می داده نشان.
iptables -V
iptables v1.4.7
ییشیپ ییایه ییرهیزنج ییامن و ییکچکو ییروفاح ییاب ییرضف ییشیپ ییدولج ییهس ییامن ییهک ییدیکن ییتقد
یییتسا یییزرگب یییروفاح یییاب یییرضف.iptablesیییتسا یییاسساح یییاه یییامن ییییگبزر و یییوچکیک یییهب.
جز به ها سوئیچ تمامی همچنینjو -tهستند بزرگ احروف با. -
Iptables(26) -yashar esmaildokhtدخت اسمعیل -یاشار
- 27. برای فایروال کاربرد ترین اصلیPacket Filteringدر که استiptablesجدول توسطfilterیعنی آن زنجیره سه و
INPUT,OUTPUTوFORWARDاز استفاده کلی شکل شود می انجام.iptablesتوجه است زیر های صورت از یکی به.
در اصلی جدول سه نام که کنیدiptablesشوند می نوشته بزر گ حروف با آن های زنجیره نام و کوچک حروف با.
iptables [-t table] {-A|-D} chain rule-specification
iptables [-t table] -I chain [rulenum] rule-specification
iptables [-t table] -R chain rulenum rule-specification
iptables [-t table] -D chain rulenum
]iptables [-t table] -S [chain] [rulenum
]iptables [-t table] {-F|-L|-Z} [chain] [rulenum] [options
iptables [-t table] -N chain
]iptables [-t table] -X [chain
iptables [-t table] -P chain target
iptables [-t table] -E old-chain-name new-chain-name
دارای زنجیره هرPolicyرا اه تهبس امیتم رضف شپی ورتبص ای هک است فرضی پیش سیاست یاACCEPTو دکن یم
ینا قنوانین طبنقRuleرا هبقی اییهDROPدرون ننرهیزنج ننوانینق از یکنی بنا و ننودش وارد ای ننتهسب اگنر ننینیع نننیا نندنک منی.
،نندشبا ننتهشندا ننبیقطت نندولجACCEPT،د باش ته داش ق تطبب ره زنجی وانین ق از ی یک ا ب ر اگ و ود ش ی مDROPننودش ننیم.
ننرضف ننشیپ ننورتصب نناه ننتهسب ننهمه ننهکاین ننتسسیا ننالتح نننیدومDROPا ی وانین ق ق طب و وند ش ی مRuleه بقی ایی ه
ACCEPT،نندشبا ننتهشندا ننبیقطت نندولج درون ننرهیزنج ننوانینق از ننیکی نناب و ننودش وارد ای ننتهسب ننرگا ننینیع نننیا ننوندش ننیم.
DROP،دباش تهداش بیقتط رهزنجی وانینق از ییک اب راگ و ودش یمACCEPTنناهدهشم ننرایب ننودش ننیم.Policyره ایه
کنید استفاده زیر فرمت از جدول زنجیره.
iptables -L -t TABLE_NAME
جدول زنجیره هر فرض پیش های ساسیت توانید می زیر دستور خروجی در مثال بطورfilterببنید را.
iptables -L -t filter
Iptables(27) -yashar esmaildokhtدخت اسمعیل -یاشار