15.4Неявные критерии - Руководство (man) 68

^ 15.4Неявные аспекты
В этом разделе мы рассмотрим неявные аспекты, поточнее, те аспекты, которые подгружаются неявно и становятся доступны, к примеру при указании критерия --protocol tcp. На сегодня существует три автоматом подгружаемых расширения, это 15.4Неявные критерии - Руководство (man) 68 TCP аспекты, UDP критерии и ICMP критерии (при построении собственных правил я столкнулся с необходимостью очевидного указания ключа -m tcp, т.е. о неявности тут гласить не приходится, потому будьте внимательнее при построении собственных 15.4Неявные критерии - Руководство (man) 68 правил, если что-то не идет -- пробуйте очевидно указывать нужное расширение. прим. перев.). Загрузка этих расширений может выполняться и очевидным образом при помощи ключа -m, -match, к примеру -m 15.4Неявные критерии - Руководство (man) 68 tcp.
^ 15.4.1TCP аспекты
Этот набор критериев находится в зависимости от типа протокола и работает только с TCP пакетами. Чтоб использовать их, вам будет нужно в правилах указывать тип протокола --protocol tcp. Принципиально: критерий --protocol tcp 15.4Неявные критерии - Руководство (man) 68 обязательно должен стоять перед специфическим аспектом. Эти расширения загружаются автоматом как для tcp протокола, так и для udp и icmp протоколов. (О неявной загрузке расширений я уже упоминал выше прим 15.4Неявные критерии - Руководство (man) 68. перев.).

^ Таблица 18.16 18.4.1 TCP аспекты

Аспект

--sport, --source-port

Пример

iptables -A INPUT -p tcp --sport 22

Описание

Начальный порт, с которого был выслан пакет. В качестве параметра может указываться номер порта либо заглавие сетевой службы. Соответствие имен сервисов 15.4Неявные критерии - Руководство (man) 68 и номеров портов вы можете отыскать в файле /etc/services. При указании номеров портов правила отрабатывают несколько резвее. но это наименее комфортно при разборе листингов скриптов. Если же вы собираетесь создавать значимые 15.4Неявные критерии - Руководство (man) 68 по объему наборы правил, скажем порядка нескольких сотен и поболее, то здесь лучше использовать номера портов. Номера портов могут задаваться в виде интервала из малого и наибольшего номеров, например --source-port 22:80. Если 15.4Неявные критерии - Руководство (man) 68 опускается малый порт, т.е. когда аспект записывается как --source-port :80, то в качестве начала спектра принимается число 0. Если опускается наибольший порт, т.е. когда аспект записывается как --source-port 22:, то 15.4Неявные критерии - Руководство (man) 68 в качестве конца спектра принимается число 65535. Допускается такая запись --source-port 80:22, в этом случае iptables поменяет числа 22 и 80 местами, т.е. подобного рода запись будет преобразована в --source-port 22:80. По-прежнему, символ ! используется 15.4Неявные критерии - Руководство (man) 68 для инверсии. Так критерий --source-port ! 22предполагает хоть какой порт, не считая 22. Инверсия может применяться и к спектру портов, например --source-port ! 22:80. За дополнительной информацией обращайтесь к описанию аспекта multiport.

Аспект

--dport, --destination-port

Пример

iptables -A 15.4Неявные критерии - Руководство (man) 68 INPUT -p tcp --dport 22

Описание

Порт либо спектр портов, на который адресован пакет. Аргументы задаются в том же формате, что и для --source-port.

Аспект

--tcp-flags

Пример

iptables -p tcp --tcp-flags 15.4Неявные критерии - Руководство (man) 68 SYN,FIN,ACK SYN

Описание

Определяет маску и флаги tcp-пакета. Пакет считается удовлетворяющим аспекту, если из перечисленных флагов в первом перечне в единичное состояние установлены флаги из второго перечня. Так для вышеуказанного примера под 15.4Неявные критерии - Руководство (man) 68 аспект подпадают пакеты у каких флаг SYN установлен, а флаги FIN и ACK сброшены. В качестве аргументов аспекта могут выступать флаги SYN, ACK, FIN, RST, URG, PSH, а так же зарезервированные 15.4Неявные критерии - Руководство (man) 68 идентификаторы ALL и NONE. ALL -- значит ВСЕ флаги и NONE - НИ ОДИН флаг. Так, критерий --tcp-flags ALL NONE означает -- "все флаги в пакете должны быть сброшены". Как и ранее, символ ! означает инверсию аспекта 15.4Неявные критерии - Руководство (man) 68 Принципиально: имена флагов в каждом перечне должны делиться запятыми, пробелы служат для разделения списков.

Аспект

--syn

Пример

iptables -p tcp --syn

Описание

Критерий --syn является на самом деле реликтом, перешедшим из ipchains. Аспекту соответствуют пакеты с установленным 15.4Неявные критерии - Руководство (man) 68 флагом SYN и сброшенными флагами ACK и FIN. Этот аспект аналогичен критерию --tcp-flags SYN,ACK,FIN SYN. Такие пакеты употребляются для открытия соединения TCP. Заблокировав такие пакеты, вы накрепко заблокируете все входящие 15.4Неявные критерии - Руководство (man) 68 запросы на соединение, но этот аспект не способен заблокировать исходящие запросы на соединение. Как и ранее, допускается инвертирование аспекта символом !. Так критерий ! --syn означает -- "все пакеты, не являющиеся запросом на соединение", т 15.4Неявные критерии - Руководство (man) 68.е. все пакеты с установленными флагами FIN или ACK.

