КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Действие LOG
|
|
|
|
Действие QUEUE
Действие DROP
Действие ACCEPT
Данная операция не имеет дополнительных ключей. Если над пакетом выполняется действие ACCEPT, то пакет прекращает движение по цепочке (и всем вызвавшим цепочкам, если текущая цепочка была вложенной) и считается ПРИНЯТЫМ, тем не менее, пакет продолжит движение по цепочкам в других таблицах и может быть отвергнут там. Действие задаётся с помощью ключа -j ACCEPT.
Данное действие просто «уничтожает» пакет и iptables «забывает» о его существовании. «Уничтоженный» пакеты прекращают своё движение полностью, то есть они не передаются в другие таблицы, как это происходит в случае с действием ACCEPT. Следует помнить, что данное действие может иметь негативные последствия, поскольку может оставлять незакрытые «мертвые» сокеты как на стороне сервера, так и на стороне клиента, наилучшим способом защиты будет использование действия REJECT особенно при защите от сканирования портов.
Действие QUEUE ставит пакет в очередь на обработку пользовательскому процессу. Оно может быть использовано для нужд учёта, проксирования или дополнительной фильтрации пакетов.
Действие RETURN
Действие RETURN прекращает движение пакета по текущей цепочке правил и производит возврат в вызывающую цепочку, если текущая цепочка была вложенной, или, если текущая цепочка лежит на самом верхнем уровне (например, INPUT), то к пакету будет применена политика по-умолчанию. Обычно, в качестве политики по-умолчанию назначают действия ACCEPT или DROP.
Если пакет идёт по цепочке INPUT и встречает правило, которое производит переход во вложенную цепочку – --jump EXAMPLE_CHAIN и в цепочке EXAMPLE_CHAIN пакет встречает правило, которое выполняет действие --jump RETURN, то произойдёт возврат пакета в цепочку INPUT.
|
|
|
LOG – действие, которое служит для журналирования отдельных пакетов и событий. В журнал могут заноситься заголовки IP пакетов и другая информация. Информация из журнала затем может быть прочитана с помощью команды dmesg или команды syslogd, либо с помощью других программ.
LOG имеет пять ключей, которые перечислены ниже (таблица 3.19).
Таблица 3.19. Ключи для действия LOG
| Ключ | Пример | Описание |
| --log-level | iptables -A FORWARD -p tcp -j LOG --log-level debug | Используется для задания уровня журналирования (log level). Полный список уровней можно найти в руководстве (man) по syslog.conf. Обычно, можно задать следующие уровни: debug, info, notice, warning, warn, err, error, crit, alert, emerg и panic. Ключевое слово error означает то же самое, что и err, warn – warning и panic – emerg. Важно: в последних трех парах слов не следует использовать error, warn и panic. Приоритет определяет различия в том, как будут заноситься сообщения в журнал. Все сообщения заносятся в журнал средствами ядра. Если вы установите строку kern.=info /var/log/iptables в файле syslog.conf, то все ваши сообщения из iptables, использующие уровень info, будут заноситься в файл /var/log/iptables. Однако в этот файл попадут и другие сообщения, поступающие из других подсистем, которые используют уровень info. |
| --log-prefix | iptables -A INPUT -p tcp -j LOG --log-prefix «INPUT packets» | Ключ задает текст (префикс), которым будут предваряться все сообщения iptables. Сообщения со специфичным префиксом затем легко можно найти, к примеру, с помощью grep. Префикс может содержать до 29 символов, включая и пробелы. |
| --log-tcp-sequence | iptables -A INPUT -p tcp -j LOG --log-tcp-sequence | Этот ключ позволяет заносить в журнал номер TCP Sequence пакета. Номер TCP Sequence идентифицирует каждый пакет в потоке и определяет порядок «сборки» потока. Этот ключ потенциально опасен для безопасности системы, если системный журнал разрешает доступ «НА ЧТЕНИЕ» всем пользователям. Как и любой другой журнал, содержащий сообщения от iptables. |
| --log-tcp-options | iptables -A FORWARD -p tcp -j LOG --log-tcp-options | Этот ключ позволяет заносить в системный журнал различные сведения из заголовка TCP пакета. Такая возможность может быть полезна при отладке. Этот ключ не имеет дополнительных параметров, как и большинство ключей действия LOG. |
| --log-ip-options | iptables -A FORWARD -p tcp -j LOG --log-ip-options | Этот ключ позволяет заносить в системный журнал различные сведения из заголовка IP пакета. Во многом схож с ключом --log-tcp-options, но работает только с IP заголовком. |
|
|
|
|
|
|
|
Дата добавления: 2014-01-15; Просмотров: 340; Нарушение авторских прав?; Мы поможем в написании вашей работы!