بررسی كاربردی IPTables

بررسی كاربردی IPTables
بررسی كاربردی IPTables
60,000 ریال 
تخفیف 15 تا 30 درصدی برای همکاران، کافی نت ها و مشتریان ویژه _____________________________  
وضعيت موجودي: موجود است
تعداد:  
افزودن به ليست مقايسه | افزودن به محصولات مورد علاقه

تعداد صفحات : 56 صفحه _ فرمت WORD_ دانلود مطالب بلافاصله پس از پرداخت آنلاین

حق چاپ ، توزيع و تغيير اين سند تحت شرايط و مفاد و جواز مستند سازي GNU FREE ، نسخه يك عملي است . و اين جا بخش هاي غير متغير مقدمه هستند و بخش هاي زيرين با متون Front - Cover مىتوانند اطلاعات محقق Oskar Andreasson را بيان كنند و متون Back - Cover استفاده نشده اند نسخه اي از اين جواز در بخش جواز مستند سازي GNU FREE آمده است .
تمام دست نوشته ها در اين آيين نامه با جواز عمومي GNU طراحي شده اند اين دست نوشته ها منبع آزاد دارند . شما مىتوانيد مجدد آنها را توزيع كنيد و تحت شرايط جواز كلي GNU تغيير دهيد همان طور در نهاد نرم افزاري FREE نسخه 2 جواز ديده شد. اين دست نوشته ها با اين اميد توزيع مىشوند كه مفيد واقع شوند ولي شماتتي در اين جا وجود ندارد . بدون مجوز توانايي تجاري و يا تناسب اهداف خاص به اين هدف دست مىيابيد . جهت جزئيات بيشتر به جواز عمومي GNU مراجعه كنيد .
شما بايد نسخه اي از اين جواز را در اين آيين نامه بيابيد كه تحت بخش جواز عمومي GNU آمده است . در غير اين صورت با موسسه به آدرس زير تماس بگيريد .


اهداهاي مربوطه
ابتدا مىخواهم اين سند را به دوست دختر خود Ninel اهدا كنم . او بيش از آنچه كه تصور مىكردم حامي من بود . من اميدوارم كه بتوانم با اين اهدا شما را نيز خوشحال كنم . دوم آنكه مايل هستم اين اثر را به تمام موسسه دهندگان linux تقديم كنم . اين افراد سيستم عامل جالب را طراحي كرده اند .
 
فهرست مطالب:
در مورد مولف            چگونگي خواندن
شرط لازم            نهادهاي مورد استفاده در سند
1- مقدمه     1-1 : چرا اين سند نوشته شد       2-1 : چگونگي نوشتن آن
3-1 : اصطلاحات مورد استفاده                      2-آماده سازي
1-2 : درك جا iptables را بدست آوريم         2-2 : نصب kernel
3-2 : نصب در محل كاربر
1-3-2 : كامپايل برنامه هاي كاربر          2-3-2 : نصب بر RED HOT 7/1
3- جستجوي جداول و زنجيره ها        1-3 : كليات       2-3 : جدول Mangle
3-3 : جدول فيلتر                              4- ماشين حالت
1-4 : مقدمه                2-4 : ورودي Conntrack
3-4 : حالات محل كاربر                    4-4 : اتصالات TCP
5-4 : اتصالات UDP                         6-4 : اتصالات ICMP
7-4 : اتصالات پيش فرض                  8-4 : رديابي اتصال و پروتكل پيچيده
 
در مورد محقق
من داراي كامپيوترهاي فراوان هستم . من يك كامپيوتر LAN دارم و تمام ماشين ها بر اينترنت وصل هستند ولي بايد LAN ايمن حفظ شود . iptables جديد يك نسخه ارتقا يافته از ipchain مىتوانيد يك شبكه ايمن بسازيد و اين امر با حذف بسته هاي آتي عملي است . با اين وجود FTP انفعالي و يا DGE در TRC مسائلي به دنبال دارند . مسائل دندانه اي كردن در كد iptables در سطح آغازين حل نشده اند . امروزه هر كس را كه از آنها استفاده مىكند به سوي نسخه توليد كامل راهنمايي مىكنم و ipfwadm را ارتقا دارم . اين كه فعلي مىتواند در صورت نياز استفاده شود .
چگونگي خواندن :
اين سند به درستي نوشته شده است . بنابراين مىتوانيد به نكات جالب iptables پي ببريد . اين به معناي اطلاعات خاصي در مورد اشكالات ايمني خاص در iptables يا Netfilter نيست اگر اشكالات خاص و رفتارهايي را در iptables و هر زير مولف يافتيد با ليت پست Netfilter تماس بگيريد و سپس خواهيد توانست اشكالات واقعي را بشناسيد و حل كنيد اشكالات ايمني واقعي در iptable و Netfilter فراوان هستند و يك يا دو اشكال در آن واحد گزارش شده است . آنها در صفوف اصلي Netfilter آمده اند بايد اطلاعات را در مورد موضوع ارائه كنند .
