Главная » Просмотр файлов » Э. Сивер, С. Спейнауэр, С. Фиггинс, Дж. П. Хекман - Linux cправочник - 3-е издание

Э. Сивер, С. Спейнауэр, С. Фиггинс, Дж. П. Хекман - Linux cправочник - 3-е издание (1114666), страница 33

Файл №1114666 Э. Сивер, С. Спейнауэр, С. Фиггинс, Дж. П. Хекман - Linux cправочник - 3-е издание (Э. Сивер, С. Спейнауэр, С. Фиггинс, Дж. П. Хекман - Linux cправочник - 3-е издание) 33 страницаЭ. Сивер, С. Спейнауэр, С. Фиггинс, Дж. П. Хекман - Linux cправочник - 3-е издание (1114666) страница 332019-05-08СтудИзба
Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 33)

По умолчанию устанавливаются права 0755.Алфавитный перечень команд—о [owner], —owner [owner]Установить владельца нового файла. Если владелец не задан, им становится пользователь root (доступно толькопривилегированному пользователю).—s, —stripУдалить таблицы имен.ipchains command [options]Команда системного администрирования. Изменение правил для IP-брандмауэра в ядре Linux ветви 2.2. Если ядроLinux 2.2 собрано с поддержкой брандмауэринга, то заголовки всех сетевых пакетов будут проверяться на соответствиеустановленным правилам с целью определения дальнейшихдействий, выполняемых над пакетом.

Правила брандмауэрасостоят из критерия отбора и цели, а также действия, совершаемого в случае соответствия пакета критерию. Правилаобъединяются в цепи (chains) и могут применяться для создания брандмауэра или просто наложения запрета на определенные виды сетевых соединений.Правила брандмауэра, организованные в виде цепей, представляют собой упорядоченные списки правил, которыепросматриваются ядром в поисках соответствия критерию.Существует три предопределенных цепи: input, output и forward. Входящие пакеты проверяются на наборе правил цепиinput. Выходящие пакеты проверяются на наборе правилцепи output. Если входящий пакет адресован какой-либодругой системе, он проверяется на наборе правил цепи forward.

У каждой из этих цепей есть цель по умолчанию длятех случаев, когда ни одно правило не может быть применено. Цепи, определяемые пользователем, могут выступать вкачестве целей для пакетов, но они не имеют правил, применяемых по умолчанию. Если ни одно из правил цепи, определенной пользователем, не может быть применено, пакетвозвращается той цепи, из которой произошел вызов, и проверяется на соответствие следующему правилу этой цепи.Команда ipchains изменяет правила только в процессе работы ядра системы. Когда система выключается, все изменения теряются.

Можно воспользоваться командой ipchainssave для создания сценария, который позже, будучи выполненным командой ipchains-restore, восстановит настройкибрандмауэра. Такие сценарии часто называются загрузочными, и во многие дистрибутивы входят сценарии инициализации ipchains, использующие результаты работы ipchains-save.219installipchainsГлава 3.

Команды Linux220ipchainsКомандыКоманда ipchains всегда выполняется с указанием одной изследующих команд:—A chain rules, —append chain rulesДобавить новые правила (rules) к цепи (chain).—I chain number rules, —insert chain number rulesВставить правила (rules) в цепь chain в указанной позиции number.-D chain rules, —delete chain rulesУдалить правила из цепи.

Правила могут определятьсясвоими порядковыми номерами в цепи, а также общимиописаниями правил.—R chain number rule, —replace chain number ruleЗаменить правило в цепи. Заменяемое правило определяется порядковым номером number.—С chain rule, —check chain ruleСоздать сетевой пакет, соответствующий критериям указанного правила и проверить, как этот пакет будет обработан цепью.

