| Pregatiri | ||
|---|---|---|
| Prec | Urm | |
In principal, este nevoie de 2 lucruri: pachetul iptables, pe care il puteti obtine de la http://netfilter.samba.org/, sau il puteti folosi pe cel gata compilat cu care vine distributia dumneavoastra. Cel de-al II-lea lucru este suportul din kernel, oferit de toate kernel-urile 2.4 . Configurarea kernel-ului.
Pentru a putea folosi comanda iptables, este necesar sa compilati kernel-ul cu urmatoarele optiuni:
CONFIG_PACKET - Aceasta optiune le permite aplicatiilor, si programelor sa lucreze direct cu anumite device-uri de retea. Un exemplu ar fi: tcpdump sau snort.
CONFIG_NETFILTER - Aceasta optiune este necesara daca aveti de gand sa folositi computer-ul ca un firewall sau gateway spre internet. Cu alte cuvinte, aceasta optiune este necesara pentru a functiona ceva din tutorial-ul acesta.
CONFIG_IP_NF_CONNTRACK - Acest modul este folosit pentru a face urmarirea conexiunii. Urmarirea conexiunii este folosita, printre altele, de NAT si Mascaradare. De exemplu, daca vrei sa folositi computer-ul ca firewall pentru o retea, categoric aveti nevoie de acest modul.
CONFIG_IP_NF_FTP - Acest modul este necesar pentru urmarire conexiunii pe conexiuni FTP. Deoarece, pe conexiunile FTP este destul de greu sa faci urmarire de conexiune, in mod normal "conntrack" are nevoie de un ajutator, iar acasta optiune il compileaza. Deci, daca nu adaugati aceasta optiune, nu veti putea folosi FTP-ul printr-un gateway sau firewall.
CONFIG_IP_NF_IPTABLES - Aceasta optiune este necesara pentru a putea face orice tip de filtrare, mascaradare sau NAT-are. Fara aceasta, nu veti putea face nimic cu iptables.
CONFIG_IP_NF_MATCH_LIMIT - Acest modul nu este exact necesar, dar este bun in cazul in care vrei sa limitezi numarul de pachete pe minut. (ex: "-m limit --limit 3/minute" limiteaza nr de pachete pe minut la 3).
CONFIG_IP_NF_MATCH_MAC - Acest modul ne permite potrivirea pachetelor dupa adresa MAC. Cu ajutorul ei, se poate bloca access-ul unui computer dupa adresa MAC. Aceasta este o optiune foarte buna, doarece adresele MAC nu se schimba.
CONFIG_IP_NF_MATCH_MARK - Acest modul ne permite marcarea pachetelor.
CONFIG_IP_NF_MATCH_MULTIPORT - Acest modul ne permite potrivrea pachetelor cu o raza de porturi pentru sursa si destinatie. In mod normal, asa ceva nu este posibil, dar cu acest modul, se poate.
CONFIG_IP_NF_MATCH_TOS - Cu aceasta potrivire putem potrivi pachetele dupa campul lor TOS. TOS vine de la TypeOfService.
CONFIG_IP_NF_MATCH_TCPMSS - Aceasta potrivire ne permite sa potrivim pachetele TCP SYN pe baza campului lor MSS
CONFIG_IP_NF_MATCH_STATE - Aceasta este una dintre cele mai noi lucruri in comparatie cu IPchains. Cu acest modul, putem face potrivire de stare pe pachete.
CONFIG_IP_NF_MATCH_UNCLEAN - Acest modul ne permite sa potrivim pachetele de tip IP/TCP/UDP si ICMP care arata ciudat, sau sunt invalide. De exemplu, putem sa blocam aceste pachete.
CONFIG_IP_NF_MATCH_OWNER - Aceasta optiune ne permite sa facem potrivire dupa proprietar (owner). De exemplu, putem permite numai utilizatorului root sa aibe access la Internet.
CONFIG_IP_NF_FILTER - Acest modul va aduga bazele tabelului FILTER. Aici gasititi 3 lanturi: INPUT, OUTPUT si FORWARD. Acest modul e necesar daca doriti sa filtrati pachetele care vin sau ies din computer.
CONFIG_IP_NF_TARGET_REJECT - Aceasta tinta ne permite sa specificam, ca, un mesaj ICMP trebuie trimis sursei.
CONFIG_IP_NF_TARGET_MIRROR - Acesta permite pachetelor sa fie retrimise sender-ului. Astfel, daca setati ca tinta MIRROR pe un port http, cel care incearca sa se conecteze la http-ul vostru isi vede propria pagina, deoarece pachetele ii sunt retrimise ca si cum ar fi incercat sa se conecteze direct la el.
CONFIG_IP_NF_NAT - Acest modul permite translatarea adresei de retea ( sau NAT ). Cu acest modul putem sa facem inaintare de porturi ( port forwarding ), sau mascaradare.
CONFIG_IP_NF_TARGET_MASQUERADE - Acest modul adauga tina MASQUERADE.
CONFIG_IP_NF_TARGET_REDIRECT - In loc sa lasam un pachet sa treaca prin computer-ul nostru, il remap-am, astfel incat sa vina in calculatorul nostru.
CONFIG_IP_NF_TARGET_LOG - Acest adauga tinda LOC la iptables. Putem folosi acest modul pentru a loga anumite pachete prin syslog, si a le observa.
CONFIG_IP_NF_TARGET_TCPMSS -
CONFIG_IP_NF_COMPAT_IPCHAINS - Adauga un mod de compatibilitate cu vechiul IPchains.
CONFIG_IP_NF_COMPAT_IPFWADM - Adauga un mod de compatibilitate cu vechiu ipfwadm.
Acestea ar fi tot ceea de ce aveti nevoie, dar eu recomand compilarea tuturor modulelor din menu-ul Netfilter Configuration.
| Prec | Continut | Urm |
| IPtables | Bazele |