مىتوان گفت مجموعه قوانين موجود در اين سند پيرامون اشكالات واخل Netfilter نمىباشند . هدف اصلي توصيف چگونگي نصب قوانين در يك حالت ساده است به طوري كه بتوان مسائل داخل كرد به عنوان مثال اين سند نشان نمىدهد كه چگونه HTTP PORT به دلايل مفاد بسته مي‌شود آنطور كه Apache در نسخه 12-2-1 گزارش كرد. اين سند براي هر كس قابل استفاده است و مىتواند نشان دهد كه چگونه با iptable مىتوان كار را آغاز كرد ولي در آن واحد يك روند تكامل را نيز پيچيده است . اين جا اهداف و هماهنگي ها در patch - matic بيان نمىشوند . ارتقا نياز است . اگر اطلاعات بيشتر در مورد اين ارتقا لازم داريد بايد patch - matic و ديگر اسناد را در صفوف اصلي Netfilter مطالعه كنيد .
شرط لازم :
اين سند به معلومات در مورد linux linux ، دست نوشته لايه اي ، و چگونگي كامپايل كردن kernel و بخش دروني آن نياز دارد .
من سعي كرده ام تا تمام شرايط را قبل از توصيف اين سند بررسي كنم ولي نمىتوان تمام اطلاعات قبلي را مطرح كرد .
نهادهاي مورد استفاده در اين سند : اين نهادهاي در سند زمان دستورات ، فايل و ديگر اطلاعات خاص استفاده مىشوند .
-    گلچين كد و خروجي دستور اين چنين است و تمام خروجي ها در فونت پهناي ثابت و دستور مكتوب كاربر به صورت bold هستند:
-    تمام دستورات و نام هاي برنامه در اين سند در حالت bold هستند:
-    تمام item سيستم مانند سخت افزار و مولف دروني kernel و item  سيستم انژاي مانند روابط حلقه اي كه در حالت italic آمده اند
-    خروجي كامپيوتر به شكل this way در متن ظاهر مىشوند .
-    نام فايل و مسير در سيستم فايل به شكل ….
 
فصل 1 : مقدمه
1-1 : چرا اين سند نوشته شد :
من فضاي خالي بزرگي را در HOW TOS  يافتم و در آنجا اطلاعات در مورد iptable و نقش Netfilter در linux 1/4x kernel جديد كافي نبود . در بين آنها مىخواهم به سوالاتي پاسخ دهم كه در مورد احتمال جديد مانند مطابق حالت بوده اند . بخش اعظم آن به صورت فايل rc…. است كه در دست نوشته etc…. آمده است . اين فايل اصولاً بر اساس ارتقاي idowt. است .
يك دست نوشته كوچك در مورد اجراي برنامه و راه اندازي سيستم به صورت rc…. در دسترس است .
2-1 : چگونگي نوشتن :
من با مارك باكر و ديگران در سيستم Netfilter مشورت كردم . بسياري از آنها در اين اثر مستند به من كمك نموده اند و در اين جا سعي كرده ام از سايت Fr.zentux.Net خود استفاده كنم . اين سند فرآيند نصب را مرحله به مرحله نشان مىدهد و در مورد طرح iptables است . من مثالهاي فايل re.Firewall و مثالهاي يادگيري استفاده از iptables را نيز ارائه كرده ام در اين جا بايد تابع زنجيره هاي اصولي باشيد و آنها را در كنار هم قرار دهيد . به اين ترتيب سند مىتواند آماده شود و روش منطقي تر را نشان دهد . هر زمان كه اين درك مشكل باشد به اين سند مراجعه كنيد .
3-1 : اصطلاحات مورد استفاده در سند :
اين سند داراي اصطلاحاتي است كه به تشريح نياز دارند قبل از اينكه آنرا مطالعه كنيد . در اين بخش توصيف آنها و چگونگي انتخاب آنها در سند آمده است .
ترجمه آدرس شبكه مقصد - DNAT - روش ترجمه آدرس IP مقصد در بسته اشتاره دارد و يا تغيير آنرا نشان مىدهد . اين با SNAT استفاده شد و به كاربرها در به اشتراك گذاري آدرس IP اينترنت كمك مىكند و خدمات سرويس دهنده را ارائه مىنمايد. اين روند با تعيين port متفاوت با آدرس IP عملي است و مسير linux را براي ارسال ترافيك نشان مىدهد .
