По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Ищете вариант автоматического сохранения (резервного копирования) конфигурации на Cisco ASA? Если да, тогда Вам сюда. Многие делают бэкапирование конфигурации через меню ASDM. Но как это автоматизировать? Ответ ниже.
Сегодня мы рассмотрим вариант автоматического сохранения конфигурации Cisco ASA на удаленный FTP-сервер. Также возможен вариант бэкапирования на TFTP-сервер. Отличие лишь в синтаксисе команды. Данный функционал поддерживается на версии программного обеспечения 9.2(1) и выше. Также стоит учесть, что Cisco Embedded Event Manager может быть запушен только тогда, когда устройство работает в одно контекстном режиме.
Ниже я приведу примеры настройки данного функционала как через ASDM, так и с помощью командной строки. Для этих целей мы будем использовать возможности Cisco Embedded Event Manager. Если коротко, то это механизм, позволяющий создавать сценарии для автоматизации работы устройств. Подробнее о нем можно почитать на официальном сайте Cisco на английском языке.
И так, приступим.
Вариант через ASDM (Adaptive Security Device Manager)
Переходим на вкладку "Configuration", далее "Device manager". Слева в древовидной структуре выбираем "Advanced" и далее "Embedded Event Manager":
Справа нажимаем "Add" и заполняем форму:
Пойдем по пунктам:
"Applet Name" - имя нашего апплета
"Description" - описание
Дальше самое интересное:
"Events" - здесь мы описываем необходимое нам событие
Из выпадающего списка выбираем "Once-a-day timer". Он нас как раз и интересует. Также указываем время для ежедневного выполнения:
Далее переходим к пункту "Actions". Здесь нам необходимо указать порядковый номер команды "Sequence", например 10. В следующей строке вводим саму команду:
backup /noconfirm location ftp://user:password@ip_вашего_ftp_сервера//
В итоге получается вот так:
Далее идем по накатанному пути: "Apply" и "Save".
Теперь каждый день в 21:05:00 Cisco ASA будет создавать резервную копию конфигурации на наш FTP-сервер. В качестве FTP-сервера использовался один из сетевых дисковых накопителей.
Используем CLI
Здесь все намного проще. Переходим в режим глобального конфигурирования и вводим следующие команды:
Задаем имя апплета:
event manager applet Backup
Описание апплета:
description Backup configuration
Создаем наше событие:
event timer absolute time 21:05:00
И сама команда:
action 10 cli command "backup /noconfirm location ftp://user:password@ip_вашего_ftp_сервера//
Далее стандартное:
wr
Как я уже писал в начале статьи, возможен вариант использования TFTP-сервера. В этом случае команда будет выглядеть заметно короче:
action 10 cli command "backup /noconfirm location tftp://ip_вашего_tftp_сервера//
Запустить апплет можно командой:
event manager run имя_апплета
Для просмотра всех настроенных задач вводим команду:
show running-config event manager
Также присутствует возможность посмотреть стандартные счетчики:
show counters protocol eem
Пример вывода:
# show counters protocol eem<
Protocol Counter Value Context
EEM COMMANDS 11 Summary
EEM FILE_ERRORS 1 Summary
Ну и конечно же команда отладки:
show debug event manager
Автор предпочитает использовать вариант именно с CLI. Например с помощью Ansible мы можем настроить бэкапирование на всех имеющихся Cisco ASA. Пример можно подглядеть в официальной документации по Ansible.
Прочитайте материал про реактивное и упреждающее распределение достижимости в сетях.
Есть много случаев, когда более эффективно или в соответствии с конкретными ограничениями политики для плоскости управления изучать информацию о достижимости и топологии с другой плоскости управления, а не с помощью механизмов, описанных до этого момента в этой серии статей. Вот некоторые примеры:
Две организации должны соединить свои сети, но ни одна из них не хочет позволить другой контролировать политику и работу своих плоскостей управления;
Крупная организация состоит из множества бизнес-единиц, каждая из которых имеет возможность управлять собственной внутренней сетью в зависимости от местных условий и требований приложений.