Аспект

--tcp-option

Пример

iptables -p tcp --tcp-option 16

Описание

Удовлетворяющим условию данного аспекта будет будет считаться пакет, TCP параметр которого равен данному числу. TCP Option - это 15.4Неявные критерии - Руководство (man) 68 часть заголовка пакета. Она состоит из 3 разных полей. 1-ое 8-ми битовое поле содержит информацию об функциях, применяемых в данном соединении. 2-ое 8-ми битовое поле содержит длину поля опций. Если следовать эталонам 15.4Неявные критерии - Руководство (man) 68 до конца, то следовало бы воплотить обработку всех вероятных вариантов, но, заместо этого мы можем проверить 1-ое поле и в случае, если там указана неподдерживаемая нашим брандмауэром функция, то просто перескочить 15.4Неявные критерии - Руководство (man) 68 через третье поле (длина которого содержится во 2-м поле). Пакет, который не будет иметь полного TCP заголовка, будет сброшен автоматом при попытке исследования его TCPпараметра. Как и ранее, допускается внедрение флага 15.4Неявные критерии - Руководство (man) 68 инверсии условия !. Дополнительную информацию по TCP Options вы можете отыскать на Internet Engineering Task Force
^ 15.4.2UDP аспекты
В данном разделе будут рассматриваться аспекты, специфичные только для протокола UDP. Эти расширения подгружаются автоматом при указании типа протокола 15.4Неявные критерии - Руководство (man) 68 --protocol udp. Принципиально отметить, что пакеты UDP не нацелены на установленное соединение, и потому не имеют разных флагов которые дают возможность судить о назначении датаграмм. Получение UDP пакетов не просит 15.4Неявные критерии - Руководство (man) 68 какого или доказательства со стороны получателя. Если они потеряны, то они просто потеряны (не вызывая передачу ICMP сообщения об ошибке). Это подразумевает наличие существенно наименьшего числа дополнительных критериев, в отличие от 15.4Неявные критерии - Руководство (man) 68 TCP пакетов. Принципиально: Неплохой брандмауэр должен работать с пакетами хоть какого типа, UDP или ICMP, которые числятся не нацеленными на соединение, так же отлично как и с TCP пакетами. Об этом мы побеседуем позже, в 15.4Неявные критерии - Руководство (man) 68 последующих главах.

^ Таблица 18.17 UDP аспекты

Аспект

--sport, --source-port

Пример

iptables -A INPUT -p udp --sport 53

Описание

Начальный порт, с которого был выслан пакет. В качестве параметра может указываться номер порта либо заглавие сетевой службы. Соответствие 15.4Неявные критерии - Руководство (man) 68 имен сервисов и номеров портов вы можете отыскать в файле other/services.txt. При указании номеров портов правила отрабатывают несколько резвее. но это наименее комфортно при разборе листингов скриптов. Если 15.4Неявные критерии - Руководство (man) 68 же вы собираетесь создавать значимые по объему наборы правил, скажем порядка нескольких сотен и поболее, то здесь лучше использовать номера портов. Номера портов могут задаваться в виде интервала из малого и наибольшего номеров, например 15.4Неявные критерии - Руководство (man) 68 -source-port 22:80. Если опускается малый порт, т.е. когда аспект записывается как --source-port :80, то в качестве начала спектра принимается число 0. Если опускается наибольший порт, т.е. когда аспект записывается 15.4Неявные критерии - Руководство (man) 68 как --source-port 22: , то в качестве конца спектра принимается число 65535. Допускается такая запись --source-port 80:22 , в данном случае iptables поменяет числа 22 и 80 местами, т.е. подобного рода запись будет преобразована в --source-port 15.4Неявные критерии - Руководство (man) 68 22:80 . По-прежнему, символ ! используется для инверсии. Так критерий --source-port ! 22предполагает хоть какой порт, не считая 22. Инверсия может применяться и к спектру портов, например --source-port ! 22:80.

Аспект

--dport, --destination-port

Пример

iptables -A INPUT -p 15.4Неявные критерии - Руководство (man) 68 udp --dport 53

Описание

Порт, на который адресован пакет. Формат аргументов на сто процентов аналогичен принятому в критерии --source-port.
^ 15.4.3Аспект MAC
MAC (Ethernet Media Access Control) аспект употребляется для проверки начального MAC-адреса пакета 15.4Неявные критерии - Руководство (man) 68. Расширение -m mac, на сегодня, предоставляет единственный аспект, но может быть в дальнейшем он будет расширен и станет более полезен.

Ключ

--mac-source

Пример

iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01

Описание

MAC адрес сетевого узла 15.4Неявные критерии - Руководство (man) 68, передавшего пакет. MAC адрес должен указываться в форме XX:XX:XX:XX:XX:XX. Как и ранее, символ ! используется для инверсии аспекта, например --mac-source ! 00:00:00:00:00:01, что значит - "пакет с хоть какого узла 15.4Неявные критерии - Руководство (man) 68, не считая узла, который имеет MAC адресок 00:00:00:00:00:01" . Этот аспект имеет смысл исключительно в цепочках PREROUTING, FORWARD и INPUT и нигде более.


159-moral-pravo-politika-zadachi-i-uprazhneniya-moskva-2005-balashov-l-e-filosofiya.html
15grafik-samostoyatelnoj-raboti-studentov-uchebno-metodicheskij-kompleks-disciplini-praktikum-po-metodam-vichislenij.html
15obespechenie-municipalnih-obrazovanij-rossijskoj-federacii-operativnoj-informaciej-v-oblasti-mestnogo-samoupravleniya.html