جريان- اين اصطلاح به روابط ارسال و دريافت بسته ها در رابطه با روش جديد اشاره دارد . اصولاً اين اصطلاح براي يك نوع ارتباط به كار مىرود كه دو يا چند بسته را در دو جهت ارسال مىكند . در TCP اين به معناي ارتباطي است كه يك SYN را ارسال مىكند و سپس با SYN/ACK جواب مىدهد ولي ارتباط ارسالي SYN و جواب ميزبان ICMP نيز مهم است . به عبارت ديگر از اين اصطلاح به خوبي استفاده نمي‌كنم .
SNAT - ترجمه آدرس شبكه منبع اين اصطلاح به روش ترجمه آدرس منبع به ديگري اشاره دارد . اين براي چندين ميزبان وجه اشتراك گذاري آدرس IP اينترنت به كار ميرود زيرا نقص آدرس IP در IP 74 مطرح است ( IP 74 اين را حل مىكند )
 حالت - اين اصطلاح بحالت بسته طبق پروتكل كنترل انتقال RFC 793 اشاره دارد و در Netfilter/iptable به كار مىرود . توجه كنيد كه حالات دروني و خارجي تابع ويژگي RFC 793 است . دليل اصلي آن است كه Netfilter بايد چندمين فرضيه در مورد ارتباط و بسته ها ارائه كند . فضاي كاربر - اين اصطلاح به هر چيز كه در خارج kernel روي دهد اشاره دارد به عنوان مثال تحريك iptable-h در خارج kernel است ولي iptable - A Forward p - tcp jAce Ept در kernel است زيرا قانون جديد به مجموعه قوانين اضافه مي‌شود .
فضاي kernel - اين نكاتش برخلاف فضاي كاربر است اين اقدامات را در kernel نشان مىدهد و همه در خارج آن .
قلمرو كاربر - به فضاي كاربر مراجعه كنيد .
 
فصل 2 : آماده سازي : اين فصل توصيف درك نقش Netfilter و iptable در linux است . در اين جا بايد كار با آزمايش آغاز شود و نصب عملي شود . با زمان كافي مىتوانيد آنرا دقيقاً اجرا كنيد .
1-2 : كجا به iptable دست يابيم :
بسته فضاي كاربر iptables  مىتواند از آدرس زير down load شود :
http……….
 اين بسته iptable تسهيلات خاص فضاي kernel را نشان مىدهد كه در طي توليد سيستم طراحي شده اند مراحل لازم به تفصيل بررسي خواهند شد .
2-2 :نصب kernel :
براي اجراي اساس iptable بايد گزينه ها در kernel راه اندازي شوند و سيستم با دستورات مربوط آماده شود .
CONFIG- PAKET- اين گزينه توليد برنامه را براي ارتباط كاري سيستم با ابزار شبكه نشان مىدهد . نمونه ها به صورت tcpdump و snort  است .
CONFIG- PAKET- يك نياز براي عملكرد iptable نيست بلكه داراي موارد استعمال فراوان است . در اين جا بايد طرح در نظر گرفته شود . اگر آنرا نخواهيد حذف مىكنيد .
CONFIG - NETFILER - اين گزينه در صورتي نياز است كه بخواهيد از كامپيوتر به عنوان ورود به اينترنت استفاده كنيد . به عبارت ديگر اين روند براي هر چيز در سند نياز است زيرا طرح اصولي هستند . البته بايد ابزار درست براي رابط اضافه شوند مانند آداپتور اينترنت ، ppp و رابط SLIP . اين موارد اصول iptable هستند . شما نمىتوانيد چهارچوب را به kernel  اضافه كنيد . اگر از گزينه ها در iptable استفاده كنيد بايد نصب سيستم را در kernel انجام دهيد . در اين جا گزينه ها در kernel 9-4-2 آمده اند.
CONFIG -NF - FTP - اين مدل در صورتي نياز است كه بخواهيد ارتباط را بر FTP برقرار كنيد . جون ارتباطات FTP به راحتي در موارد طبيعي اجرا نمي‌شوند بايد از helper استفاده كنيد . اگر اين مدل را اضافه نكنيد . نمىتوانيد FTP را به درستي اجرا كنيد .
CONFIG- IP - NF - FPTAHLE - اين گزينه در صورتي نياز است كه يك نوع Filter يا NAT  نياز باشد . در اين جا چهارچوب شناخت iptable به kernel  اضافه مي‌شود . بدون اين امر نمىتوانيد با iptable كاري كنيد .