Организация должна каким-то образом позволить двум плоскостям управления взаимодействовать при переходе от одной к другой.
Причины, по которым одна плоскость управления может получать информацию о доступности от другой, почти безграничны. Учитывая это требование, многие сетевые устройства позволяют операторам перераспределять информацию между плоскостями управления. При перераспределении достижимости возникают две проблемы, связанные с плоскостью управления: как обрабатывать метрики и как предотвращать петли маршрутизации.
Примечание. Перераспределение можно рассматривать как экспорт маршрутов из одного протокола в другой. На самом деле импорт/экспорт и перераспределение часто используются для обозначения одного и того же, либо разными поставщиками, либо даже в разных ситуациях одним и тем же поставщиком.
Перераспределение и метрики
Взаимосвязь между свойствами связи, политиками и метриками определяются каждым протоколом плоскости управления независимо от других протоколов. Фактически, более описательная или более полезная метрическая система - это то, что иногда привлекает операторов к определенному протоколу плоскости управления. На рисунке 12 показаны два участка сети, в которых работают две разные управляющие плоскости, каждая из которых использует свой метод расчета метрик связей.
Протоколы X и Y в этой сети были настроены с использованием двух разных систем для назначения показателей. При развертывании протокола X администратор разделил 1000 на скорость соединения в гигабитах. При развертывании протокола Y администратор создал "таблицу показателей" на основе наилучшего предположения о каналах с самой высокой и самой низкой скоростью, которые они могут иметь в течение следующих 10-15 лет, и назначил метрики для различных скоростей каналов в этой таблице. Результат, как показывает рисунок, несовместимые показатели:
10G каналы в протоколе X имеют метрику 100, в то время как в протоколе Y они имеют метрику 20.
100G-каналы как в протоколе X, так и в протоколе Y имеют метрику 10.
Предполагая, что более низкая метрика предпочтительна, если метрики добавлены, канал [B, C, F] будет считаться более желательным путем, чем канал [B, D, G]. Однако, если учитывать пропускную способность, оба канала будут считаться одинаково желательными.
Если между этими двумя протоколами настроено перераспределение, как следует обрабатывать эти метрики? Есть три общих решения этой проблемы.
Администратор может назначить метрику в каждой точке перераспределения, которая передается как часть внутренней метрики протокола. Например, администратор может назначить метрику 5 для пункта назначения E на маршрутизаторе C при перераспределении из протокола X в Y. Этот пункт назначения, E, вводится в протокол Y с метрикой 5 маршрутизатором C. На маршрутизаторе F метрика для E будет от 25 для C. В G стоимость достижения E будет 35 по пути [F, C]. Желательность использования любой конкретной точки выхода для любого конкретного пункта назначения выбирается оператором при назначении этих ручных метрик.
Метрика "другого" протокола может быть принята как часть внутренней метрики протокола. Это не работает в случае, когда один протокол имеет более широкий диапазон доступных метрик, чем другой. Например, если протокол Y имеет максимальную метрику 63, метрики 10G из протокола X будут "выше максимума"; ситуация, которая вряд ли будет оптимальной. При отсутствии такого ограничения маршрутизатор C внедрит маршрут к E со стоимостью 100 в протокол Y. Стоимость достижения E на маршрутизаторе F составит 110; стоимость в G будет от 130 до [F, C].
Примечание. Здесь вы можете увидеть компромисс между состоянием плоскости управления и оптимальным использованием сети, это еще один пример компромисса сложности при проектировании реальных протоколов. Перенос внешней метрики в отдельное поле добавляет состояние плоскости управления, но позволяет более оптимально управлять трафиком через сеть. Назначение или использование внешней метрики снижает состояние плоскости управления, но за счет возможности оптимизации потока трафика.
