Azərbaycanca
Беларускі
Dansk
Deutsch
Española
Français
Indonesia
Italiana
日本語
Қазақ
Lietuvos
Nederlands
Português
Русский
සිංහල
แบบไทย
Türkçe
Українська
中國人
United State
Afrikaans
Iptables — утиліта командного рядка, стандартний інтерфейс керування роботою міжмережевого екрана (брандмауеру) Netfilter для ядер Linux від версії 2.4. Всупереч поширеній думці, ані iptables, ані netfilter не виконують маршрутизацію пакетів і не керують нею. Netfilter лише фільтрує та модифікує (також для NAT) пакети за правилами, вказаними адміністратором через утиліту iptables. Для використання утиліти iptables потрібні привілеї суперкористувача (root).
 | |
| Автор | Русті Рассел |
|---|---|
| Розробник | Netfilter Core Team |
| Перший випуск | 1998 |
| Стабільний випуск | 1.4.14 (26 травня 2011) |
| Платформа | Ядро Linux і d |
| Операційна система | Linux |
| Мова програмування | C |
| Ліцензія | GNU General Public License |
| Репозиторій | http://git.netfilter.org/iptables/, https://git.netfilter.org/iptables/, git://git.netfilter.org/iptables |
| Вебсайт | www.netfilter.org |
| |
Іноді під словом iptables йдеться про сам міжмережевий екран netfilter.
Терміни
DNAT — від англ. Destination Network Address Translation — Зміна Мережевої Адреси Отримувача. DNAT — це зміна адреси призначення у заголовку пакета. Найчастіше використовують у парі з SNAT. Основне застосування — використання єдиної реальної IP-адреси кількома комп'ютерами для виходу до Інтернету та умов надання додаткових мережевих послуг зовнішнім клієнтам.
Потік (Stream) — під цим терміном йдеться про з'єднання, крізь яке передаються і приймаються пакети. Я використав цей термін для позначення з'єднання, якими передається меншою мірою 2 пакети в обох напрямах. Що стосується TCP це означатиме з'єднання, крізь яке передається SYN пакет і далі приймається SYN/ACK пакет. Але це також може передбачати й передачу SYN пакета і прийом повідомлення ICMP Host unreachable. Інакше кажучи, використовую цей термін у досить широкому діапазоні застосувань.
SNAT — від англ. Source Network Address Translation — Зміна Мережевого Адресу Відправника. SNAT — це й зміна вихідного адресу в заголовку пакета. Основне застосування — використання єдиного реального IP-адресу кількома комп'ютерами для виходу до Інтернету. В теперішній час діапазон реальних IP-адрес, за стандартом IPv4, недостатньо широкий, та їх бракує усім (перехід на IPv6 дозволить позбутись цієї проблеми).
Стан (State) — під цим терміном йдеться про стан, де знаходиться пакет, відповідно до RFC 793 — Transmission Control Protocol, і ті трактування, які є у netfilter/iptables. Хочу звернути вашу увагу на той факт, що визначення станів пакетів, як внутрішніх, так зовнішніх станів, що використовуються Netfilter, в повному обсязі відповідають зазначеному вище у RFC 793.
Простір користувача (User space) — під цим терміном йдеться про усе, що розміщено поза ядром, наприклад: команда iptables -h виконується поза ядром, тоді як команда iptables -A FORWARD -p tcp -j ACCEPT виконується (частково) у просторі ядра, оскільки вона додає нове правило до наявного набору.
Простір ядра (Kernel space) — більшою або меншою мірою є твердженням, зворотним терміну «Простір користувача». Ідеться про місце виконання — всередині ядра.
Приклади
За допомогою iptables можна, наприклад перенаправити трафік зі стандартного порту HTTP (80) на якийсь порт який не вимагає від сервера прав суперкористувача аби мати можливість на ньому слухати:
sudo iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080
Посилання
- . Архів оригіналу за 1 лютого 2017. Процитовано 5 грудня 2016.
