Добавление правила в цепочку

Добавление правила в цепочку

По умолчанию существуют три цепочки: input, output и forward. В первой из них обрабатываются входящие пакеты, во второй — исходящие, в третьей — пакеты, которые поступают в один интерфейс и перенаправляются в другой. Синтаксис добавления правила в цепочку таков: ipchains -А имя_цепочки опции Правило может добавляться только в существующую цепочку. В противном случае будет получено сообщение об ошибке.

Предположим, к примеру, что нужно запретить все входящие пакеты, разрешив лишь некоторые из них. Сначала определим политику обработки стандартной цепочки input: root@host:/ > ipchains -Р input REJECT Директива REJECT задает отмену всех пакетов. Это слишком жесткое правило, поэтому разрешим часть трафика: rootShost:/ > ipchains -A input -i ethO -s 10.0.0.0/24 -j ACCEPT Опция -i задает интерфейс, из которого поступают пакеты. Опция -s определяет отправителя пакетов.

В данном случае это пакеты локальной сети 10.0.0.0/24. При необходимости можно указать получателя пакетов (опция -d). Флаг ! инвертирует смысл проверки. Например, выражение -s ! 10.0.0.0/24 означает "все исходные адреса, кроме указанного". Опция - j задает действие, которое должно выполняться над пакетами, соответствующими данному правилу. В рассматриваемом случае пакеты принимаются (директива ACCEPT).

Существуют следующие стандартные директивы: ACCEPT, DENY (немедленное удаление пакета), REJECT (удаление пакета с выдачей ICMP-сообщения), MASQ (включение режима IP-маскирования), REDIRECT (перенаправление пакета прокси-серверу) и RETURN (конец пользовательской цепочки). Вместо директивы может стоять имя пользовательской цепочки.