Внешняя метрика может быть перенесена в отдельное поле, поэтому каждое сетевое устройство может отдельно определять лучший путь к каждому внешнему адресату. Это третье решение является наиболее широко используемым, поскольку оно обеспечивает наилучшую возможность управления трафиком между двумя сетями. В этом решении C вводит достижимость для E с внешней стоимостью 100. В F есть две метрики в объявлении, описывающие достижимость для E; внутренняя метрика для достижения точки перераспределения (или выхода) - 20, а метрика для достижения точки E во внешней сети - 100. В G внутренняя метрика для достижения точки выхода - 30, а внешняя метрика - 100.
Как реализация будет использовать оба этих показателя? Следует ли протоколу выбирать ближайшую точку выхода или, скорее, самую низкую внутреннюю метрику? Это позволит оптимизировать использование локальной сети и потенциально деоптимизировать использование сетевых ресурсов во внешней сети. Должен ли протокол выбирать точку выхода, ближайшую к внешнему назначению, или, скорее, самую низкую внешнюю метрику? Это позволит оптимизировать сетевые ресурсы во внешней сети, потенциально за счет деоптимизации использования сетевых ресурсов в локальной сети. Или протоколу следует попытаться каким-то образом объединить эти две метрики, чтобы максимально оптимизировать использование ресурсов в обеих сетях?
Некоторые протоколы предпочитают всегда оптимизировать локальные или внешние ресурсы, в то время как другие предоставляют операторам возможность конфигурации. Например, протокол может позволять переносить внешние метрики в виде метрик разных типов, при этом один тип считается большим, чем любая внутренняя метрика (следовательно, сначала предпочтение отдается самой низкой внутренней метрике и использование внешней метрики в качестве средства разрешения конфликтов), а другой тип - это когда внутренние и внешние метрики считаются эквивалентными (следовательно, добавляются внутренние и внешние метрики для принятия решения о пути).
Перераспределение и петли маршрутизации
В приведенном выше обсуждении вы могли заметить, что места назначения, перераспределенные с одного протокола на другой, всегда выглядят так, как будто они подключены к перераспределяющему маршрутизатору. По сути, перераспределение действует как форма резюмирования (что означает, что удаляется информация о топологии, а не информация о достижимости), как описано ранее в этой серии статей. Хотя этот момент не является критическим для показателей перераспределения, важно учитывать способность плоскости управления выбирать оптимальный путь. В некоторых конкретных случаях деоптимизация может привести к тому, что плоскость управления не сможет выбрать пути без петель. Рисунок 13 демонстрирует это.
Чтобы построить петлю маршрутизации в этой сети:
Маршрут к хосту A перераспределяется от протокола X к Y с вручную настроенной метрикой 1.
Маршрутизатор E предпочитает маршрут через C с общей метрикой (внутренней и внешней) 2.
Маршрутизатор D предпочитает маршрут через E с общей метрикой 3.
Маршрутизатор D перераспределяет маршрут к хосту A в протокол X с существующей метрикой 3.
Маршрутизатор B имеет два маршрута к A: один со стоимостью 10 (напрямую) и один с метрикой от 4 до D.
Маршрутизатор B выбирает путь через D, создавая петлю маршрутизации.
И так далее (цикл будет продолжаться, пока каждый протокол не достигнет своей максимальной метрики).
Этот пример немного растянут для создания цикла маршрутизации в тривиальной сети, но все циклы маршрутизации, вызванные перераспределением, схожи по своей структуре. В этом примере важно, что была потеряна не только топологическая информация (маршрут к A был суммирован, что, с точки зрения E, было непосредственно связано с C), но и метрическая информация (исходный маршрут со стоимостью 11 перераспределяется в протокол Y со стоимостью 1 в C). Существует ряд общих механизмов, используемых для предотвращения формирования этой петли маршрутизации.
Протокол маршрутизации всегда может предпочесть внутренние маршруты внешним. В этом случае, если B всегда предпочитает внутренний маршрут A внешнему пути через D, петля маршрутизации не образуется. Многие протоколы маршрутизации будут использовать предпочтение упорядочивания при установке маршрутов в локальную таблицу маршрутизации (или базу информации о маршрутизации, RIB), чтобы всегда отдавать предпочтение внутренним маршрутам над внешними. Причина этого предпочтения состоит в том, чтобы предотвратить образование петель маршрутизации этого типа.
