OnWorks Linux و Windows Online WorkStations

الشعار

استضافة مجانية على الإنترنت لمحطات العمل

<السابق | المحتويات | التالي>

7.4.1. سلوك Netfilter‌


تستخدم Netfilter أربعة جداول مميزة ، والتي تخزن القواعد التي تنظم ثلاثة أنواع من العمليات على الحزم:

تصفية تتعلق بقواعد التصفية (قبول حزمة أو رفضها أو تجاهلها) ؛

نات (ترجمة عنوان الشبكة) تتعلق بترجمة عناوين المصدر أو الوجهة ومنافذ الحزم ؛

مفقود تتعلق بالتغييرات الأخرى التي تم إجراؤها على حزم IP (بما في ذلك بنود الخدمة -نوع الخدمة—الحقل والخيارات) ؛

الخام يسمح بإجراء تعديلات يدوية أخرى على الحزم قبل أن تصل إلى نظام تتبع الاتصال.

يحتوي كل جدول على قوائم قواعد تسمى السلاسل. يستخدم جدار الحماية سلاسل قياسية للتعامل مع الحزم بناءً على ظروف محددة مسبقًا. يمكن للمسؤول إنشاء سلاسل أخرى ، والتي سيتم استخدامها فقط عند إحالتها بواسطة إحدى السلاسل القياسية (إما بشكل مباشر أو غير مباشر).

تصفية يحتوي الجدول على ثلاث سلاسل قياسية:

INPUT: تتعلق بالحزم التي وجهتها هو جدار الحماية نفسه ؛

OUTPUT: تتعلق بالحزم المنبعثة من جدار الحماية ؛

إلى الأمام: تتعلق بالحزم التي تمر عبر جدار الحماية (والتي ليست مصدرها ولا وجهتها).

نات يحتوي الجدول أيضًا على ثلاث سلاسل قياسية:

PREROUTING: لتعديل الحزم بمجرد وصولها ؛

POSTROUTING: لتعديل الحزم عندما تكون جاهزة للذهاب في طريقها ؛

OUTPUT: لتعديل الحزم التي تم إنشاؤها بواسطة جدار الحماية نفسه.

تم توضيح هذه السلاسل في الشكل 7.1 ، "كيفية استدعاء سلاسل Netfilter"[الصفحة 155].


صورة


الشكل 7.1 كيفية نيتفلتر سلاسل Called


كل سلسلة عبارة عن قائمة من القواعد ؛ كل قاعدة عبارة عن مجموعة من الشروط وإجراء يتم تنفيذه عند استيفاء الشروط. عند معالجة حزمة ، يقوم جدار الحماية بفحص السلسلة المناسبة ، قاعدة تلو الأخرى ، وعندما يتم استيفاء شروط قاعدة واحدة ، يقفز (ومن ثم -j الخيار في الأوامر) إلى الإجراء المحدد لمواصلة المعالجة. السلوكيات الأكثر شيوعًا هي السلوكيات المعيارية وتوجد أفعال مخصصة لهم. يؤدي اتخاذ أحد هذه الإجراءات القياسية إلى مقاطعة معالجة السلسلة ، نظرًا لأن مصير الحزم مغلق بالفعل (باستثناء استثناء مذكور أدناه). المدرجة أدناه هي نيتفلتر الإجراءات.

أقبل: اسمح للحزمة بالذهاب في طريقها.

رفض: رفض الحزمة التي تحتوي على حزمة أخطاء بروتوكول رسائل التحكم في الإنترنت (ICMP) (ملف - رفض مع نوع الخيار يبتابليس يحدد نوع الخطأ المراد إرساله).

إسقاط: حذف (تجاهل) الحزمة.

LOG: تسجيل الدخول (عبر أن syslogd) رسالة مع وصف الحزمة. لاحظ أن هذا الإجراء لا يقطع المعالجة ، ويستمر تنفيذ السلسلة عند القاعدة التالية ، ولهذا السبب يتطلب تسجيل الحزم المرفوضة كلاً من LOG وقاعدة REJECT / DROP. تشمل المعلمات الشائعة المرتبطة بالتسجيل ما يلي:

- --تسجيل مستوى، مع القيمة الافتراضية تحذير، يشير إلى سيسلوغ مستوى خطورة.

- --log بادئة يسمح بتحديد بادئة نصية للتمييز بين الرسائل المسجلة.

- تشير خيارات --log-tcp-sequence و --log-tcp-options و --log-ip-options إلى بيانات إضافية ليتم دمجها في الرسالة: على التوالي ، رقم تسلسل TCP وخيارات TCP وخيارات IP.

أولوغ: تسجيل رسالة عبر أولوجد، والتي يمكن تكييفها بشكل أفضل وأكثر كفاءة من أن syslogd للتعامل مع أعداد كبيرة من الرسائل ؛ لاحظ أن هذا الإجراء ، مثل LOG ، يعيد أيضًا المعالجة إلى القاعدة التالية في سلسلة الاستدعاء.

اسم_سلسلة: القفز إلى السلسلة المحددة وتقييم قواعدها.

عودة: مقاطعة معالجة السلسلة الحالية والعودة إلى سلسلة الاستدعاء ؛ في حال كانت السلسلة الحالية سلسلة قياسية ، فلا توجد سلسلة استدعاء ، لذا فإن الإجراء الافتراضي (المحدد بامتداد -P الخيار ل يبتابليس) بدلاً من ذلك.


SNAT (فقط في نات الجدول): تطبيق المصدر ترجمة عنوان الشبكة (سنات). تصف الخيارات الإضافية التغييرات الدقيقة المطلوب تطبيقها ، بما في ذلك --إلى المصدر العنوان:ميناء الخيار ، الذي يحدد عنوان IP المصدر الجديد و / أو المنفذ.


