د Iptables - پراکسي - NAT - IDs سره د خپلې شبکې خوندي کول: برخه 2

این ایل مخکینی پوسټ موږ د اور وژنې په توګه کار کولو لپاره د IPTables تشکیلات ولیدل. اوس موږ لیدلی شو چې دا سکریپټونه څنګه رامینځته کړئ نو دا چې قواعد په اوتومات ډول اجرا کیږي کله چې سیسټم پیل کیږي ، او دا چې موږ څنګه کولی شو د یوې شیبې لپاره دا مقررات له مینځه یوسو یا بند یې کړو.

د سکریپټ کولو دمخه او تاسو ته د دې په ګوته کولو دمخه ، راځئ چې د NAT او د هغه مفهوم په اړه یو څه وغږیږو چې موږ یې د دې تجهیزاتو سره څه کول غواړو.

NAT او د مثال متن.

کله چې موږ د NAT په اړه وغږیږو ، موږ دا د تګ راتګ سره ګډوډ کولی شو ، ځکه چې دواړه د یو بل سره د دوه مختلف شبکو د نښلولو مسؤلیت لري. توپیر په حقیقت کې دا دی چې روټینګ د یوې سیمه ایزې شبکې څخه بلې ته د تګ لپاره پلي کیږي او دا بله شبکه کولی شي روټر سره وصل شي او انټرنیټ ته لاړ شي.

په داسې حال کې ، کله چې موږ د NAT په اړه وغږیږو ، موږ د ځایی یا خصوصي شبکې څخه عامه شبکې یا انټرنیټ ته د پاکټونو د لارې په اړه خبرې کوو. دا د عامه IP په کارولو سره د پاکټونو په ماسک کولو سره کوي چې ورسره انټرنیټ ته ځي. په بل عبارت ، موږ روټر ته اړتیا نلرو ، ځکه چې عامه IP په مستقیم ډول د GNU / لینکس کمپیوټر ملکیت دی.

NAT

موږ به دا شعار سره کار وکړو چې موږ خپل لینکس د راوټر / فایر وال په توګه کاروو ترڅو له ځایی شبکې څخه انټرنیټ ته لاړ شو. مګر دلته دوه سناریو څرګندیږي.

  • دا چې زموږ لینکس د خدمت چمتو کونکي او محلي شبکې روټر ترمینځ دی.

پدې حالت کې ، د روټر او زموږ لینکس تر مینځ به شبکه وي ، او د لینکس او ځایی شبکې ترمینځ به بله بله شبکه وي. دا پدې مانا ده چې زموږ روټر به د NAT په څیر داسې نه وي کړي ، لکه د ساده ترافیک لارې سره چې تشریح شوي مخکینی پوسټ دا به ښه وي

  • دا چې زموږ لینکس په سیمه ایز شبکه پورې مربوط یو انٹرفیس لري او د بل انٹرفیس له لارې مستقیما عامه IP ترلاسه کوي چې ورسره حرکت کوي.

دا پدې مانا ده چې زموږ لینکس باید NAT وکړي ترڅو پاکټونه انټرنیټ ته ورسیږي.

بیا د دې کوچني لابراتوار اهدافو لپاره ، موږ به ووایو چې زموږ لینکس مستقیم عامه IP ترلاسه کوي او پدې توګه به د NAT اغیزې ازموینې وړ وي.

د NAT کولو لپاره موږ بیا نحو کار کوو

 iptables -t نټ- A پوسټروټ کول - او E1j مس ماسیرډ

چیرې چې E1 XNUMX هغه انٹرفیس دی چیرې چې موږ عامه IP ترلاسه کوو ، دا دی ، چیرته چې موږ انټرنیټ ته ځو.

ماسسکراډ کارول کیږي کله چې آی پی عامه وي مګر دا د وخت په تیریدو سره متحرک کیدی شي (متحرک). که نه نو موږ کولی شو SNAT – څخه سرچینه آی پی وکاروو

د iptables اسکرپټ جوړول

فرض کړئ بیا چې: 172.26.0.0 زموږ ځایی شبکه ده او 81.2.3.4 عامه IP دی چې ورسره موږ انټرنیټ ته ځو. (دا یو مستحکم IP دی). زه انٹرفیسز E0 (سیمه ایز شبکه) لرم

اخوت 1 (عامه شبکه).

دا اساسا د سکریپټ رامینځته کولو څخه جوړ دی چې له /etc/init.d/firestop څخه (د مثال په توګه) غوښتل کیدی شي. او د دې سکریپټ څخه موږ کولی شو زموږ د تشکیلاتو حالت پیل ، ودرولو یا چیک کړو ، لکه څنګه چې موږ د کوم سیسټم ډیممون سره کوو.