Фильтры можно настроить так, чтобы отдельные пункты назначения не перераспределялись дважды. В этой сети маршрутизатор D может быть настроен для предотвращения перераспределения любого внешнего маршрута, полученного в протоколе Y, в протокол X. В ситуации, когда есть только два протокола (или сети) с перераспределенной между ними информацией плоскости управления, это может быть простым решением. В случаях, когда фильтры необходимо настраивать для каждого пункта назначения, управление фильтрами может стать трудоемким. Ошибки в настройке этих фильтров могут либо привести к тому, что некоторые пункты назначения станут недоступными (маршрутизация черных дыр), либо приведет к образованию петли, потенциально вызывающей сбой в плоскости управления.
Маршруты могут быть помечены при перераспределении, а затем отфильтрованы на основе этих тегов в других точках перераспределения. Например, когда маршрут к A перераспределяется в протокол Y в C, маршрут может быть административно помечен некоторым номером, например, 100, чтобы маршрут можно было легко идентифицировать. На маршрутизаторе D можно настроить фильтр для блокировки любого маршрута, помеченного тегом 100, предотвращая образование петли маршрутизации. Многие протоколы позволяют маршруту нести административный тег (иногда называемый сообществом или другим подобным именем), а затем фильтровать маршруты на основе этого тега.
Начиная своё знакомство с iptables, следует рассказать про netfilter. Netfilter - это набор программных хуков внутри ядра Linux, которые позволяют модулям ядра регистрировать функции обратного вызова от стека сетевых протоколов.
Хук (hook) - это программный элемент, который позволяет перехватывать функции обратного вызова в чужих процессах.
Netfilter является основой для построения Firewall'а в дистрибутивах Linux, но для того, чтобы он заработал в полную силу его нужно настроить. Как раз с помощью iptables мы можем взаимодействовать с хуками Netfilter и создавать правила фильтрации, маршрутизации, изменения и транслирования пакетов. Иногда про Netfilter забывают и называют эту связку просто iptables.
Введение
Итак, iptables - это утилита для настройки программного Firewall'а (межсетевого экрана) linux, которая предустанавливается по умолчанию во все сборки Linux, начиная с версии 2.4. Запускается iptables из командной строки (CLI) под пользователем с правами root и настраивается там же.
Можете в этом убедиться, набрав команду iptables -V в командной строке, она покажет вам версию iptables.
Почему же iptables всем так понравился, что его стали включать во все сборки Linux? Всё дело в том, что iptables действительно очень прост в настройке. С помощью него можно решить следующие задачи:
Настроить stateless и statefull фильтрацию пакетов версий IPv4 и IPv6;
Stateless - это фильтрация, основанная на проверке статических параметров одного пакета, например: IP адрес источника и получателя, порт и другие не изменяющиеся параметры.
Statefull - это фильтрация, основанная на анализе потоков трафика. С помощью нее можно определить параметры целой TCP сессии или UDP потока.
Настраивать все виды трансляции IP адресов и портов NAT, PAT, NAPT;
Настроить политики QoS;
Производить различные манипуляции с пакетами, например - изменять поля в заголовке IP.
Прежде чем переходить к практике, давайте обратимся к теории и поймём саму логику iptables.
Логика и основные понятия iptables
Правила
Как и все файрволлы, iptables оперирует некими правилами (rules), на основании которых решается судьба пакета, который поступил на интерфейс сетевого устройства (роутера).
Ну допустим у нас есть сетевое устройство с адресом 192.168.1.1, на котором мы настроили iptables таким образом, чтобы запрещать любые ssh (порт 22) соединения на данный адрес. Если есть пакет, который идёт, например, с адреса 192.168.1.15 на адрес 192.168.1.1 и порт 22, то iptables скажет: “Э, нет, брат, тебе сюда нельзя” и выбросит пакет.
