Ero sivun ”Iptables” versioiden välillä

Linux.fista
Siirry navigaatioon Siirry hakuun
p (Ylläpitotyökaluihin)
(alkua)
Rivi 1: Rivi 1:
Iptables-työkalulla säädetään Linuxin kernelissä olevaa [[Netfilter]]-pakettisuodatinta. Sen avulla voidaan toteuttaa esimerkiksi [[Palomuuri|palomuureja.]]
Iptables-työkalulla säädetään Linuxin [[Kernel|ytimessä]] olevaa [[Netfilter]]-pakettisuodatinta. Sen avulla voidaan toteuttaa esimerkiksi [[Palomuuri|palomuureja.]] Iptables on ollut mukana ytimessä versiosta 2.4-alkaen.
 
== Pakettien rajoittaminen ==
Palomuuri perustuu siihen, että tietyt paketit (tieto liikkuu Internetissä paketteina) pääsevät palomuurin läpi ja tietyt estetään. Näitä esto- ja päästösääntöjä säädetään iptablesilla.
 
Iptablesin kanssa paketit jaetaan kolmeen luokkaan: INPUT, OUTPUT ja FORWARD. OUTPUT-tyyppiset paketit ovat paketteja jotka lähtevät koneeltasi Internettiin - esimerkiksi ladatessasi tämän sivun lähetit wikin palvelimelle paketin, jossa pyysit tätä sivua. Kun palvelin sitten vastaa pyyntöösi lähettäen tätä sivua paketteina, ne tulevat INPUT-tyyppisinä. FORWARD-tyyppiset paketit ovat paketteja, jotka vastaanotetaan toisesta verkosta ja lähetetään toiseen (yleensä Internetistä lähiverkkoon tai päinvastoin).
 
Vielä yksi perusasia ennen kuin lähdemme säätelemään palomuuriamme: tehtyäsi asetukset ne eivät tallennu mihinkään, vaan seuraavan uudelleenkäynnistyken jälkeen asetukset palautuvat alkuperäisiksi. Tämä voidaan estää tallentamalla asetukset komennolla <tt>/sbin/iptables-save.</tt> Tallennetut asetukset palautetaan komennolla <tt>/sbin/iptables-restore</tt>.
 
=== Pakettien estäminen ===
Tietystä osoitteesta tulevia paketteja voidaan estää iptables-komennoilla joiden syntaksi on seuraavanlainen:
iptables -s osoite -A INPUT -j DROP
Parametri -s tarkoittaa osoitetta, josta paketit tulevat (engl. <i>source</i>). Osoite voi olla joko IP-osoite (123.345.456.578) tai DNS-nimi (esim. wiki.linux.fi).
 
-A tarkoittaa paketin tyyppiä, tässä tapauksessa sisään tulevaa pakettia. -j kertoo, mitä paketille tehdään. Tässä tapauksessa se pudotetaan (engl. <i>drop</i>), eli sitä ei päästetä palomuurin läpi.
 
Vastaavasti tiettyyn osoitteeseen lähetettävät paketit voitaisiin estää komennolla
iptables -d osoite -A OUTPUT -j DROP
Huomaa, että pakettilähteen (-s) tilalla käytetään nyt pakettien kohdetta -d (engl. <i>destination</i>). Lisäksi pakettien tyyppi -A on nyt OUTPUT.


[[Luokka:Järjestelmä]]
[[Luokka:Järjestelmä]]

Versio 12. toukokuuta 2006 kello 10.53

Iptables-työkalulla säädetään Linuxin ytimessä olevaa Netfilter-pakettisuodatinta. Sen avulla voidaan toteuttaa esimerkiksi palomuureja. Iptables on ollut mukana ytimessä versiosta 2.4-alkaen.

Pakettien rajoittaminen

Palomuuri perustuu siihen, että tietyt paketit (tieto liikkuu Internetissä paketteina) pääsevät palomuurin läpi ja tietyt estetään. Näitä esto- ja päästösääntöjä säädetään iptablesilla.

Iptablesin kanssa paketit jaetaan kolmeen luokkaan: INPUT, OUTPUT ja FORWARD. OUTPUT-tyyppiset paketit ovat paketteja jotka lähtevät koneeltasi Internettiin - esimerkiksi ladatessasi tämän sivun lähetit wikin palvelimelle paketin, jossa pyysit tätä sivua. Kun palvelin sitten vastaa pyyntöösi lähettäen tätä sivua paketteina, ne tulevat INPUT-tyyppisinä. FORWARD-tyyppiset paketit ovat paketteja, jotka vastaanotetaan toisesta verkosta ja lähetetään toiseen (yleensä Internetistä lähiverkkoon tai päinvastoin).

Vielä yksi perusasia ennen kuin lähdemme säätelemään palomuuriamme: tehtyäsi asetukset ne eivät tallennu mihinkään, vaan seuraavan uudelleenkäynnistyken jälkeen asetukset palautuvat alkuperäisiksi. Tämä voidaan estää tallentamalla asetukset komennolla /sbin/iptables-save. Tallennetut asetukset palautetaan komennolla /sbin/iptables-restore.

Pakettien estäminen

Tietystä osoitteesta tulevia paketteja voidaan estää iptables-komennoilla joiden syntaksi on seuraavanlainen:

iptables -s osoite -A INPUT -j DROP

Parametri -s tarkoittaa osoitetta, josta paketit tulevat (engl. source). Osoite voi olla joko IP-osoite (123.345.456.578) tai DNS-nimi (esim. wiki.linux.fi).

-A tarkoittaa paketin tyyppiä, tässä tapauksessa sisään tulevaa pakettia. -j kertoo, mitä paketille tehdään. Tässä tapauksessa se pudotetaan (engl. drop), eli sitä ei päästetä palomuurin läpi.

Vastaavasti tiettyyn osoitteeseen lähetettävät paketit voitaisiin estää komennolla

iptables -d osoite -A OUTPUT -j DROP

Huomaa, että pakettilähteen (-s) tilalla käytetään nyt pakettien kohdetta -d (engl. destination). Lisäksi pakettien tyyppi -A on nyt OUTPUT.