CONFIG -IP- NF - MATCH - LIMIT - اين مدل دقيقاً نياز نيست ولي در مثالهاي rcopir…. آمده است اين گزينه هماهنگي LIMIT را نشان مىدهد . بايد احتمال كنترل بسته ها در نظر گرفته شود و قانون توسعه يابد . به عنوان مثال m.limit- lin 3 / lin.ld  يك هماهنگي 3 بسته را در هر دقيقه نشان مي‌دهد . اين مدل مىتواند براي جلوگيري از علامت انكار خدماتي استفاده شود.
CONFIG - IP - NF - MATCH- MAC - اين گزينه هماهنگي بسته را بر اساس آدرس MAC نشان مىدهد . هر آداپتور اينترنت داراي آدرس MAC خاص خود است . ما بسته هاي بلوكي در آدرس MAC داريم و از بلوك خاص براي آدرس MAC استفاده مىكنيم . ما از اين گزينه در نمونه dc.fire…. استفاده نمىكنيم .
CONFIG - IP - NF….. - اين گزينه در استفاده از تطابق MARK مفيد است . به عنوان مثال اگر از MARK هدف براي بسته ها استفاده شود بسته به اين كه آيا بسته ها در جدول هستند يا خير مىتوانيم هماهنگي را برقرار كنيم . اين گزينه هماهنگي واقعي MARK است و مىتواند توصيف هدف واقعي MARK باشد .
CONFIG - IP - NF - MATCH - MULTIPORT - اين روش به ما در تطابق بسته ها با يك سري port مقصد و منبع كمك مىكند . اين ويژگي غيرممكن است ولي هماهنگي برقرار خواهد شد .
CONFIG -IP - NF- MATCH- TOP - با اين هماهنگي مىتوان بسته ها را بر اساس فيلد TOS در تطابق قرار دارد . TOP به type of service  اشاره دارد TOS مىتواند با قوانين خاص در جدول قرار گيرد و از طريق دستور ipltc  اجرا شود .
CONFIG - IP- NF -MATCH- TCP MSS- اين گزينه احتمال هماهنگي بسته هاي TCP را در فيلد MSS نشان مىدهد .
CONFIG - IP- NF-MATCH - STALE - اين يكي از بزرگترين اخبار در مقايسه با ipchain است . با اين مدل مىتوان هماهنگي بسته ها را عملي ساخت . به عنوان مثال اگر شاهد ترافيك در دو بعد ارتباط TCP هستيم بسته به صورت ESTABLISHED  ظاهر مي‌شود . اين مدل در مثال rc….  استفاده مي‌شود .
CONFIG- IP- NF- MATCH- UNCLEAN - اين مدل احتمال هماهنگي IP  ، TCP، UDP ، ICMP را نشان مىدهد و تطابق با يك نوع اعتبار ندارد . ما مىتوانيم اين بسته ها را حذف كنيم ولي نمىدانيم كه آيا اين كار درست است . توجه كنيد كه اين هماهنگي تجربي است و نمىتوان در تمام موارد كامل باشد.
CONFIG - IP - NF - FILTER -  اين مدل اساس جدول Filter است و مىتواند فيلتر IP را انجام دهد در اين فيلتر مىتوان زنجيره Forward , Input و Output را  يافت . اين مدل در صورتي نياز است كه طراحي بسته براي ارسال و دريافت انجام شود .
CONFIG - IP - NF- TARGET - REJECT - اين هدف به شما كمك مىكند تا مشخص كنيد كه پيام خطاي ICMP بايد در پاسخ نسبت به بسته‌هاي بعدي ارسال شود  در اين جا حذف مهم است . در خاطر داشته باشيد كه روابط TCP برخلاف ICMP , UDP مىتوانند انكار با بسته TCPRSS باشند.
CONFIG -IP -NF- TARGET- MIRROR - اين به بسته ها در برگشت به موسسه با بسته كمك مىكند . به عنوان مثال اگر يك هدف MIRROR بر مقصد HTTP  نصب شود و يا زنجيره  INPUT مشخص گردد دسترسي به port عملي است و بايد بسته ها دوباره به صفوف home برگردند و در آنجا رويت شوند .
CONFIG - IP - NF- NAT - اين مدل به ترجمه آدرس شبكه يا NAT در اشكال متفاوت كمك مىكند اين گزينه دسترسي به iptable را عملي مي‌سازد . اين گزينه در صورتي نياز است كه بخواهيم ارسال و تغيير port را انجام دهيم. توجه كنيد كه اين گزينه براي Firealling و ارسال LAN نياز نيست بلكه بايد در اختيار باشد مگر اينكه بتوانيم آدرس خاص IP را براي تمام ميزبان ها ارسال كنيم . بنابراين اين گزينه براي دست نوشته rc.fire…. به كار مىرود و در ثورتي شبكه مشخص خواهد شد كه توانايي آدرس IP از بين برود.