Или вообще ничего не скажет и выбросит, но об этом чуть позже :)
Каждое правило в iptables состоит из критерия, действия и счётчика
Критерий - это условие, под которое должны подпадать параметры пакета или текущее соединение, чтобы сработало действие. В нашем примере – этим условием является наличие пакета на входящем интерфейсе, устанавливающего соединение на порт 22
Действие - операция, которую нужно проделать с пакетом или соединением в случае выполнения условий критерия. В нашем случае – запретить пакет на порт 22
Счетчик - сущность, которая считает сколько пакетов было подвержено действию правила и на основании этого, показывает их объём в байтах.
Цепочки
Набор правил формируется в цепочки (chains)
Существуют базовые и пользовательские цепочки.
Базовые цепочки - это набор предустановленных правил, которые есть в iptables по умолчанию.
Существует 5 базовых цепочек и различаются они в зависимости от того, какое назначение имеет пакет. Имена базовых цепочек записываются в верхнем регистре.
PREROUTING - правила в этой цепочке применяются ко всем пакетам, которые поступают на сетевой интерфейс извне;
INPUT - применяются к пакетам, которые предназначаются для самого хоста или для локального процесса, запущенного на данном хосте. То есть не являются транзитными;
FORWARD - правила, которые применяются к транзитным пакетам, проходящими через хост, не задерживаясь;
OUTPUT - применяются к пакетам, которые сгенерированы самим хостом;
POSTROUTING - применяются к пакетам, которые должны покинуть сетевой интерфейс.
В базовых цепочках обязательно устанавливается политика по умолчанию, как правило – принимать (ACCEPT) или сбрасывать (DROP) пакеты. Действует она только в цепочках INPUT, FORWARD и OUTPUT
Таблица
Таблицы - это набор базовых и пользовательских цепочек. В зависимости от того, в какой таблице находится цепочка правил, с пакетом или соединением производятся определённые действия
Существует 5 таблиц:
filter - таблица, выполняющая функции фильтрации пакетов по определённым параметрам. В большинстве случаев вы будете использовать именно её. Содержит следующие встроенные цепочки: FORWARD, INPUT, OUTPUT;
raw - чтобы понять предназначение этой таблицы, нужно понимать логику работы statefull firewall'а. Дело в том, что по умолчанию, iptables рассматривает каждый пакет как часть большого потока и может определить какому соединению принадлежит тот или иной пакет. С помощью raw таблицы настраиваются исключения, которые будут рассматривать пакет как отдельную, ни к чему не привязанную сущность. Содержит следующие встроенные цепочки: INPUT, OUTPUT;
nat - таблица, предназначенная целиком по функции трансляции сетевых адресов. Содержит следующие встроенные цепочки: PREROUTING, OUTPUT, POSTROUTING;
mangle - таблица, предназначенная для изменения различных заголовков пакета. Можно, например, изменить TTL, количество hop'ов и другое. Содержит следующие встроенные цепочки: PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING>;
security - используется для назначения пакетам или соединениям неких меток, которые в дальнейшем может интерпретировать SElinux.
Теперь мы можем представить себе логику iptables в виде следующей схемы:
Действия
Ну и последнее, о чем нужно рассказать, прежде чем мы с вами начнем писать правила - это target. В контексте iptables, target - это действие, которое нужно проделать с пакетом или соединением, которое совпало с критериями правила.
Итак, наиболее используемые действия:
ACCEPT - разрешить прохождение пакета;
DROP - тихо выбросить пакет, не сообщая причин;
QUEUE - отправляет пакет за пределы логики iptables, в стороннее приложение. Это может понадобиться, когда нужно обработать пакет в рамках другого процесса в другой программе;
RETURN - остановить обработку правила и вернуться на одно правило назад. Это действие подобно break'у в языке программирования.
Помимо этих четырех, есть ещё масса других действий, которые называются расширенными (extension modules):
REJECT - выбрасывает пакет и возвращает причину в виде ошибки, например: icmp unreachable;
LOG - просто делает запись в логе, если пакет соответствует критериям правила;
Есть действия, которые доступны только в определенной цепочке и таблицах, например, только в табоице nat и цепочках OUTPUT и PREROUTING доступно действие DNAT, которое используется в NAT'ировании и меняет Destination IP пакета. В той же таблице, только в цепочке POSTRUNNING доступно действие SNAT, меняющее Source IP пакета.
