Linux: IPTABLES parte 5

<< [vai a] Linux: IPTABLES parte 4  -  >> [vai a] Linux: IPTABLES parte 6


Cos’è iptables? [Parte 5]

Come funziona – opzioni di Parametro

Per costruire una regola, alcuni comandi iptables inclusi quelli usati per aggiungere, appendere, eliminare, inserire o sostituire le regole in una catena, richiedono vari parametri.

-c — Resetta i contatori di una regola. Questo parametro accetta le opzioni PKTS e BYTES per specificare il contatore da resettare.

-d — Imposta l’hostname, l’indirizzo IP o la rete di destinazione di un pacchetto intercettato dalla regola. Nel caso di reti sono supportati i seguenti formati di indirizzo (IP/netmask) :
N.N.N.N/M.M.M.M — Dove N.N.N.N è il range di indirizzi IP e M.M.M.M è la netmask.
N.N.N.N/M — Dove N.N.N.N è il range di indirizzi IP e M è la bitmask.

-i — Imposta la scheda di rete di ingresso (p.e. eth0 o ppp0). Con la tabella filter questo parametro può essere usato solo con le catene INPUT e FORWARD; con le tabelle nat e mangle solo con la catena PREROUTING.

Supporta anche le seguenti opzioni:
- Punto esclamativo (!) — Inverte la direttiva escludendo dalla regola le interfacce specificate.
- Somma (+) — Un carattere "jolly" usato per individuare tutte le interfacce che coincidono con la stringa specificata. Per esempio, il parametro -i eth+ applicherà la regola a tutte le schede Ethernet escludendo le altre, come ppp0.
Se l’opzione -i non ha argomento allora la regola si applica a tutte le interfacce presenti.

-j — Salta al target (azione) specificato se il pacchetto è intercettato dalla regola.
I target standard sono ACCEPT, DROP, QUEUE, e RETURN.

-o — Imposta la scheda di rete di uscita. Questa opzione si applica solo alle catene OUTPUT e FORWARD della tabella filter e alla catena POSTROUTING delle tabelle nat e mangle. L’opzione accetta gli stessi parametri dell’opzione -i (che specifica la scheda di ingresso).

-p — Imposta il protocollo IP. Alcuni valori possibili sono icmp, tcp, udp o all oppure un valore numerico corrispondente. Più in generale si può usare un qualsiasi protocollo elencato nel file /etc/protocols.
Il valore "all" applica la regola a tutti i protocolli supportati ed è il valore predefinito, se una regola non specifica alcun protocollo.

-s — Imposta il mittente su un pacchetto usando la stessa sintassi dell’opzione destinazione (-d).

Come funziona – Match Option

Per vari protocolli di rete esistono delle match option (o opzioni di corrispondenza), configurabili per creare regole per protocolli specifici. Per usare queste opzioni occorre specificare il tipo di protocollo nel comando iptables. Per esempio, -p applica le opzioni al protocollo specificato. Notare che è possibile usare anche l’ID di protocollo. Per esempio, le due regole seguenti hanno lo stesso significato:
iptables -A INPUT -p icmp --icmp-type any -j ACCEPT
iptables -A INPUT -p 5813 --icmp-type any -j ACCEPT

<< [vai a] Linux: IPTABLES parte 4  -  >> [vai a] Linux: IPTABLES parte 6



Migliora il tuo business. Partecipa ai nostri Corsi!

I nostri corsi OnLine ed in Aula sono studiati per garantire il miglior apprendimento e sono finalizzati a "creare professionisti nel settore".
Questi i prossimi corsi in calendario:

Corsi 2019

Corso Data Tipo