فرض کړئ زما د IPTABLES قواعد دلته دي:

#! / بن / بش # زما د کور اور # د فایل نوم / وغيره / فایر وال_ د # لخوا د JlCuxux ټویټر:Jlcmux # # لومړنۍ تګلاره. iptables -P INPOUT DROP iptables -P OUTPUT DROP iptables -P فارورډ DROP # #NAT د انټرنیټ له E0 څخه eth1 iptables -t nat -A پوسټروټینګ -O eth1 -j SNAT --to-Source ته شریکوي 81.2.3.4
# # راتلوونکي اړیکو ته اجازه راکړئ زما د iptables -A FORWARD -m ایالت - سیسټم ESTABLISHED ، اړوند - جریان ته لاسرسی # # مجاز ترافیک iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 443 -j ACCEPT iptables -A FORWARD -i eth0 -o eth1 -p udp --dport 53 -j ACCEPT
راځئ چې د اعدام اجازه ورکول هیروئ

توضيح:

سکریپټ اساسا لاندې کار کوي:

  1. لومړی ټول نیویگیشن ، اړیکې او ترافیک محدود کړئ. (د اور وژنې بنسټیز تګلارې)
  2. بیا NAT د منزل E1 سره رامینځته کړئ. په ګوته کوي چې موږ یو ثابت عامه ip لرو 81.2.3.4
  3. دا زما لخوا پیل شوي د اړیکو کڅوړو ترلاسه کولو لپاره اړین بندرونه پرانیزي.
  4. د تللو HTTP ، HTTPS ، او DNS ترافیک مني.
قواعد د فارورډ ترافیک لپاره ټاکل شوي دي ځکه چې موږ خپل لینکس د راوټر په توګه کاروو ، نو تګلارې د ترافیک لپاره کارول کیږي کوم چې د لینکس له لارې تېرېږي ، یعنی دا د مینځګړي په توګه عمل کوي. دا پدې مانا ده چې زموږ لینکس واقعیا نشی کولی مستقیما ډاټا نیویګیټ یا ترلاسه کړي. دا یوازې هغه کمپیوټرونو باندې پلي کیږي چې دې سره تړلي وي ، مګر پخپله نه

که موږ غواړو خپل سامانونه د چلولو لپاره وکاروو موږ باید لینونه تکرار کړو او د مناسب په توګه د FORWARD INPUT یا OUTPUT ته واړوو.

متن لغوه کړئ.

اوس موږ یو سکریپټ رامینځته کوو چې ټول پورته پورتني راپورته کیږي او کمپیوټر له دې ټولو څخه پاکوي. (د ازموینې اهدافو لپاره یا موږ یوازې د اوردیوال بندول غواړو).

#! / بن / بيش # زما د کور اور لمبه. # د فایل نوم / وغيره / فایر وال_اف # د JlCuxux ټویټر لخوا:Jlcmux # # د ډیپټبل قواعد ضایع کول - F # # د ډیفالټ تګلارې پلي کول (ټولې ترافیک منل شوي) iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P فارورډ ACCEPT

اتومات.

اوس موږ باید دننه سکریپټ جوړ کړو /etc/init.d/ او خدمت په اوتومات ډول پیل کیږي او موږ کولی شو دا په ډیرې اسانۍ سره اداره کړو.

#! / بن / بيش # زما د کور اور لمبه. # د فایل نوم /etc/init.d/ فائروال # د Jlcmux ټویټر لخوا:JlCuxux قضیه په پیل کې $ 1) / etc / firewall_on؛؛ ودروي) / نور / اور_والى_اوف ؛؛ حالت) iptables -L ؛؛ *) د "ګونګو ناسم ترکیب. معتبر = /etc/init.d/ د اور وژنې پیل | درول | حالت؛ حالت؛؛ ایساک

توضيح:

دا وروستی سکریپټ چې موږ یې کېښود /etc/init.d/ د نوم سره اور لګول. نو که موږ غواړو د اور دیوال اداره کړو موږ کولی شو کمانډ وکاروو /etc/init.d/ د اور وژنې پیل. په ورته ډول موږ کولی شو دا ودروو یا دولت وګورو.

اوس موږ د فایل ترمیم کوو /etc/rc.local او موږ داسې یو څه وړاندې کړو: /etc/init.d/ د اور وژنې پیل د سیسټم سره پیل کول.

په بیله. دا دوهمه برخه ده. زه امید لرم چې دا تاسو ټولو ته یو څه راوړي. په بل کې موږ د پراکسي او IDs ګورو.


د مقالې مینځپانګه زموږ د اصولو سره سمون لري ایډیټیک اخلاق. د غلطۍ راپور ورکولو لپاره کلیک وکړئ دلته.