Отдельно остановимся на действии MASQUERADE, которое делает то же самое что SNAT, только применяется на выходном интерфейсе, когда IP адрес может меняться, например, когда назначается по DHCP.
Пишем правила
Отлично, теперь давайте приближаться к практике. Как Вы уже поняли, мы будем писать правила, поэтому нам нужно понять, как они строятся.
Итак, допустим у нас есть хост с адресом 192.168.2.17, на 80 (http) порту которого, работает вэб-сервер Apache. Мы заходим на адрес http://192.168.2.17 с хоста с адресом 192.168.2.2 и всё отлично работает:
А теперь открываем командную строку под root на хосте 192.168.2.17 и пишем:
iptables -A INPUT -p tcp -s 192.168.2.2 --dport 80 -j DROP
Попробуем открыть открыть http://192.168.2.17 ещё раз:
Упс, не работает. Давайте теперь разбираться, что мы наделали?
Всё очень просто – данной командой мы:
вызвали утилиту iptables;
-A - этим ключом мы указали, что нужно добавить правило к существующей цепочке;
INPUT - указали цепочку, к которой хотим добавить правило;
-p tcp - явно указали протокол TCP. Здесь также можно указывать другие протоколы (udp, icmp, sctp), или номер протокола, инкапсулируемого в IP (17 – udp, 6 – tcp и др.);
-s 192.168.2.2 - указали, какой адрес источника должен быть у пакета, который мы хотим фильтровать;
--dport 80 - указали адресованные какому порту пакеты мы хотим фильтровать. В данном случае - 80, на котором работает наш сервер Apache.
-j DROP - указали что нужно сделать с пакетом, параметры которого совпали с данными критериями. В данном случае – просто тихо выбросить.
Таким образом, мы заблокировали все пакеты с адреса 192.168.2.2 на локальный порт 80 и тем самым закрыли доступ к нашему серверу Apache для данного хоста.
Обратите внимание – мы не указывали таблицу, в цепочки которой мы хотим добавить правило. Поэтому, по умолчанию таблица - filter. Для явного указания таблицы нужно перед указанием цепочки ввести ключ -t или (--table)
Чтобы открыть доступ опять просто поменяем ключ -A в правиле на -D, тем самым мы удалим данное правило из iptables.
Синтаксис iptables
Друзья, на самом деле в iptables очень богатый синтаксис правил. Полный список ключей и параметров вы можете найти в официальном гайде на iptables.org. Мы же приведём самые “ходовые” опции, которыми вы, вероятно, будете пользоваться. Чтобы вы не запутались, мы приводим их в табличках ниже.
Для удобства, в iptables реализовано очень много сокращений для разных ключей. Например, мы писали ключ -A вместо полного --append, -p вместо полного --proto и -s вместо полного --source, дальше мы покажем, что ещё можно сократить и где применить.
Начнём с команд для редактирования правил и цепочек – добавления, удаления, замены и так далее:
коротко
синтаксис правила
применение
-A
--append {цепочка правила}
добавить правило к цепочке (в самое начало)
-D
--delete {цепочка правила}
удалить правило из цепочки
-D
--delete {номер правила в цепочке}
удалить правило из цепочки по номеру (1 - x)
-I
--insert {номер правила вцепочке}
вставить правило в цепочку по номеру (1 - x)
-R
--replace {номер правила вцепочке}
заменить правило в цепочке по номеру (1 - x)
-X
--delete-chain {цепочка}
удалить цепочку (только для пользовательских)
-E
--rename-chain {старое имя цепочки} {новое имя цепочки}
переименовать цепочку
-N
--new {имя цепочки}
создание новой пользовательской цепочки
-C
--check {правило цепочки}
проверит наличие правила в цепочке
-F
--flush {цепочка}
удаляет все правила в цепочке, если цепочка не указана – удалятся все правила
-Z
--zero {цепочка} {номер правила вцепочке}
обнуляет все счётчики пакетов и байтов в цепочке или всех цепочках
-P
--policy {цепочка} {номер правила вцепочке}
изменяет политику по умолчанию, она должна основываться на встроенном target’e {ACCEPT, DROP, QUEUE}
Продолжим синтаксисом настройки правил – на каком сетевом интерфейсе следить за пакетами, какой протокол проверять, адрес источника, назначения и так далее.
