IP TABLES - delsi
Kovar Jan
Kovar_J na tese.cz
Pondělí Říjen 7 09:46:58 CEST 2002
Dobry den.
Zahajil jsem teoretickou pripravu na instalaci FW. Ctu dokumentaci ip-tables
howto a narazil jsem na nekolik veci, kterym nerozumim a se kterymi mi,
doufam, poradite.
Instalace na RH 7.1:
Ja to sice budu pouzivat na RH 7.3, ale asi to bude obecne. V howto se pise,
ze v Redhat distribuci sice iptables je, ale pouziva se standardne ipchains.
Pak nasleduje popis jak vypnout ipchains a zapnout iptables. Pak je tam
kopirovani konfiguracnich souboru a konci to nakonec odinstalaci jak
ipchains, tak iptables (aby mohlo byt nainstalovano ze zdrojaku)
To je hned nekolik veci najednou, ktere nechapu:
Proc mam udelat: chkconfig --level 0123456 ipchains off
kdyz stejne budu delat rpm -e ipchains? Neni to zbytecne?
Ma valny vyznam instalovat iptables ze zdrojaku? Ja jsem planoval, ze tam
nastavim up2date a nebudu se o to moc starat, protoze ani nebudu mit cas.
(Staram se zdarma o jedno gymnazium)
Posunu se v howto dal a dojdu ke connection tracking. Je tam priklad:
tcp 6 117 SYN_SENT src=192.168.1.6 dst=192.168.1.9 sport=32775 dport=22
[UNREPLIED] src=192.168.1.9 dst=192.168.1.6 sport=22 dport=32775 use=2
Pise se, ze prvni v prikladu je protokol, za nim je cislo protokolu v
desitkovem kodovani (desitkove soustave?) Tady mi asi chybi nejake zakladni
znalosti. TCP ma cislo 6? Pozdeji v textu je priklad pro UDP, kteremu
odpovida cislo 17. Muzete me nekdo nasmerovat na nejakou tabulku, kde jsou
popsana cisla protokolu? Pripadne na mechanismus, jak se prevadi protokol na
cislo? K cemu je dobre cislovani protokolu? Ma to nejake vyuziti v praxi?
Posledni vec je spis dotaz na ujisteni se:
U REDIRECT target se pise, ze je vhodny, pokud chci udelat transparent
proxy. Tohle je mi celkem jasne. Pokud mam sit s adresami napr.
192.168.10.0/255.255.255.0 a pouzivam SNAT, pouziju jej i v tomto pripade,
kdy pouzivam REDIRECT na proxy? IMHO uz ne, protoze ven pujde proxy. Chapu
to dobre? (resp. vyjadril jsem se jasne?)
Diky za kazdou radu. Uvitam i tipy na dalsi materialy k iptables. Vzhledem k
tomu, ze budu mit asi hrozne malo casu na prakticke testy a instalaci, tak v
tomto pripade musim dat prednost priprave "na suchu". :-)
TNX
Další informace o konferenci Linux