{{}}: Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title ()
- How To List and Delete Iptables Firewall Rules [ 13 червня 2016 у Wayback Machine.] DigitalOcean
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
Iptables utilita komandnogo ryadka standartnij interfejs keruvannya robotoyu mizhmerezhevogo ekrana brandmaueru Netfilter dlya yader Linux vid versiyi 2 4 Vsuperech poshirenij dumci ani iptables ani netfilter ne vikonuyut marshrutizaciyu paketiv i ne keruyut neyu Netfilter lishe filtruye ta modifikuye takozh dlya NAT paketi za pravilami vkazanimi administratorom cherez utilitu iptables Dlya vikoristannya utiliti iptables potribni privileyi superkoristuvacha root iptablesAvtorRusti RasselRozrobnikNetfilter Core TeamPershij vipusk1998Stabilnij vipusk1 4 14 26 travnya 2011 13 rokiv tomu 2011 05 26 PlatformaYadro Linux i dOperacijna sistemaLinuxMova programuvannyaCLicenziyaGNU General Public LicenseRepozitorijhttp git netfilter org iptables https git netfilter org iptables git git netfilter org iptablesVebsajtwww netfilter org Mediafajli u Vikishovishi Inodi pid slovom iptables jdetsya pro sam mizhmerezhevij ekran netfilter TerminiRuh merezhevih paketiv kriz DNAT vid angl Destination Network Address Translation Zmina Merezhevoyi Adresi Otrimuvacha DNAT ce zmina adresi priznachennya u zagolovku paketa Najchastishe vikoristovuyut u pari z SNAT Osnovne zastosuvannya vikoristannya yedinoyi realnoyi IP adresi kilkoma komp yuterami dlya vihodu do Internetu ta umov nadannya dodatkovih merezhevih poslug zovnishnim kliyentam Potik Stream pid cim terminom jdetsya pro z yednannya kriz yake peredayutsya i prijmayutsya paketi Ya vikoristav cej termin dlya poznachennya z yednannya yakimi peredayetsya menshoyu miroyu 2 paketi v oboh napryamah Sho stosuyetsya TCP ce oznachatime z yednannya kriz yake peredayetsya SYN paket i dali prijmayetsya SYN ACK paket Ale ce takozh mozhe peredbachati j peredachu SYN paketa i prijom povidomlennya ICMP Host unreachable Inakshe kazhuchi vikoristovuyu cej termin u dosit shirokomu diapazoni zastosuvan SNAT vid angl Source Network Address Translation Zmina Merezhevogo Adresu Vidpravnika SNAT ce j zmina vihidnogo adresu v zagolovku paketa Osnovne zastosuvannya vikoristannya yedinogo realnogo IP adresu kilkoma komp yuterami dlya vihodu do Internetu V teperishnij chas diapazon realnih IP adres za standartom IPv4 nedostatno shirokij ta yih brakuye usim perehid na IPv6 dozvolit pozbutis ciyeyi problemi Stan State pid cim terminom jdetsya pro stan de znahoditsya paket vidpovidno do RFC 793 Transmission Control Protocol i ti traktuvannya yaki ye u netfilter iptables Hochu zvernuti vashu uvagu na toj fakt sho viznachennya staniv paketiv yak vnutrishnih tak zovnishnih staniv sho vikoristovuyutsya Netfilter v povnomu obsyazi vidpovidayut zaznachenomu vishe u RFC 793 Prostir koristuvacha User space pid cim terminom jdetsya pro use sho rozmisheno poza yadrom napriklad komanda iptables h vikonuyetsya poza yadrom todi yak komanda iptables A FORWARD p tcp j ACCEPT vikonuyetsya chastkovo u prostori yadra oskilki vona dodaye nove pravilo do nayavnogo naboru Prostir yadra Kernel space bilshoyu abo menshoyu miroyu ye tverdzhennyam zvorotnim terminu Prostir koristuvacha Idetsya pro misce vikonannya vseredini yadra PrikladiZa dopomogoyu iptables mozhna napriklad perenapraviti trafik zi standartnogo portu HTTP 80 na yakijs port yakij ne vimagaye vid servera prav superkoristuvacha abi mati mozhlivist na nomu sluhati sudo iptables A PREROUTING t nat i eth0 p tcp dport 80 j REDIRECT to port 8080Posilannya Arhiv originalu za 1 lyutogo 2017 Procitovano 5 grudnya 2016 a href wiki D0 A8 D0 B0 D0 B1 D0 BB D0 BE D0 BD Cite web title Shablon Cite web cite web a Obslugovuvannya CS1 Storinki z tekstom archived copy yak znachennya parametru title posilannya How To List and Delete Iptables Firewall Rules 13 chervnya 2016 u Wayback Machine DigitalOcean