CONFIG- IP - NF - TARGET - MASQUERAD - اين گزينه هدف MASQUERAD را اضافه مىكند. به عنوان مثال اگر ندانيد كه IP چه بايد انجام دهد بهتر است كه آنرا بدست آوريد و از DNAT  يا  SNAT استفاده كنيد . به عبارت ديگر اگر از PPP , DHCP يا  SLIP يا ديگر روابط تعيين كننده IP استفاده مىكنيد بايد از اين هدف به جاي SNAT استفاده شود Masquerading  بارباراتر را بر كامپيوتر نسبت به NAT  نشان مىدهد ولي بايد IP آدرس را از قبل نشان دهد .
CONFIG-IP-NF-TARGET-NEPIRECT - اين هدف با prong برنامه مفيد است . به جاي اين كه بسته عبور كند بايد به جعبه داخلي ببريم . به عبارت ديگر احتمال prong شفاف وجود دارد .
CONFIG-IP-NF-TARGET-LOG - اين برنامه هدف LOGو نقش آنرا به iptables اضافه مىكند . از اين گزينه براي LOG بسته هاي خالي استفاده مي‌شود و بايد ديد در بسته چه اتفاقي مىافتد اين براي   و شكاي زدايي دست نوشته كه آنرا مىنويسيم نياز است .
CONFIG- IP- NF- TARGET- TCPMSS - اين گزينه مىتواند براي شمارش ارائه دهنده خدماتي اينترنت و سرويس دهنده هايي استفاده شود كه بسته هاي تجزيه ICMP را كاهش داده اند اين خود باعث مي‌شود صفحات وب در دسترس قرار گيرند . پت كوچك نيز با بخش بزرگتر عملي است مانند SCP بعد از اينكه طرح معرفي شد ما از هدف TCPMSS براي غلبه بر اين مسئله استفاده خواهيم كرد و بايد MSS ( اندازه قطعه ماكزيمم ) به DMTU اضافه شود ( واحد انتقال ماكزيمم مسير ) . اين روش مىتواند كنترل Netfilter را نشان دهد و تابع ISP و سرويس دهنده خدماتي در سيستم kernel فراخواني شود .
CONFIG- IP- NF- COMPAT- IPCHAINS - اين گزينه يك مد سازگاري را با ipchains اضافه مىكند . به اين مورد توجه نكنيد و راه حل بلند مدت را در حل حركت از linux 2/2 به 2/4 ارائه كنيد . اين جا kernel 2/6 استفاده خواهد شد .
همان طور كه مىتوان ديد يك سري گزينه معرفي شده است . در اين جا بايد ديد چه نوع رفتارهاي مازادي از مدلها حاصل مىشوند اينها تنها گزينه ها در linux 2,4,9, kernel هستند . اگر بخواهيد به اين گزينه ها توجه كنيد بايد تابع patch - o- matic در Netfilter را در نظر داشته باشيد و به گزينه ها در kernel توجه كنيد . تثبيت POM نيز مىتواند در kernel عملي شود و بايد بتوان به kernel دست يافت . اين توابع بايد در آينده اضافه شوند ولي هنوز ساخته نشده اند . اين خود دلايل متفاوت دارد مانند مسير غير ثابت به  linux torvalds كه نمىتواند حفظ شود و يا مسير به kernel جريان اصلي كه هنوز آزمايشي است .
شما به گزينه هاي زير به صورت كامپايل در kernel نياز داريد تا دست نوشته rc…. را اجرا كنيد . اگر به گزينه هايي نياز داريد كه در ديگر دست نوشته ها نياز هستند به بخش دست نوشته زير مراجعه كنيد .
برنامه
در ميزان حداقل بايد از دست نوشته rc.Firewall.txt استفاده شود . در ديگر مثالها نشان مىدهم كه چه نوع شرطي در اين بخش نياز است . اكنون بايد دست نوشته اصلي مورد مطالعه در نظر باشد .
3-2 : نصب محل كاربر : 
اول از همه بايد ديد كه چگونه بسته هاي iptable كامپايل مىشوند بايد ديد كه در بيشتر سيستم ها و كامپايل iptable بايد سيستم و كامپايل kernel صورت گيــــرد . تــــوزيع خاص نيز در بسته iptable عملي است و يكي از آنها RED HAT است . با اين وجود RED HAT در هر پيش فرضي غير فعال است . اكنون بايد ديد كه چگونه اين توزيعات در اين فصل بررسي خواهند شد.