7 نظرونه ، خپل پریږدئ

خپله نظر پرېږدئ

ستاسو د بریښنا لیک پته به خپره نه شي. اړین برخو سره په نښه شوي دي *

*

*

  1. د معلوماتو لپاره مسؤل: میګیوانجل ګاتین
  2. د معلوماتو هدف: د سپیم کنټرول ، د نظر مدیریت.
  3. قانونیت: ستاسو رضایت
  4. د معلوماتو راټولول: معلومات به د قانوني مکلفیت پرته دریمې ډلې ته نه لیږدول کیږي.
  5. د معلوماتو ذخیره: ډیټابیس د Occentus شبکې (EU) لخوا کوربه شوی
  6. حقونه: په هر وخت کې تاسو کولی شئ خپل معلومات محدود ، له سره تنظیم او حذف کړئ.

  1.   ډانټر dijo

    که تاسو دبیان کاروئ نو دلته په ریپو کې یو بسته شتون لري (iptables-लगातार) چې دا په سمه توګه ترسره کوي ، دا اوسني قواعد په /etc/iptables/rules.v4 یا v6 کې ډوبوي چې د هغه څه پورې اړه لري چې تاسو یې کاروئ او بیا یې تاسو ته پلي کوئ کله چې تاسو سیسټم پورته کړئ.

  2.   ocz dijo

    په عمل کې ، د دودیز iptables د فیر وال کنفیګریشن پاکولو لپاره (او د NAT کارول به زما له نظره داسې نه وي) ، په ډیری قضیو کې یو قانون فلش کیږي او ACCEPT ته د ډیفالټ تګلارو تنظیم کول به کافی وي.
    مګر په تیوري کې ، او تر هغه ځایه چې زه پوهیږم ، د دې سربیره تاسو اړتیا لرئ د غیر ډیفالټ تارونه پاک کړئ او کاونټرې تنظیم کړئ. هغه عملونه باید په پام کې ونیول شي چې د "فلټر" سربیره نور جدولونه هم شتون لري ، (د دې لپاره د "/ proc / net / ip_tables_names" فایل لوستل لازمي دي).

    په هرصورت ، اورتوډاکسي وايي چې د شبکې دمخه باید د اور دیوال باید دمخه وي. زه نه پوهیږم چې دا څنګه په نورو لینکس سیسټمونو کې لاسته راوړل کیږي ، مګر په دیبیانو باندې سکریپټ غوره کیدلی او په "/etc/network/if-pre-up.d/" لارښود کې تنظیم کیدی شي.

    ټولو ته ښه اور مړ کول. 😉

  3.   NauTilus dijo

    سلام ، پوسټ خورا ښه دی. ما ټوله 2 جلدونه لوستلي دي.

    راتلونکی for ته انتظار باسی

  4.   بې نومه dijo

    زما له ناپوهۍ څخه یوه پوښتنه ، موږ د iptables سره دوام کوو ، مګر د ډیری کارنال نسخو لپاره چې موږ وړتیا لرو ، زه دمخه ازموینه لرم ، پوښتنې دا دي ، ایا د وړتیا وړ څه دی چې د iptables په اړه بیټا دی؟ ایا iptables د اوږدې مودې لپاره کارولو ته دوام ورکړي؟

    مننه.

    1.    یوکیټورو dijo

      په وړتیا کې د iptables ، ip6tables ، arptables او ebtables ټول فعالیتونه شامل دي ، چې ټول دواړه په کېرنیفیس او کارن ځای کې د نوي زیربنا کاروي ، کوم چې غوره فعالیت او ښه فعالیت تضمینوي. nftables به iptables او نور ټول هغه وسیلې چې یادونه وشوه ځای په ځای کړي مګر د اوس مهال لپاره نه ، لږترلږه تر هغه چې د nftables پراخه کار نه وي.

  5.   الجندرو dijo

    ډیر ښه پوسټ ، زه غواړم ډیر لوستل شم ځکه چې دا خورا ښه تشریح شوی .. سلامونه د عالي همکارۍ څخه مننه

  6.   اوهرا dijo

    سلام! دواړه ښه پوسټ.
    د مرستې په توګه تاسو کولی شئ پدې برخه کې پای ته ورسیږئ:

    "اوس موږ د /etc/rc.local فایل سمولو او د داسې په څیر یو څه کېښودو: /etc/init.d/ د فایر وال پیل ترڅو دا سیسټم سره پیل شي."

    دا په rc.local کې اضافه کړئ.

    که [-x /etc/init.d/ فائروال]؛ بیا
    /etc/init.d/ د اور وژنې پیل
    fi

    د دې معنی دا ده چې که "فائر وال" د اعدام اجازه لري ، اجرا یې کړئ ، که نه.
    که تاسو غواړئ "فائر وال" نه پیل کړئ ، نو تاسو باید اجازه لیکونه لرې کړئ.

    د مثال په توګه: chmod + x /etc/init.d/ فایر وال
    د دې لپاره چې دا په هر پیل کې پرمخ بوځي یا ...
    chmod -x /etc/init.d/ فایر وال
    دا په بشپړ ډول ناتوانول

    مننه!