Főoldal | Könyvlista | Gyorskereső

Átmenetileg a rendelés és szállítás szünetel
Linux iptables zsebkönyv - T?zfalak, címfordítás, megfigyelés

Linux iptables zsebkönyv

T?zfalak, címfordítás, megfigyelés

Gregor N. Purdy:
Linux iptables zsebkönyv
T?zfalak, címfordítás, megfigyelés

Megjelenés: 2006
Kiskapu Kiadó
128 oldal, bolti ár: 1800,- Ft

Internetes ár (-5%): 1710,- Ft

db

A könyv ismertetése

Vissza a lap tetejére | A könyv tartalomjegyzéke

Gregor N. Purdy:
Linux iptables zsebkönyv

Napjainkban a hálózati biztonság egyike a rendszergazdák számára legfontosabb területeknek. A Linux Netfilter rendszere – vagy ahogy a kezelésére szolgáló parancs után gyakran hívják az iptables – számos dologra képes ezzel kapcsolatban, csak tudnunk kell használni. Ez pedig néha nem is olyan könnyű feladat, hiszen a Linux egyik legösszetettebb alrendszeréről van szó. A problémát tetézi, hogy a rendszergazdának bizonyos esetekben meglehetősen gyorsan kell döntést hoznia, illetve a szükséges beavatkozást elvégeznie. Ha egy ideges főnök azonnal hozzá szeretne férni egy eddig tiltott hálózati szolgáltatáshoz, az még a jobbik eset. Az is előfordulhat ugyanis, hogy a gyors cselekvésre egy a teljes infrastruktúrát megbénító külső támadás miatt van szükség.

Persze néha nincs is szükség semmiféle katasztrófára ahhoz, hogy komoly fejtörések árán tudjunk csak egy-egy feladatot megoldani. Mit tegyünk például, ha az összes ICMP forgalmat szeretnénk megfigyelni? Hogyan egyszerűsíthetjük a TCP kapcsolatok kezelését állapotalapú szűréssel? Hogyan dolgozhatunk ki módszert arra, hogy megtudhassuk, milyen jellegű forgalomból mennyit bonyolít a kiszolgálónk?

Ez a zsebkönyv nagy segítségünkre lehet az efféle meleg helyzetekben. Egyrészt általános áttekintést ad a Netfilter rendszer felépítéséről és működéséről, másrészt szerepel benne az összes olyan szintaktikai elem és paraméter, amelyek beállításával a lehető legnagyobb biztonságot érhetjük el.

Bevezető

A Netfilter a Linux rendszermagjának hálózati csomagok feldolgozására szolgáló alrendszere. Beállítását az iptables paranccsal végezhetjük. A könyv az iptables felhasználói térben futó segédprogram 1.2.7a változatát tárgyalja, amely a 2.4-es Linux rendszermagok Netfilter keretrendszerét használja, de megemlíti a 2.6-os sorozat lehetőségeinek többségét is. Mivel a Netfilter és az iptables szorosan összefonódik, a könyvben használt „iptables” kifejezés utalhat rájuk külön-külön és egyszerre is.

Az iptables a hálózati csomagok feldolgozási szabályait szerepük alapján szervezett táblák formájában kezeli. A szerep csomagszűrés, hálózati címfordítás, vagy más csomagmódosítás lehet, amelyek mindegyikére feldolgozási szabályok lánca (sorozata) vonatkozik. A szabályok illesztésekből és célokból (célterületekből) állnak: az illesztés (match) határozza meg, hogy a szabály mely csomagokra vonatkozik, a cél (target) pedig azt, hogy mit kell csinálni az illeszkedő csomagokkal.

Az iptables az OSI Layer 3. szintjén, azaz a hálózati rétegben működik. A 2. szinthez, az adatkapcsolati réteghez más technikák használatosak, például az ebtables (ebtables: Ethernet Bridge Tables). Erről bővebb információt a http://ebtables.sourceforge.net/ oldalon találhatunk.

Példa

Lássunk egy egyszerű iptables parancsot:

iptables -t nat -A PREROUTING -i eth1 -p tcp ĺ --dport 80 -j DNAT --to-destination ĺ 192.168.1.3:8080

A parancs jelentését az 1. táblázat mutatja.

1. táblázat A példa paraméterei részekre bontva

Összetevő Leírás

-t nat Működjön a nat táblán...

-A PREROUTING ‑...hozzáadva a következõ szabályt annak PREROUTING láncához.

-i eth1 ‑Illeszkedjen az eth1 hálózati eszközön át bejövõ csomagokra...

-p tcp ‑...amelyek tcp (TCP/IP) protokollt használnak...

--dport 80 ....és céljuk a 80-as kapu.

-j DNAT Ugorjon a DNAT célterületre...

--to-destination ...és módosítsa a célcímet 192.168.1.3:8080 192.168.1.3-ra, a célkaput pedig 8080-ra.

A könyv tartalomjegyzéke

Vissza a lap tetejére | A könyv ismertetése

Gregor N. Purdy:
Linux iptables zsebkönyv

Bevezetés 1

Példa 2

Fogalmak 3

Alkalmazások 11

Az iptables beállítása 14

Kapcsolatkövetés 18

Forgalomszámlálás 20

Hálózati címfordítás (NAT) 21

Forrás-NAT és címálcázás 23

Cél-NAT 24

Láthatatlan helyettes 25

Terheléselosztás és -kiegyenlítés 26

Állapot nélküli és állapotmegőrző tűzfalak 26

Hasznos segédprogramok 27

iptables-parancsok 31

Segítségkérés 31

iptables-alparancsok 31

iptables-illesztések és -célok 33

Segédprogramok 112

iptables-restore (iptables-visszaállítás) 112

iptables-save (iptables-mentés) 112

Tárgymutató 115

Vissza a lap tetejére

mesekönyv

szoftver