iptables komanda sətri yardım proqramıdır və Linux əsaslı əməliyyat sistemlərində ən çox istifadə olunan firewall vasitəsidir. Bu, Linux kerneli daxilində paket filtrləmə, şəbəkə ünvan tərcüməsi (NAT) və paket manipulyasiya imkanlarını təmin edən netfilter freymvörkünün bir hissəsidir. iptables administratorlara Linux sistemində şəbəkə trafikinə nəzarət etmək üçün firewall qaydalarını və siyasətlərini müəyyən etməyə və idarə etməyə imkan verir.
iptables-in əsas xüsusiyyətləri və konsepsiyalarına aşağıdakılar daxildir:
- Cədvəllər: iptables firewall qaydalarını hər biri müəyyən bir məqsədə xidmət edən müxtəlif cədvəllərdə təşkil edir. Əsas cədvəllər bunlardır:
- Filtr: Paket filtrləmə qərarları üçün istifadə olunur (qəbul edin, buraxın və ya rədd edin).
- NAT: Şəbəkə ünvanının tərcüməsini idarə edir, port yönləndirməsini və maskaradını təmin edir.
- Mangle: Paket başlıqlarını dəyişdirmək və ya xüsusi işləmə üçün paketləri işarələmək kimi paket modifikasiyasına imkan verir.
- Raw: Xüsusi paketlər üçün əlavə, erkən mərhələdə filtrləmə mexanizmini təmin edir.
- Zəncirlər: Hər bir cədvəl əvvəlcədən təyin edilmiş zəncirlərdən və ya istifadəçi tərəfindən müəyyən edilmiş zəncirlərdən ibarətdir. Zəncirlər daxil olan və ya gedən paketlərə qarşı ardıcıl olaraq qiymətləndirilən bir sıra qaydalardan ibarətdir. Əsas quraşdırılmış zəncirlər bunlardır:
- INPUT: Yerli sistem üçün nəzərdə tutulan daxil olan paketlər üçün.
- ÇIXIŞ: Yerli sistemdən çıxan paketlər üçün.
- FORWARD: Sistemdən başqa təyinat yerinə keçən paketlər üçün.
- Qaydalar: Qaydalar paketin filterlənməsi və ya dəyişdirilməsi üçün xüsusi şərtləri müəyyən edir. Onlar müxtəlif uyğun gələn meyarlardan və əlaqəli fəaliyyətlərdən ibarətdir. Ümumi uyğunluq meyarlarına mənbə/təyinat IP ünvanları, port nömrələri, protokollar, paketlər və s. daxildir. Fəaliyyətlərə qəbul etmək, buraxmaq, rədd etmək, daxil olmaq və başqa zəncirə keçmək daxildir.
- Şəbəkə Ünvanının Tərcüməsi (NAT): iptables şəxsi və ictimai şəbəkələr arasında IP ünvanlarının və portların tərcüməsinə imkan verən NAT-ı yerinə yetirə bilər. O, port yönləndirilməsi, şəbəkə maskalanması (mənbə NAT) və təyinat NAT kimi funksiyaları təmin edir.
- Bağlantının İzlənməsi: iptables şəbəkə əlaqələrini izləyir və onları xüsusi vəziyyətlərə təyin edir . Bu izləmə qabiliyyəti administratorlara şəbəkə trafiki üzərində daha ətraflı nəzarəti təmin edərək, əlaqə vəziyyətinə əsaslanan qaydalar yaratmağa imkan verir.
İnzibatçılar adətən firewall qaydalarını konfiqurasiya etmək və idarə etmək üçün iptables komanda sətri alətindən istifadə edirlər.
Qayda əlavə etmək üçün:
iptables -A <CƏDVƏL_ADı> -i <GİRİŞ_İNTƏRFESİ> -p <PROTOKOL> --dport <HƏDƏF_PORT> -j <ƏMƏLİYYAT>Məsələn:
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPTBu nümunədə, INPUT cədvəlinə gələn və eth0 adlı interfeysdən gələn TCP protokolu ilə 80 portuna gedən bütün trafik qəbul edilir.
Qaydanı dəyişmək üçün:
Qaydanı dəyişmək üçün əvvəlcə iptables -L --line-numbers ilə mövcud qaydaların siyahısını göstərmək və sonra onları nömrə ilə istifadə etmək lazımdır. Məsələn:
iptables -R INPUT 2 -i eth0 -p tcp --dport 80 -j ACCEPTBu nümunədə, INPUT cədvəlində 2-ci qayda dəyişdirilir.
Qaydanı silmək üçün:
Qaydanı silmək üçün də yine iptables -L --line-numbers ilə qaydaların siyahısını əldə etmək və sonra onu nömrə ilə silmək kifayətdir:
iptables -D INPUT 2Bu nümunədə, INPUT cədvəlində 2-ci qayda silinir.
iptables istifadə etdikdə düzgün cədvəlin və həmçinin düzgün sintaksisinin olduğundan əmin olun. Yalnızca dəyişiklikləri etdiyiniz zaman iptables-save ilə yaddaşda saxlamağınız tövsiyə olunur. Bu yolla, sistem yenidən başladıqda qaydalarınız saxlanılır.
Qeyd etmək vacibdir ki, iptables güclü və çox yönlü bir firewall vasitəsi olsa da, mürəkkəb sintaksis və qayda idarəçiliyinə görə dik öyrənmə əyrisinə sahib ola bilər. Alternativ olaraq, Red Hat Enterprise Linux kimi bəzi Linux paylamaları konfiqurasiyanı asanlaşdıran və şəbəkə trafiki üzərində daha dinamik nəzarəti təmin edən daha yüksək səviyyəli firewall idarəetmə vasitəsi kimi firewalld-u qəbul etmişdir.