Правило должно описывать источник, адресат, протокол и интерфейс конструируемого пакета.-L [chain], —list $PARAMETERПеречислить правила цепи. Если цепь не указана, перечислить все правила всех цепей.-ML, —masquerading —listПеречислить маскируемые соединения.—MS tcp tcpfin udp, —masquerading —set tcp tcpfin udpУстановить значение интервала ожидания (в секундах)для соединений, маскируемых сокрытием адресов. Команда —MS всегда должна иметь три аргумента, определяющие значения интервалов для сеансов TCP, для сеансовTCP, в которых были получены пакеты FIN и пакеты UDP.-F chain, —flush chainУдалить все правила из указанной цепи.-Z [chain], —zero [chain]Обнулить счетчики байт и пакетов для указанной цепи.Если цепь не указана, произойдет обнуление для всех цепей, а при использовании совместно с командой —L передобнулением перечисляются текущие значения всех счетчиков.Алфавитный перечень команд—N chain, —new-chain chainСоздать новую цепь.

Указанное имя цепи должно бытьуникальным.-X [chain], —delete-chain chainУдалить указанную цепь. Могут быть удалены только цепи, определенные пользователем, при этом не должно существовать ссылок на удаляемую цепь. Если цепь не указана, удаляются все определенные пользователем цепи.—Р chain target, —policy chain targetУстановить правило для предопределенной цепи. Цельне может являться цепью.-h [icmp]Вывести краткую справку по использованию.

Если заданаргумент icmp, перечислить доступные ICMP-типы.ЦелиЦель может являться именем цепи либо одним из следующих специальных значений:ACCEPTПропустить пакет.DENYУдалить пакет.MASQСкрыть адреса для данного пакета. Источником пакетастановится текущая система. Ответные пакеты автоматически подвергаются обратному преобразованию. Это правило доступно только для цепи forward или пользовательских цепей, в которых осуществляется ретрансляцияпакетов.

Для использования этого правила необходимаподдержка сокрытия адресов ядром (IP masquerading).REDIRECT [port]Перенаправить входящий пакет в указанный локальныйпорт, на котором работает «прозрачный» прокси-сервер.Если номер порта равен 0 или порт не определен, целевойпорт пакета выступает в качестве порта перенаправления. Правило REDIRECT может применяться либо дляцепи input, либо для определяемых пользователем цепей,которые обрабатывают входящие пакеты. Ядро должнобыть собрано с поддержкой «прозрачного» прокси-сервера.221ipchainsГлава 3. Команды Linux222ipchainsREJECTУдалить пакет и отправить ICMP-сообщение отправителю пакета с уведомлением об удалении.RETURNВернуть управление в цепь, из которой произошел вызовданной цепи, и проверить следующее правило.

Если RETURN является целью предопределенной цепи, то используется правило по умолчанию для этой цепи.Параметры определения правилСледующие параметры служат для создания правил, которые применяются с вышеперечисленными командами. Правила обычно состоят из критериев отбора и целей, к которым происходит переход (—j) при совпадении. Со многимикритериями отбора может использоваться отрицание, определяемое восклицательным знаком (!). Такие правила будутвыбирать все пакеты, кроме тех, что удовлетворяют указанному критерию.-р [!] пате, —protocol [\}$PARAMETERОтбор пакетов протокола пате. Значение пате можетбыть строковым именем или соответствующим числом(из файла /etc/protocols).

Наиболее часто встречаютсязначения tcp, udp, icmp, а также ключевое слово all. Число 0 идентично all, это значение является стандартным,если иное не определяется явно данным параметром.—s [!] address[/mask] [!] [port], —source [!] address[/mask][!] [port]Отбор пакетов, приходящих с указанного адреса и порта.Адрес может указываться в виде имени узла, имени сетиили в виде IP-адреса. Необязательный параметр mask определяет сетевую маску и может быть представлен в классическом формате (например, /255.255.255.0) или в современной, более краткой форме (например, /24). Необязательный параметр port определяет порт TCP, UDP илиICMP. Порт может быть указан только в том случае, еслибыл использован параметр -р с указанием протокола tcp,udp или icmp. Для задания включающего диапазона портов или значений ICMP, которые будут использованы приотборе пакетов, применяется двоеточие (например, 20:25для портов с 20 по 25).