DTA (فقط في نات الجدول): تطبيق ترجمة عنوان شبكة الوجهة (دنات). تصف الخيارات الإضافية التغييرات التي يجب تطبيقها بالضبط ، بما في ذلك --إلى الوجهة العنوان:ميناء الخيار ، الذي يحدد عنوان IP الجديد للوجهة و / أو المنفذ.


تنكر (فقط في نات الجدول): تطبيق التنكر (حالة خاصة من مصدر NAT).


إعادة توجيه (فقط في نات table): إعادة توجيه حزمة بشفافية إلى منفذ معين لجدار الحماية نفسه ؛ يمكن استخدام هذا لإعداد وكيل ويب شفاف يعمل بدون أي تكوين من جانب العميل ، حيث يعتقد العميل أنه يتصل بالمستلم بينما تمر الاتصالات فعليًا عبر الوكيل. ال --إلى المنافذ الموانئ) يشير الخيار إلى المنفذ ، أو نطاق المنفذ ، حيث يجب إعادة توجيه الحزم.


إجراءات أخرى ، ولا سيما تلك المتعلقة مفقود الجدول ، خارج نطاق هذا النص. ال إيب تيبلس (8) و ip6tables (8) تحتوي صفحات الرجل على قائمة شاملة.



ما هي اللجنة الدولية لشؤون المفقودين؟ بروتوكول التحكم برسائل شبكة الانترنت (ICMP) هو البروتوكول المستخدم لنقل المعلومات المساعدة على الاتصالات. يختبر اتصال الشبكة مع بينغ com- mand الذي يرسل ICMP طلب صدى رسالة ، والتي من المفترض أن يرد المستلم عليها بواسطة ICMP صدى الرد رسالة. فهو يشير إلى جدار ناري يرفض الحزمة ، ويشير إلى وجود تجاوز في المخزن المؤقت للاستقبال ، ويقترح مسارًا أفضل للحزم التالية في الاتصال ، وما إلى ذلك. يتم تعريف هذا البروتوكول من خلال عدة مستندات RFC. كان RFC777 و RFC792 هما الأولان ، لكن العديد من الآخرين قاموا بتوسيع و / أو مراجعة البروتوكول.

http://www.faqs.org/rfcs/rfc777.html

http://www.faqs.org/rfcs/rfc792.html

كمرجع ، المخزن المؤقت للاستقبال هو منطقة ذاكرة صغيرة تخزن البيانات بين وقت وصولها من الشبكة والوقت الذي تتعامل فيه النواة معها. إذا كانت هذه المنطقة ممتلئة ، فلا يمكن تلقي بيانات جديدة وتشير ICMP إلى المشكلة بحيث يمكن للمرسل أن يبطئ معدل نقله (والذي يجب أن يصل بشكل مثالي إلى التوازن بعد مرور بعض الوقت).

لاحظ أنه على الرغم من أن شبكة IPv4 يمكنها العمل بدون ICMP ، إلا أن ICMPv6 مطلوب بشكل صارم لشبكة IPv6 ، نظرًا لأنه يجمع بين العديد من الوظائف التي كانت ، في عالم IPv4 ، منتشرة عبر ICMPv4 ، بروتوكول عضوية مجموعة الإنترنت (IGMP) و بروتوكول تحليل العنوان (ARP). تم تعريف ICMPv6 في RFC4443.

http://www.faqs.org/rfcs/rfc4443.html

ما هي اللجنة الدولية لشؤون المفقودين؟ بروتوكول التحكم برسائل شبكة الانترنت (ICMP) هو البروتوكول المستخدم لنقل المعلومات المساعدة على الاتصالات. يختبر اتصال الشبكة مع بينغ com- mand الذي يرسل ICMP طلب صدى رسالة ، والتي من المفترض أن يرد المستلم عليها بواسطة ICMP صدى الرد رسالة. فهو يشير إلى جدار ناري يرفض الحزمة ، ويشير إلى وجود تجاوز في المخزن المؤقت للاستقبال ، ويقترح مسارًا أفضل للحزم التالية في الاتصال ، وما إلى ذلك. يتم تعريف هذا البروتوكول من خلال عدة مستندات RFC. كان RFC777 و RFC792 هما الأولان ، لكن العديد من الآخرين قاموا بتوسيع و / أو مراجعة البروتوكول.

http://www.faqs.org/rfcs/rfc777.html

http://www.faqs.org/rfcs/rfc792.html

كمرجع ، المخزن المؤقت للاستقبال هو منطقة ذاكرة صغيرة تخزن البيانات بين وقت وصولها من الشبكة والوقت الذي تتعامل فيه النواة معها. إذا كانت هذه المنطقة ممتلئة ، فلا يمكن تلقي بيانات جديدة وتشير ICMP إلى المشكلة بحيث يمكن للمرسل أن يبطئ معدل نقله (والذي يجب أن يصل بشكل مثالي إلى التوازن بعد مرور بعض الوقت).

لاحظ أنه على الرغم من أن شبكة IPv4 يمكنها العمل بدون ICMP ، إلا أن ICMPv6 مطلوب بشكل صارم لشبكة IPv6 ، نظرًا لأنه يجمع بين العديد من الوظائف التي كانت ، في عالم IPv4 ، منتشرة عبر ICMPv4 ، بروتوكول عضوية مجموعة الإنترنت (IGMP) و بروتوكول تحليل العنوان (ARP). تم تعريف ICMPv6 في RFC4443.

http://www.faqs.org/rfcs/rfc4443.html

  

 

<السابق | المحتويات | التالي>

  

أفضل الحوسبة السحابية لنظام التشغيل في OnWorks: