Михаил Флёнов - Linux глазами хакера

ipchains -I input 1 -i ppp0 -р tcp --syn -j DENY

В данной строке вставляется новое правило в цепочку проверки входящих пакетов. Контролируются пакеты TCP, у которых установлен флаг syn(об этом говорит ключ --syn). Если такой пакет получен, то он удаляется.

Для использования маскировки IP-адреса ядро операционной системы должно быть скомпилировано с соответствующей поддержкой, потому что подмена адреса происходит на уровне ядра.

Если попробовать сейчас перезагрузить систему и просмотреть цепочки сетевого экрана, то все наши изменения исчезнут. Проблема в том, что ОС автоматически их не запоминает, и мы сами должны позаботиться о сохранении правил. Для этого существует утилита ipchain-save. Ее нужно выполнять следующим образом:

ipchain-save > файл

Когда мы только начинали рассматривать команды ipchains, то я упоминал файл /etc/sysconfig/ipchains( см. разд. 4.11.1 ). Это конфигурационный файл, который загружается при старте системы. Именно в этом файле я рекомендую держать все настройки:

ipchain-save > /etc/sysconfig/ipchains

Выполняйте сохранение после каждой модификации конфигурации. Если случится внештатная ситуация и сервер придется перезагружать, то вы обязательно забудете восстановить изменения.

Сохранение цепочек можно сделать автоматическим, но я не советую вам на это надеяться. Лучше сделать все вручную, так будет надежнее.

Восстановить цепочки тоже можно из файла. Для этого необходимо выполнить команду:

ipchain-restore < файл

Это очень удобно. Допустим, что вы хотите протестировать новые правила, но боитесь испортить уже отлаженные цепочки. Сохраните в каком-нибудь файле текущее состояние и изменяйте что угодно и как угодно. В любой момент можно вернуться к исходной точке, выполнив одну команду восстановления.

Программа iptables является новой разработкой по управлению фильтрами и обеспечению безопасности, но пока еще не смогла завоевать сердца большинства пользователей. Если вы разобрались с утилитой ipchains, то понять принцип работы с iptables будет не сложнее.

С помощью iptables вы также можете редактировать цепочки правил input, output и forward.

Сходство между ipchains и iptables прослеживается уже при взгляде на параметры:

□ -A цепочка правило— добавить правило в конец цепочки. В качестве параметра указывается имя цепочки INPUT, OUTPUTили FORWARD;

□ -D цепочка номер— удалить правило с указанным номером из заданной цепочки;

□ -R цепочка номер правило— заменить правило с указанным номером в цепочке;

□ -I цепочка номер правило— вставить правило в указанную первым аргументом цепочку под номером, заданным во втором параметре. Если номер равен 1, то правило станет первым в цепочке;

□ -L цепочка— просмотреть содержимое указанной цепочки;

□ -F цепочка— удалить все правила из цепочки;

□ -р протокол— определяет протокол, на который воздействует правило;

□ -i интерфейс— определяет сетевой интерфейс, с которого данные были получены. Здесь можно использовать INPUT, FORWARDили PREROUTING;

□ -o интерфейс— задает интерфейс, на который направляется пакет. Здесь можно указывать OUTPUT, FORWARDили POSTROUTING;

□ -j действие— операция, которая должна быть выполнена над пакетом. В качестве аргументов можно указать следующие значения (рассмотрим только основные):

• LOG— поместить в журнал запись о получении пакета;

• REJECT— отправителю будет направлено сообщение об ошибке;

• DROP— удалить пакет;

• BLOCK— блокировать пакеты;

□ -s адрес— IP-адрес отправителя пакета. Как и в случае с iptables, после адреса можно задать маску в виде /maskи знак отрицания "!", что будет соответствовать любым адресам, кроме указанных;

□ -d адрес— адрес назначения пакета.

Как видите, большинство параметров абсолютно идентичны тем, что мы рассматривали для программы ipchains. Но есть важные и очень мощные отличия. Например, с помощью ключей -ои -iочень просто указывать, с какого на какой интерфейс направляется пакет. Из-за сходства конфигурирования сервисов ipchains и iptables в практической части мы не будем тратить драгоценное место книги, и кратко рассмотрим создание правил.