Если отсутствует первое значениеport, принимается значение по умолчанию, а именно 0.Если отсутствует второе значение, оно принимается равным 65535.Алфавитный перечень команд-d [!] address[/mask] [!] [port], —destination [!]address[/mask] [!] [port]Отбор пакетов с определенным адресом назначения (address). Синтаксис параметра идентичен синтаксису параметра —s.—j target, —jump targetПереход к специальной цели или к определенной пользователем цепи.

Если этот параметр для правила не указан,соответствие пакета правилу лишь увеличивает счетчикидля правила, а пакет передается для проверки на соответствие следующему правилу.—i [!] пате, —interface nameОтбор пакетов интерфейса пате[+]. пате - это сетевойинтерфейс системы (например, ethO или рррО). Символ«+» может использоваться для создания маски. Так, значению ррр+ соответствуют все имена интерфейсов, начинающиеся с ррр.[!] -f, [!]—fragment $PARAMETERПравило отбирает все, кроме первого, фрагменты разбитого на части пакета.—source-port [l]portОтбор пакетов с указанным значением исходного порта.Синтаксис задания портов см.

в описании параметра -s.—destination-port [I]portОтбор пакетов с указанным значением целевого порта.Синтаксис задания портов см. в описании параметра —s.—icmp-type [!] typeОтбор пакетов, которые имеют указанный (по имени илиномеру) тип ICMP.Параметры—b, —bidirectionalДобавить правило в цепи input и output, чтобы на соответствие этому правилу проверялись как входящие, так иисходящие пакеты.—V, —verboseРежим подробной диагностики.223ipchains224ipchainsГлава 3.

Команды Linux—n, —numericОтображать все IP-адреса и номера портов в численномвиде. По умолчанию, где возможно, отображаются имена.-1, —logПри соответствии пакета правилу создавать соответствующую запись в системном журнале.—t andmask xormask, —TOS andmask xormaskИзменить поле Type of Service (Тип службы) в заголовкепакета. Поле пакета TOS - первое, над которым выполняется операция логического умножения AND на восьмибитную маску andmask, затем результат используется в качестве первого операнда для XOR xormask, где xormask также восьмибитная маска.

Правила, которые могут повлиять на наименее значимый бит (LSB) поля TOS, не применяются.-х, —exactПроизводить подстановку чисел при перечислении (-L).Отображать точные значения счетчиков байт и пакетоввместо округленных.[!] -у, —synОтбор только входящих запросов на ТСР-соедкнение, т.е.запросов с установленным битом SYN и сброшенными битами АСК и FIN. Таким образом, входящие TCP-соединения блокируются, но не затрагиваются исходящие соединения.—line-numbersИспользуется совместно с командой —L. Добавлять номерстроки в начало каждого правила в перечислении, определяя, таким образом, позицию правила в цепи.—no-warningsОтключить выдачу предупреждений.ipchains-restore ipchains-restore [options]Команда системного администрирования.

Восстановить набор правил брандмауэра, ipchains-restore использует длявосстановления правил брандмауэра в каждой цепи команды, сгенерированные ipchains-save. Часто применяется всценариях инициализации для восстановления набора правил при загрузке системы.Алфавитный перечень командПараметры—f225pchains-restoreПринудительное обновление существующих цепей.-v Отображать правила по мере добавления.—р Если целью правила является несуществующая цепь,создать ее.ipchains-save [chain] [option]ipchains-saveКоманда системного администрирования.

Вывести правилаIP-брандмауэра, хранящиеся в памяти ядра, на стандартный вывод. Если цепь не указана, отображаются правила извсех цепей. Вывод обычно перенаправляется в файл, который затем может быть использован совместно с ipchains-restore для восстановления значений.Параметр—v Отображать правила дополнительно в стандартный поток ошибок (stderr), облегчая их просмотр при перенаправлении вывода.ipfwadm category command parameters [options]ipfwadm -M [-1-s] [options]Управление брандмауэром и работа с правилами, ведениеучетных записей и сокрытие IP-адресов для ядер Linuxветви 2.0. В ветви 2.2 эта команда заменена на ipchains, aipchains - на iptables в ветви 2.4.Существуют четыре категории правил: учет IP-пакетов,входной брандмауэр, выходной брандмауэр и ретранслирующий брандмауэр.

