Oskar Andreasson - Iptables Tutorial 1.1.19
- Название:Iptables Tutorial 1.1.19
- Автор:
- Жанр:
- Издательство:неизвестно
- Год:неизвестен
- ISBN:нет данных
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Oskar Andreasson - Iptables Tutorial 1.1.19 краткое содержание
Перевод: (C) Последнюю версию документа можно получить по адресу: fb2-документ отформатирован с использованием большого количества тегов и . Чтобы в «читалке» (в частности, Haali Reader) текст выглядел «красиво», настройте свойства соотвествующих стилей (emphasis и strong), изменив, например, их цвета или начертания. (прим. автора fb2-документа)
Iptables Tutorial 1.1.19 - читать онлайн бесплатно полную версию (весь текст целиком)
Интервал:
Закладка:
B.5. Как разрешить прохождение DHCP запросов через iptables
В действительности, эта задача достаточно проста, если вам известны принципы работы протокола DHCP . Прежде всего необходимо знать, что DHCP работает по протоколу UDP . Следовательно, протокол является первым критерием. Далее, необходимо уточнить интерфейс, например, если DHCP запросы идут через $LAN_IFACE , то движение запросов DHCP следует разрешить только через этот интерфейс. И наконец, чтобы сделать правило более определенным, следует уточнить порты. DHCP использует порты 67 и 68. Таким образом, искомое правило может выглядеть следующим образом:
$IPTABLES -I INPUT -i $LAN_IFACE -p udp –dport 67:68 –sport \ 67:68 -j ACCEPT
Обратите внимание, это правило пропускает весь трафик по протоколу UDP через порты 67 и 68, однако это не должно вас особенно смущать, поскольку оно разрешает лишь движение запросов от узлов сети, пытающихся установить соединение с портами 67 и 68. Этого правила вполне достаточно, чтобы позволить выполнение DHCP запросов и при этом не слишком широко «открыть ворота». Если вас очень беспокоит проблема безопасности, то вы вполне можете ужесточить это правило.
B.6. Проблемы mIRC DCC
mIRC использует специфичные настройки, которые позволяют соединяться через брандмауэр и обрабатывать DCC соединения должным образом. Если эти настройки используются совместно с iptables, точнее с модулями ip_conntrack_irc и ip_nat_irc, то эта связка просто не будет работать. Проблема заключается в том, что mIRC автоматически выполняет трансляцию сетевых адресов (NAT) внутри пакетов. В результате, когда пакет попадает в iptables, она просто не знает, что с ним делать. mIRC не ожидает, что брандмауэр будет настолько «умным», чтобы корректно обрабатывать IRC, и поэтому самостоятельно запрашивает свой IP у сервера и затем подставляет его, при передаче DCC запроса.
Включение опции «I am behind a firewall» («Я за брандмауэром») и использование модулей ip_conntrack_irc и ip_nat_irc приводит к тому, что netfilter пишет в системный журнал сообщение «Forged DCC send packet».
У этой проблемы есть простое решение – отключите эту опцию в mIRC и позвольте iptables выполнять всю работу.
Приложение C. Типы ICMP
Это полный список типов ICMP сообщений:
Таблица C-1. ICMP types
(Тип – Код – Описание – Запрос – Ошибка)
Тип: 0
Код: 0
Описание: Echo Reply
Запрос: x
Ошибка: -
Тип: 3
Код: 0
Описание: Network Unreachable
Запрос: -
Ошибка: x
Тип: 3
Код: 1
Описание: Host Unreachable
Запрос: -
Ошибка: x
Тип: 3
Код: 2
Описание: Protocol Unreachable
Запрос: -
Ошибка: x
Тип: 3
Код: 3
Описание: Port Unreachable
Запрос: -
Ошибка: x
Тип: 3
Код: 4
Описание: Fragmentation needed but no frag. bit set
Запрос: -
Ошибка: x
Тип: 3
Код: 5
Описание: Source routing failed
Запрос: -
Ошибка: x
Тип: 3
Код: 6
Описание: Destination network unknown
Запрос: -
Ошибка: x
Тип: 3
Код: 7
Описание: Destination host unknown
Запрос: -
Ошибка: x
Тип: 3
Код: 8
Описание: Source host (isolated obsolete)
Запрос: -
Ошибка: x
Тип: 3
Код: 9
Описание: Destination network administratively prohibited
Запрос: -
Ошибка: x
Тип: 3
Код: 10
Описание: Destination host administratively prohibited
Запрос: -
Ошибка: x
Тип: 3
Код: 11
Описание: Network unreachable for TOS
Запрос: -
Ошибка: x
Тип: 3
Код: 12
Описание: Host unreachable for TOS
Запрос: -
Ошибка: x
Тип: 3
Код: 13
Описание: Communication administratively prohibited by filtering
Запрос: -
Ошибка: x
Тип: 3
Код: 14
Описание: Host precedence violation
Запрос: -
Ошибка: x
Тип: 3
Код: 15
Описание: Precedence cutoff in effect
Запрос: -
Ошибка: x
Тип: 4
Код: 0
Описание: Source quench
Запрос: -
Ошибка: -
Тип: 5
Код: 0
Описание: Redirect for network
Запрос: -
Ошибка: -
Тип: 5
Код: 1
Описание: Redirect for host
Запрос: -
Ошибка: -
Тип: 5
Код: 2
Описание: Redirect for TOS and network
Запрос: -
Ошибка: -
Тип: 5
Код: 3
Описание: Redirect for TOS and host
Запрос: -
Ошибка: -
Тип: 8
Код: 0
Описание: Echo request
Запрос: x
Ошибка: -
Тип: 9
Код: 0
Описание: Router advertisement
Запрос: -
Ошибка: -
Тип: 10
Код: 0
Описание: Route solicitation
Запрос: -
Ошибка: -
Тип: 11
Код: 0
Описание: TTL equals 0 during transit
Запрос: -
Ошибка: x
Тип: 11
Код: 1
Описание: TTL equals 0 during reassembly
Запрос: -
Ошибка: x
Тип: 12
Код: 0
Описание: IP header bad (catchall error)
Запрос: -
Ошибка: x
Тип: 12
Код: 1
Описание: Required options missing
Запрос: -
Ошибка: x
Тип: 13
Код: 0
Описание: Timestamp request (obsolete)
Запрос: x
Ошибка: -
Тип: 14
Код: 0
Описание: Timestamp reply (obsolete)
Запрос: x
Ошибка: -
Тип: 15
Код: 0
Описание: Information request (obsolete)
Запрос: x
Ошибка: -
Тип: 16
Код: 0
Описание: Information reply (obsolete)
Запрос: x
Ошибка: -
Тип: 17
Код: 0
Описание: Address mask request
Запрос: x
Ошибка: -
Тип: 18
Код: 0
Описание: Address mask reply
Запрос: x
Ошибка: -
Приложение D. Ссылки на другие ресурсы
Здесь приведен список ссылок, где вы сможете получить дополнительную информацию :
ip-sysctl.txt – из документации к ядру 2.4.14. Маленький, но хороший справочник по организации сетевого кода ядра.
Читать дальшеИнтервал:
Закладка:
