나는 겪고있다iptables 튜토리얼그리고 현재는6장, 테이블과 체인의 횡단.
이해하는 데 문제가 있습니다왜?위 장에 나열된 표 6-1, 6-2, 6-3 뒤에 있습니다.
질문:
더 나은 설명을 찾을 수 있는 더 나은 책이나 온라인 리소스가 있습니까?
이 표에서 다루는 다양한 단계를 암기 학습/암기해야 합니까?
위의 튜토리얼은 수년이 된 것 같습니다.
iptables
거기에 언급된 모든 내용이 여전히 100% 유효합니까 ?iptables
내 시스템에 있는 버전은 입니다1.4.14
.
이러한 모든 질문은 주로 내가 지금까지 iptables
수행했어야 했던 모든 작업이 우리에게 제공되었다고 '느끼기' 때문에 발생합니다.최소한의후크 포인트 세트(예: 라우팅 전 및 라우팅 후 후크) 및 다음을 수행할 수 있는 기능임의의위 표와 같이 세부적인 단계 순서를 규정하는 대신 패킷 처리(우리가 적합하다고 생각하는 순서와 횟수에 관계없이 사용자 정의 상태 머신)를 수행합니다. 예를 들어, 표 6-3 다음에 나오는 다이어그램에서 '필터 입력' 단계가 'mangle 입력' 이후에만 와야 하고 이전에는 와야 하지 않는 이유는 무엇입니까? 그리고 왜 이전과 이후 모두 안되나요? 등.
답변1
더 좋은 책이나 온라인 자료가 있나요?
혹시? 아마? Linux 및 iptables를 학습할 수 있는 수많은 온라인 및 오프라인 리소스가 있습니다. 그만큼위키좋은 개요가 있습니다. 여기또 다른사용법 및 관리 가이드. 여기또 다른FrozenTux와 동일한 정보를 포함하는 가이드이지만 약간 다시 작성되었습니다.
다양한 단계를 암기 학습/암기해야 하나요?
조건에 따라서. 애초에 공부는 왜 하는 걸까요?
당신은 ~필요iptables를 사용하려면 모든 것을 외워야 하나요? 아니요.필터다른 테이블을 정의하지 않으면 기본값이 됩니다. iptables를 최대한 활용하고 싶다면 도움이 될까요? 전적으로.
여전히 유효?
예.
왜 '필터 입력' 단계는 'mangle 입력' 이후에만 와야 하고 이전에는 와야 하지 않습니까? 그리고 왜 이전과 이후 모두 안되나요?
핵심은 표 6.1의 8행과 9행에 있는 설명입니다. 본질적으로 패킷을 실제로 필터링하기 전에 패킷 변경(즉, 맹글링)에 대한 결정을 내리고 싶습니다.
그렇기 때문에 맹글 입력 체인이 먼저 히트되고 그 다음 필터 입력 체인이 히트됩니다.
마찬가지로, 패킷이 머신(iptables를 실행 중인)으로 수신되기 때문에 일련의 단계가 중요합니다. 이미 라우팅되어 현재 나가는 패킷에 대해서는 "입력" 또는 수신 결정을 내릴 수 없습니다.
표 6.3은 표 6.2의 연속이 아니라는 점을 알 수 있습니다. 대신 7행(라우팅 결정)과 유사하며 8행은 다른 경로 또는 분기점입니다. 표 6.2는 동일한 네트워크 내의 패킷에 대한 것입니다. 표 6.3은 네트워크 외부 패킷에 대한 것입니다.
7계층 OSI 모델을 기억하는 것이 중요합니다. 모든 데이터 비트는 다양한 세그먼트, 패킷 및 프레임으로 패키징되고 다시 패키징됩니다. 모든 네트워크 "홉"은 특정 세그먼트, 패킷 또는 프레임을 조작하고 다시 작성할 수 있는 또 다른 기회입니다.
iptables는 재패키징에 대해 매우 세부적인 제어 기능을 제공합니다. 들어오는 패킷, 나가는 패킷, 다른 네트워크가 아닌 귀하의 네트워크에 대해서만 규칙을 작성할 수 있으며 그 반대의 경우도 귀하의 장치가 아닌 귀하의 장치 등에 대한 규칙을 작성할 수 있습니다. 그리고 모든 프레임에 대해 다양한 헤더를 변경할 수 있습니다. **
** "프레임", "세그먼트" 및 "패킷"을 자유롭게 혼합한다는 것을 알고 있습니다. 미안해요, 정말 그러면 안 돼요. 요점을 밝히거나 특정 네트워크 분석을 수행하는 것이 아닌 이상 항상 그렇게 합니다.