Кстати, перед некоторыми параметрами можно ставить восклицательный знак - !, означающее логическое НЕ. В таблице мы пометим такие параметры таким значком – (!)
коротко
синтаксис опции
применение
-p
(!) --proto {протокол}
протокол {tcp, udp, udplite, icmp, esp, ah, sctp} или номер протокола {16,7}, all - все протоколы
-4
--ipv4
указывает версию протокола ipv4
-6
--ipv6
указывает версию протокола ipv6
-s
(!) --source {адрес/маска}
указывает ip адрес источника
-d
(!) --destination {адрес/маска}
указывает ip адрес назначения
-m
--match
включает дополнительные модули, явно задающимися данным ключем. например <code>m limit --limit 3/min</code> - установит лимит на количество пакетов в минуту
-f
(!) --fragment
включает обработку фрагментированных пакетов, в которых нет параметров изначального полного пакета, содержащихся в первом фрагменте пакета
-i
(!) --in-interface {имя интерфейса}
обрабатывает только входящие пакеты, прилетающие на сетевой интерфейс {имя интерфейса}
-o
(!) --out-interface {имя интерфейса}
обрабатывает только исходящие пакеты, прилетающие на сетевой интерфейс {имя интерфейса}
--set-counters {пакеты} {байты}
включает счётчик для ключей--insert, --append, --replace
Теперь рассмотрим опции для действий, которые должны сработать по совпадению критериев:
коротко
синтаксис опции
применение
-j
--jump {действие}
применяет одно из действий accept, drop, reject и другие
-g
--goto {цепочка}
переходит к другой цепочке правил
Теперь рассмотрим какую информацию мы можем вытянуть с помощью iptables и какие опции для этого нужно использовать:
коротко
синтаксис команды
применение
-l
--list {цепочка} {номер правила}
показывает правила в цепочке или всех цепочках. по умолчанию покажет таблицу filter
-s
--list-rules{цепочка} {номер правила}
показывает текст правила в цепочке или всех цепочках
-n
--numeric
покажет параметры правила в числовом виде. например не порт будет не http, а 80
-v
--verbose
выводит более подробную информацию
-v
--version
покажет версию iptables
-x
--exact
покажет точные значения числовых параметров
--line-numbers
покажет номера правил
Для быстрого получения информации о настроенных правилах и о метриках их срабатывания, часто применяется команда, комбинирующая 3 ключа - iptables -nLv. Например, для настроенного нами ранее правила – вывод будет такой:
Пример посложнее
Давайте рассмотрим ещё один пример. Допустим у нас во локальной сети есть хост 192.168.2.19 с сервером Apache. Мы хотим сделать его доступным из Интернета. Для этого нам нужно воспользоваться возможностями таблицы nat и написать правило, которое будет перенаправлять входящий http трафик на внешний интерфейс (пусть будет enp0s3 с адресом 101.12.13.14) и порт 80 на адрес нашего сервера внутри сети и 80 порт – 192.168.2.19:80. По сути – нужно сделать проброс портов.
Напишем такое правило:
iptables -t nat -A PREROUTING -i enp0s3 -p tcp --dport 80 -j DNAT --to 192.168.2.19:80
Теперь если мы перейдём по адресу http://101.12.13.14, то должны попасть на наш Apache.
Возможности iptables настолько обширны, что мы могли бы начать писать новую Базу знаний по нему. В статье мы показали лишь базовые варианты применения. Это действительно великий инструмент и освоить его не так уж сложно. Надеюсь, данная статья Вам в этом поможет. Спасибо за внимание!