インターネット上のシステムでは、状況を明確にすることが重要です。ネットワークは安全ではありません。したがって、ファイアウォールを作成しても100%のセキュリティが保証されるわけではありませんが、それは絶対に必要です。 Linuxは非常に優れたファイアウォールツール - netfilter /iptablesを提供しています。それは完全に無料で、強力で、柔軟であり、そして出入りするトラフィックをきめ細かく制御し、薄型のマシン上でうまく機能します。この記事では、ファイアウォールのエージングやnetfilter /iptablesを使ったインターネット接続の共有などのアプリケーションについて簡単に紹介します。
netfilter /iptabelsアプリケーションは、Linuxでパケットフィルタリングを実装するアプリケーションの第4世代と見なされています。 Netfilter /iptablesは2.4以降のカーネルに含まれており、ファイアウォール、NAT(ネットワークアドレス変換)、パケット分割を実装できます。 Netfilterはカーネル内で動作しますが、iptablesはユーザーがルールセットを定義できるようにするテーブル構造です。 Netfilter /iptablesは、ipchainsとipwadfm(IPファイアウォール管理)から発展したもので、より強力です。以下では、Netfilter /iptabelsをまとめてiptablesと呼びます。
iptablesを使用して、Unix、Linux、およびBSDパーソナルワークステーション用のファイアウォールを作成することも、1つのサブネット用のファイアウォールを作成して他のシステムプラットフォームを保護することもできます。 Iptalesはパケットヘッダーを読み取るだけなので、情報の流れには負担がかからず、検証も不要です。セキュリティを向上させるために、Squidなどのプロキシサーバと組み合わせることができます。
基本的な概念
通常のファイアウォール設定には2つのネットワークカードがあります。1つは流入用、もう1つは流出用です。 iptablesは、入ってくるパケットと出て行くパケットのヘッダを読み、それらをルールセットと比較して、あるネットワークカードから別のネットワークカードに受け入れ可能なパケットを転送します。それを処理する方法。
このルールは、送信元アドレス、宛先、または特定のプロトコルタイプのパケットに対する処理をファイアウォールに指示することによって、パケットのフィルタリングを制御します。これらの規則は、iptablesシステムによって提供され、カーネル空間固有のパケットフィルタテーブル内のチェーンに追加された特別なコマンドiptablesを使って作成されます。ルールを追加、削除、編集するための一般的な構文は次のとおりです。
iptables [-t table] command [match] [target] table
[-t table]オプションを使用すると、標準テーブル以外のテーブルを使用できます。テーブルは、特定の種類のパケットのみを処理するルールとチェーンを含むパケットフィルタテーブルです。利用可能な3つのテーブルオプションがあります:filter、nat、およびmangle。このオプションは必須ではなく、指定されていない場合は、filterがデフォルトのテーブルです。各テーブルで実装されている機能を表1に示します。テーブル表1の
種類は2
機能を実現します。 command(command)
command部分は、iptablesコマンドの最も重要な部分です。 iptablesに、ルールの挿入、チェーンの最後へのルールの追加、ルールの削除などの対処方法を指示します。表2は、最も一般的に使用されるコマンドと例です。
ログイン表2のコマンド機能とサンプル
3
。 Match
iptablesコマンドのオプションのmatch部分は、パケットがルールと一致する必要がある特性(送信元アドレス、宛先アドレス、プロトコルなど)を指定します。マッチングは、ユニバーサルマッチングとプロトコル固有のマッチングの2つのカテゴリに分類されます。どんなプロトコルでも使用できるパケットのための一般的な一致はここで説明されます。表3は、重要かつ一般的に使用されている一般的な一致と例の一覧です。表3一般
4
ログイン
マッチング及び図。 target
targetは、これらの規則に一致するパケットに対してこれらの操作を実行する規則によって指定された操作です。ユーザー定義の目標を許可することに加えて、利用可能な多くのターゲットオプションがあります。表4は、一般的に使用される目標と例のリストです。
表4に加えて、LOG、REDIRECT、MARK、MIRROR、MASQUERADEなど、高度なルールを設定するための他の多くの目標があります。で
表4ゴールとイラスト