Ip tables основы построения правил маршрутизации
Настройка
IpTables
Комментарий к обозначениям применяемым в правилах IpTables:
-А — добавление правила в конец цепочки применяется в правилах INPUT(входящие), OUTPUT (исходящие), FORWARD(перенаправление пакетов)
I —добавление правила в начало цепочки применяется в правилах INPUT(входящие), OUTPUT (исходящие), FORWARD(перенаправление)
i- интерфейс к которому применяется правило eth0 , eth1
-p — определяет протокол семейства TCP/IP (tcp, udp, icmp или all) к которому применяется правило (если параметр в правиле не указан то правило применяется ко всем протоколам) , разрешается использование числовых значений , указанных в файле /etc/protocols (Fedora)
-y в пакете содержащем запрос на установление TCP-соединения флаг SYN должен быть установлен а флаг ACK сброшен (если опция не указана то проверка не проводится)
!-y в пакете который передается в ответ на запрос на установление TCP-соединения , а так-же во всех последующих пакетах флаг ACK должен быть установлен , если опция не указана то состояние флага не проверяется.
— s адрес [порт] — определяет исходный адрес пакета — если опция не указана обрабатываются пакеты переданные с любого узла, если указан диапазон портов (или один порт) то правило применяется только к пакетам содержащим заданный номер порта, если диапазон портов не указан то правило применяется ко всем пакетам , независимо от номера порта источника .
— d адрес [порт] — определяет адрес назначения пакета — если опция не указана обрабатываются пакеты переданные любому узлу, если указан диапазон портов (или один порт) то правило применяется только к пакетам содержащим заданный номер порта, если диапазон портов не указан то правило применяется ко всем пакетам , независимо от номера порта источника
-j действие — определяет действие , которое должно быть выполнено над пакетом ACCEPT(принять пакет) REJECT(отклонить пакет и послать сообщение об ошибке) DROP(отклонить пакет и не посылать сообщение отправителю)
-l — если пакет удовлетворяет правилу, то в /var/log/message записывается сообщение ядра
Для настройки таблиц IpTables необходимо внести изменения в файл/etc/sysconfig/iptables ,
чтобы настроить таблицы маршрутизации и перенаправления пакетов внутри сервера необходимо включить forwarding (перенаправление пакетов) , для этого вносим изменения в файл \etc\sysctl.conf :
net.ipv4.ip_forward = 1 # заменяем значение «0» котрое в этой строке установлено по умолчанию на «1»
После внесения изменений в конфигурационный файл , для применения перенапрвления пакетов в терминале выполняем:
# sysctl -p
