Modulintroduktion
Den här modulen låter dig konfigurera IPtables-brandväggsfunktioner som finns i 2.4-serien med Linux-kärnor. Till skillnad från vissa andra brandväggskonfigurationsprogram, istället för att skapa ett skalskript som sätter upp brandväggen, läser och redigerar en sparfil i formatet läst och skrivet av ipi (6) tabeller-återställning respektive ipi (6) -tabeller-spara . Om du redan har en brandvägg på ditt system som har konfigurerats manuellt eller från en skriptfil, kommer modulen att erbjuda att konvertera den till en IPtables-sparfil för dig och skapa ett skript som ska köras vid starttid för att aktivera reglerna i filen. Men om du gör detta, bör du inte längre redigera ditt brandväggsregleringsskript och bör inaktivera att det också körs vid starttid.
Översikt över IPtables
Varje nätverkspaket som kommer in, går ut från eller vidarebefordras av ditt system kontrolleras mot en eller flera kedjor för att avgöra vad som kommer att hända med det. Varje kedja innehåller noll eller fler regler, var och en har ett villkor (för att bestämma vilka paket det matchar) och en åtgärd (för att kontrollera vad som händer med de matchande paketen). Varje kedja har också en standardåtgärd som styr vad som händer med paket som inte matchar någon regel. Varje kedja är en del av ett bord, av vilka det för närvarande finns tre:
- Paketfiltrering ( filter )
Kedjorna i denna tabell kan användas för att kontrollera data som kommer in i ditt system från andra värdar i nätverket, data som skickas ut från ditt system av användare och processer och data som vidarebefordras av ditt system om det fungerar som en router. - Nätverksadressöversättning ( nat )
Denna tabell kan användas för att ställa in NAT eller maskera, vilket är användbart om du vill ge ett helt nätverk av maskiner åtkomst till internet via bara en riktig IP-adress. - Paketändring ( mangle )
Denna tabell är avsedd för att ändra paket som vidarebefordras av eller skickas ut från ditt system.
Förutom standardkedjorna som ingår i varje tabell kan du också skapa dina egna kedjor som kan köras enligt regler i de inbyggda kedjorna. Detta kan vara användbart för gruppering och delningsregler som kan användas på flera platser. Huvudsidan
Huvudsidan för den här modulen visar alla kedjor och regler från en av de tillgängliga tabellerna, valda från listan uppe till vänster. Nedan följer ett avsnitt för varje kedja i den aktuella tabellen, med alla regler i varje kedja listade och deras villkor beskrivna efter bästa möjliga modul. För varje kedja kan du ändra standardåtgärden med hjälp av listrutan om kedjan är en av de inbyggda för tabellen, eller ta bort den med knappen Radera kedja om den är användardefinierad. Du kan klicka på valfri regel i en kedja för att redigera den, klicka på pilarna till höger om varje rad för att flytta den upp eller ner, eller klicka på knappen Lägg till regel för att lägga till en ny. Om du lägger till eller redigerar en regel kommer du till en sida där du kan välja åtgärd för varje regel och villkoren för vilken åtgärden utförs.
Längst ner på sidan finns en knapp för att aktivera den aktuella brandväggskonfigurationen genom att ladda den i kärnan med ipi (6) -tabellåterställningskommandot . Nedanför är det en knapp för att göra omvänd - ta den konfiguration som för närvarande finns i kärnan och göra den tillgänglig för redigering. Slutligen, om din distribution stöder det, finns det en knapp för att ändra om brandväggen är aktiverad vid starttid eller inte.
Filtreringskedjor
För bättre samarbete med externa iptables-skript kan du utesluta enskilda kedjor från behandlingen med brandväggen. För att göra detta måste du välja direkt bearbetning av regler i inställningarna och ange en filterlista, som utesluter lämpliga kedjor från bearbetning. Kedjor som inte exkluderas från redigering flaggas med meddelandet "inte hanteras av brandvägg". IP-uppsättningar
Nyare versioner av ip (6) -tabellen stöder ipset-förlängningen. IP-uppsättningar är listor över IP-adresser i huvudminnet, som kan sökas mycket effektivt och användas som villkor i regler. På startsidan visas befintliga IP-uppsättningar som kan användas av regler. För närvarande är det emellertid inte möjligt att hantera dessa i brandväggen.