1-3-2 : كامپايل برنامه هاي قلمرو كاربر :
نخست آنكه بايد بسته هاي iptables آزاد شوند . در اين جا از iptables 1/26 a و vanilla 2/4 kernel استفاده مي‌شود . باز كردن بسته با استفاده از hzip 2 ,…. صورت مىگيرد (اين مىتواند با tar - xjvf…. عملي شود كه بايد يك دستور مانند دستور اول داشته باشد و با اين وجود اين با نسخه tar ديده نشده است ).طرح بايد به درستي در دايركتوري به نام iptables…. قرار گيرد. براي اطلاعات بيشتر بايد iptables….  را بتوانيد كه حاوي اطلاعات مفيد در مورد كامپايل و دسترسي به اجراي برنامه است . بعد از اين بايد گزينه طراحي و نصب مدل اضافي براي kernel در نظر گرفته شود . مرحله مورد توصيف كنترل و نصب بخش هاي استاندارد است كه در kernel در نظر گرفته شده اند. اين روند با كمك طرح اجراي عملي است .
بعضي از اين طرح ها آزمايشي هستند و مىتوانند براي نصب مفيد باشند . با اين وجود بايد هماهنگي جالب و اهداف در مرحله نصب صورت گيرد و اين خود به روند خاص نياز دارد براي انجام اين مرحله بايد اين شكل از بسته iptables معرفي شود .
توليد patch فوريKERNEL- DIR/ USR/ SRC/ linux
متغيير KERNEL- DIR بايد به محل واقعي اشاره كند كه منبع kernel شما در آن واقع است . به طور طبيعي اين به صورت usr/src… است ولي مىتواند متغيير باشد و شايد در اين منبع kernel در اختيار باشد .
اين خود patch خاص را در مورد ورود به kernel گزارش مىكند . patch بيشتر نيز توسط توسعه دهنده Netfilter مىتواند به kernel اضافه شود . اين روند به طور واقعي انجام مي‌شود يك روش نصب دستور زير است . 
برنامه
دستور فوق در مورد نصب قطعات دنياي Netfilter است كه patch - o- metic نام دارد ولي حذف patch اضافي نيز عملي است .
توجه كنيد كه اين بدان علت است كه اين دستورات واقعي اجرا مىشوند آنها قبل از اين كه چيزي در منبع kernel تغيير كند مورد سوال قرار گيرند براي نصب تمام patch - o- metic بايد دستور زير اجرا شود .
برنامه
فراموش نكنيد كه هر patch را بطور كامل قبل از روند اجرا مطالعه كنيد . بعضي از آنها patch ديگر را تخريب مىكنند ولي مابقي kernel را تخريب مىكنند در صورتي كه با patch در patch - o- metic استفاده شوند.
نكته :شما مىتوانيد مراحل فوق را ناديده بگيرد در صورتي كه نخواهيد kernel را جمع كنيد و به عبارت ديگر لازم نيست موارد فوق را انجام دهيد . با اين وجود چيزهاي جالب در patch - o- metic وجود دارد كه مىتوانيد جستجو كنيد . بنابراين دستور اجرايي غلط نيز در نظر گرفته مي‌شود .
بعد از اين بايد قطعه patch - o- metic نصب كامل شود و شما اكنون مىتوانيد يك kernel جديد را كامپايل كنيد و از patch جديد براي اضافه كردن به منبع استفاده كنيد سيستم بايد طراحي شود و در اين جا بايد گزينه ها اضافه شوند . بايد صبر كنيد تا كامپايل كامل شود تا اين كه iptable برنامه اجرا شود.
كار را با كامپايل برنامه iptable ادامه دهيد . براي كامپايل iptable يك دستوري مشابه دستور زير صادر مي‌شود.
برنامه
برنامه قلمرو كاربر بايد به درستي كامپايل شود . در غير اين صورت بايد بتوانيد در ليت پست Netfilter عضو شويد . در اين جا شانس كمك فراوان است . چندين چيز اشتباه در مورد نصب iptable وجود دارد و بنابراين اگر اقدام صورت نمىگيرد نگران نباشيد . سعي كنيد تا به روش منطقي اشكال را بشناسيد و از كسي كمك بخواهيد . اگر همه چيز درست است آماده نصب   هستند . براي اين كار بايد دستور زير ارسال شود .
برنامه
همه چيز بايد در برنامه اجرا شود . براي استفاده از هر برنامه iptable بايد اكنون نصب مجدد سيستم و kernel را انجام دهيد در صورتي كه قبلاً آن را انجام نداده ايد . براي اطلاعات بيشتر در مورد نصب برنامه كاربر از منبع بر فايل INSTALL در منبع مراجعه كنيد كه حاوي اطلاعات خارجي در مورد موضوع نصب است .