Характеристики

Тип файла
PDF-файл
Размер
13,55 Mb
Тип материала
Высшее учебное заведение

Список файлов книги

Свежие статьи
Популярно сейчас
Почему делать на заказ в разы дороже, чем купить готовую учебную работу на СтудИзбе? Наши учебные работы продаются каждый год, тогда как большинство заказов выполняются с нуля. Найдите подходящий учебный материал на СтудИзбе!
Ответы на популярные вопросы
Да! Наши авторы собирают и выкладывают те работы, которые сдаются в Вашем учебном заведении ежегодно и уже проверены преподавателями.
Да! У нас любой человек может выложить любую учебную работу и зарабатывать на её продажах! Но каждый учебный материал публикуется только после тщательной проверки администрацией.
Вернём деньги! А если быть более точными, то автору даётся немного времени на исправление, а если не исправит или выйдет время, то вернём деньги в полном объёме!
Да! На равне с готовыми студенческими работами у нас продаются услуги. Цены на услуги видны сразу, то есть Вам нужно только указать параметры и сразу можно оплачивать.
Отзывы студентов
Ставлю 10/10
Все нравится, очень удобный сайт, помогает в учебе. Кроме этого, можно заработать самому, выставляя готовые учебные материалы на продажу здесь. Рейтинги и отзывы на преподавателей очень помогают сориентироваться в начале нового семестра. Спасибо за такую функцию. Ставлю максимальную оценку.
Лучшая платформа для успешной сдачи сессии
Познакомился со СтудИзбой благодаря своему другу, очень нравится интерфейс, количество доступных файлов, цена, в общем, все прекрасно. Даже сам продаю какие-то свои работы.
Студизба ван лав ❤
Очень офигенный сайт для студентов. Много полезных учебных материалов. Пользуюсь студизбой с октября 2021 года. Серьёзных нареканий нет. Хотелось бы, что бы ввели подписочную модель и сделали материалы дешевле 300 рублей в рамках подписки бесплатными.
Отличный сайт
Лично меня всё устраивает - и покупка, и продажа; и цены, и возможность предпросмотра куска файла, и обилие бесплатных файлов (в подборках по авторам, читай, ВУЗам и факультетам). Есть определённые баги, но всё решаемо, да и администраторы реагируют в течение суток.
Маленький отзыв о большом помощнике!
Студизба спасает в те моменты, когда сроки горят, а работ накопилось достаточно. Довольно удобный сайт с простой навигацией и огромным количеством материалов.
Студ. Изба как крупнейший сборник работ для студентов
Тут дофига бывает всего полезного. Печально, что бывают предметы по которым даже одного бесплатного решения нет, но это скорее вопрос к студентам. В остальном всё здорово.
Спасательный островок
Если уже не успеваешь разобраться или застрял на каком-то задание поможет тебе быстро и недорого решить твою проблему.
Всё и так отлично
Всё очень удобно. Особенно круто, что есть система бонусов и можно выводить остатки денег. Очень много качественных бесплатных файлов.
Отзыв о системе "Студизба"
Отличная платформа для распространения работ, востребованных студентами. Хорошо налаженная и качественная работа сайта, огромная база заданий и аудитория.
Отличный помощник
Отличный сайт с кучей полезных файлов, позволяющий найти много методичек / учебников / отзывов о вузах и преподователях.
Отлично помогает студентам в любой момент для решения трудных и незамедлительных задач
Хотелось бы больше конкретной информации о преподавателях. А так в принципе хороший сайт, всегда им пользуюсь и ни разу не было желания прекратить. Хороший сайт для помощи студентам, удобный и приятный интерфейс. Из недостатков можно выделить только отсутствия небольшого количества файлов.
Спасибо за шикарный сайт
Великолепный сайт на котором студент за не большие деньги может найти помощь с дз, проектами курсовыми, лабораторными, а также узнать отзывы на преподавателей и бесплатно скачать пособия.
Популярные преподаватели
Добавляйте материалы
и зарабатывайте!
Продажи идут автоматически
6374
Авторов
на СтудИзбе
309
Средний доход
с одного платного файла
Обучение Подробнее