2-3-2 : نصب بر Red Hat 7/1
Red Hat از قبل با يك kernel x2/4نصب مي‌شود كه داراي Netfilter و iptable كامپايل شده در آن است . اين طرح داراي تمام برنامه هاي كاربر و فايل سيستم براي اجرا است . با اين وجود افراد Red Hat همه چيز را با استفاده از سيستم ipchain هماهنگ ناتوان كرده اند . براي رفع مشكل بايد ليست متفاوت بستي در نظر گرفته شد. و به اين دليل است كه iptable عمل نمىكند بنابراين بايد ديد كه سيستم ipchain چگونه عمل مىكند نصب iptable چگونه است .
نكته : امروزه نصب Red Hot 7/1 پيش فرض با نسخه قديمي برنامه فضاي كاربر عملي است و بنابراين ممكن است بخواهيد تا نسخه جديد برنامه را كامپايل كنيد و يك kernel  كامپايل شده را نصب كنيد قبل از اين كه به طور كامل از iptable استفاده شود. ابتدا بايد طرح ipchains را غير فعال كنيد . بنابراين در آينده لجرا نمي‌شود براي اين كار بايد نام فايل را در ساختار دايركتوري etc/rcod/ تغيير دهيد . دستور زير بايد استفاده شود .  
برنامه
به اين ترتيب به روابط نرم و رسم كردن دست نوشته Htcl…. در k 92 ipchain اشاره دارند . اولين مرحله كه در هر پيش فرض 6 است اولين دست نشته را نشان مىدهد . با تغيير اين حالت به اين k مىگوييم كه خدمات را kill كنيد و يا اين كه آنرا در صورتي كه قبلاً اجرا نشده است اجرا نكنيد . اكنون اين خدمات در آينده اجرا نخواهد شد .
با اين وجود براي توقف خدمات از حالت اجرايي بايد دستور ديگر را اجرا كنيم. اين يك دستور خدماتي است كه مىتواند براي اجراي فعلي استفاده شود اين دستور براي توقف خدمات ipchain ارائه مي‌شود.
دستور
در نهايت براي راه اندازي خدمات iptable اقدام خواهد شد . ابتدا بايد بدانيم كدام سطح اجرايي را مىخواهيم اجرا كنيم اين خود در سطح 2، 3، 5 قرار مىگيرد اين سطوح اجرايي براي موارد زير استفاده مىشوند .
-    2 Multiuser بدون NFS و يا 3 در صورتي كه شبكه وجود نداشته باشند .
-    3 مد چند كاربر كامل يعني سطح اجرايي طبيعي
-    xll 5 اين در صورتي استفاده مي‌شود كه به طور خودكار در x windows باشيد.
براي توليد iptable در اين سطوح اجرايي به دستور زير نياز است :    
برنامه
دستورات فوق به عبارت ديگر اجراي iptable را در سطح 2، 3، 5 باعث مىشوند . اگر مايل هستيد خدمات iptable در ديگر سطوح اجرا شوند بايد كه دستور صادر شود . با اين وجود هيچ يك از سطوح اجرايي استفاده نمىشوند و بنابراين نبايد آنرا براي سطوح اجرايي فعال كرد . سطح 1 براي حالت كاربر واحد است يعني وقتي كه يك جعبه نثبيت مي‌شود سطح 4 بايد غير استفاده باشد و سطح 6 براي shut down كامپيوتر است. براي  فعال كردن خدمات iptable دستور زير اجرا مي‌شود.
دستور
هيچ قانوني در دست نوشته iptable وجود ندارد . براي اضافه كردن قوانين به يك جعبه Red Hot 7/1 دو روش وجود دارد .نخست آنكه بايد دست نوشته etc/rc… را ويرايش كنيد . اين اثر غير مطلوب حذف تمام قوانين را دارد در صورتي كه بسته iptable يا RPM ارتقا يافته باشد . اين روش به صورت 10 ad كردن مجموعه قوانين و ذخيره با دستور iptable- SNC است پس بايد 10 ad خودكار يا rcod صورت گيرد.
ابتدا بايد ديد كه چگونه نصب iptable با cut و past كردن iptable initod عملي است . براي اضافه كردن قوانيني كه زمان شروع خدمات كامپيوتر اجرا مىشوند بايد آنها را تحت عنوان در تابع starto اضافه كنيد . توجه كنيد كه اگر تحت بخش start عمل كنيد تابع starto اجرا ميشود ويرايش بخش stop) ) تغيير مىتواند نشان دهد كه كدام دست نوشته و در چه زماني اجرا مي‌شود و يا چه چيز وارد سطح اجرايي مي‌شود كه به iptables نياز ندارد بايد بخش restart و (ondrestarte) كنترل شود . توجه كنيد كه تمام اين اقدامات در صورتي كنترل مىشوند كه داراي شبكه Red Hot خودكار براي ارتقاي بسته‌ها باشيد . اين مىتواند با ارتقا از بسته iptable RPM حاصل شود .
روش دوم :نصب مستلزم اين موارد است : ابتدا بايد يك مجموعه قانون در فايل دست نوشته لايه اي نوشته شود و با تصميم در iptable نوشته شود كه نياز شما را برآورد اين بار آزمايش را فراموش نكنيد . وقتي يك نصب بدون مسئله صورت گيرد همان طور كه بدون اشكال ديده شد از دستور iptables - save استفاده كنيد . شما م/يتوانيد از آن به طور طبيعي استفاده كنيد و يا اين كه iptables - saves…. را استفاده كنيد كه ذخيره مجموعه قوانين در فايل etc/sy…. است . اين فايل به طور خودكار توسط دست نوشته iptable rcd براي احياي مجموعه قوانين در آينده استفاده خواهد شد روش ديگر ذخيره دست نوشته با service iptable save خودكار etc/syscn…. است بعداً كامپيوتر دوباره راه اندازي مي‌شود و دست نوشته iptable rcd از دستور iptable -restart براي ذخيره مجموعه قوانين از فايل save /etc/…. استفاده مىكند .
اين دو روش را با هم تركيب نكنيد زيرا ممكن است به هم آسيب برسانند و سيستم Firewall را تبديل كنند .
وقتي تمام اين مراحل كامل شد مىتوانيد نصب ipchain و بسته iptable را كنسل كنيد . اين بدان علت است كه نمىخواهيد سيستم ما برنامه جديد iptable كاربر را با برنامه قديمي از پيش نصب شده iptable تركيب كند. اين مرحله در صورتي نياز است كه بخواهيد iptable را از بسته منبع نصب كنيد .غير معمول نيست كه بسته جديد و قديم مخلوط شوند زيرا نصب مبناي rpm مىتواند بسته را در محل غير استاندارد نصب كند و ما با نصب بسته iptable مىتوانيم عمل نوشتن را تكرار كنيم . براي اين كار از دستور زير استفاده مي‌شود .  برنامه
چرا ipchains در صورتي كه از آن استفاده نمىكنيد در اطراف باقي مىماند . حذف آن مانند روش بانيري هاي iptable است.
برنامه
بعد از اين كه كار كامل شد با ارتقاي بسته از منبع روبرو شده ايد و دستوالعمل نصب منبع دنبال خواهد شد هيچ يك از بانيري هاي قديمي ، كتابخانه ها و يا فايل شمول نبايد در اهداف باشند .
 
 فصل 3 : عبور از جداول و زنجيره ها 
در اين فصل عبور بسته ها از زنجيره هاي متفاوت و با نظم خود توصيف خواهند شد همچنين نظم عبور جداول بررسي مي‌شود و خواهيم ديد كه اين روند بعداً تا چه حد با ارزش خواهد بود در صورتي كه قوانين خاص را مىنويسيم.همچنين نقاط ورود مولف هاي وابسته به kernel به تصوير را بررسي خواهيم كرد تصميمات رديابي نيز بررسي مىشوند . اين امر در صورتي مهم است كه بخواهيم قوانين iptable را كه تغيير الگوي رديابي را براي بسته ها نشان دهند بنويسيم . بايد ديد كه چرا و چگونه اين بسته ها رديابي مىشوند . و نمونه هاي عالي DNAT و SNAT است بيت هاي Tos نبايد فراموش شوند .
1-3 : كليات :  
وقتي كه بسته ها ابتدا وارد Firewall شود با سخت افزار برخورد مىكند و سپس وارد درايو وسيله مناسب در kernel مي‌شود . پس بسته از يك مجموعه مراحل در kernel عبور خواهد كرد قبل از اين كه به برنامه صحيح ارسال شود و يا به ميزبان ديگر برود. ابتدا بسته اي را بررسي مىكنيم كه براي ميزبان داخلي مفروض است . از چندين نرحله بايد عبور كرد قبل از اينكه به برنامه دريافت كننده برسيم .

نظري براي اين محصول ثبت نشده است.


نوشتن نظر خودتان

براي نوشتن نظر وارد شويد.

محصولات
نظر سنجي
نظرتون در مورد ویکی پروژه چیه؟
  •   مراحل ثبت نام خیلی زیاده!
  •   مطلب درخواستیم رو نداشت!
  •   ایمیل نداشتم که ثبت نام کنم!
  •   مطلبی که میخواستم گرون بود!
نظرنتيجه