firewalling in linux and netfilter and iptables
0 likes50 views
A firewall is a security system that monitors and controls incoming and outgoing network traffic based on predetermined security rules. Firewalls can be hardware-based, software-based, or a combination of both. They serve as a barrier between a trusted internal network and untrusted external networks, such as the internet, helping to prevent unauthorized access and attacks. Importance of Firewalls Network Protection: Firewalls act as the first line of defense against cyber threats, blocking malicious traffic and preventing unauthorized access to sensitive data. Access Control: They allow administrators to define rules that specify which traffic is allowed or denied, helping to control access to network resources. Intrusion Prevention: Firewalls can detect and block attempts to exploit vulnerabilities in systems, thus preventing intrusions. Traffic Monitoring and Logging: Many firewalls provide logging capabilities, allowing administrators to monitor traffic patterns and identify potential security incidents. iptables iptables is a powerful command-line utility in Linux used to configure and manage firewall rules. It is part of the netfilter framework, which provides packet filtering, network address translation (NAT), and other packet mangling. Key Features of iptables: Rule-Based Filtering: iptables allows users to create complex rules for filtering traffic based on various criteria, such as IP addresses, ports, and protocols (TCP, UDP, ICMP, etc.). High Performance: Designed for efficiency, iptables can handle high volumes of network traffic without significant performance degradation. Flexibility: Users can easily modify, add, or delete rules, allowing for dynamic adjustments to the firewall configuration. Multiple Chains and Tables: iptables uses a system of chains (INPUT, OUTPUT, FORWARD) and tables (filter, nat, mangle) to organize rules and manage different types of traffic. How Businesses Use Firewalls and iptables Businesses leverage firewalls and iptables in various ways to enhance their security posture: Data Protection: By implementing firewalls, organizations can safeguard sensitive data from unauthorized access and breaches. Traffic Management: Companies can optimize network performance by controlling traffic flow and preventing congestion through well-defined iptables rules. DDoS Mitigation: Firewalls can help mitigate Distributed Denial of Service (DDoS) attacks by filtering out malicious traffic and ensuring service availability. Secure Development Environments: Businesses can create secure environments for software development and testing by using firewalls to restrict access to critical systems. Compliance: Many industries have regulatory requirements for data protection. Firewalls help organizations meet these compliance standards by providing necessary security controls. In summary, firewalls, particularly iptables in Linux environments, are essential tool
![برای فایروال کاربرد ترین اصلی
Packet Filtering
در که است
iptables
جدول توسط
filter
یعنی آن زنجیره سه و
,
INPUT OUTPUT
و
FORWARD
از استفاده کلی شکل .شود می انجام
iptables
در اصلی جدول سه نام که کنید توجه .است زیر های صورت از یکی به
iptables
با
.شوند می نوشته بزرگ حروف با آن های زنجیره نام و کوچک حروف
[- ] {- - } -
iptables t table A| D chain rule specification
[- ] - [ ] -
iptables t table I chain rulenum rule specification
[- ] - -
iptables t table R chain rulenum rule specification
[- ] -
iptables t table D chain rulenum
[
[- ] - [ ] [
iptables t table S chain rulenum
[
[- ] {- - - } [ ] [ ] [
iptables t table F| L| Z chain rulenum options
[- ] -
iptables t table N chain
[
[- ] - [
iptables t table X chain
[- ] -
iptables t table P chain target
[- ] - - - - -
iptables t table E old chain name new chain name
دارای زنجیره هر
Policy
را ها بسته تمامی فرض پیش بصورت یا که است فرضی پیش سیاست یا
ACCEPT
یا وانینŒŒق طبق و کند می
Rule
را هŒŒبقی هایی
DROP
،دŒ
Œباش تهŒ
Œنداش تطبیق جدول درون زنجیره قوانین از یکی با و شود وارد ای بسته اگر یعنی این .کند می
ACCEPT
وانینŒ
Œق از یکی با اگر و ودŒ
Œش می
،باشد داشته تطببق زنجیره
DROP
فرض پیش بصورت ها بسته همه اینکه سیاست حالت دومین .شود می
DROP
یا وانینŒ
Œق قŒ
Œطب و وندŒ
Œش می
Rule
هایی
بقیه
ACCEPT
،دŒ
Œباش تهŒ
Œنداش تطبیق دولŒ
Œج درون یرهŒ
Œزنج قوانین از یکی با و شود وارد ای بسته اگر یعنی این .شوند می
DROP
از یکی با اگر و ودŒ
Œش می
،باشد داشته تطبیق زنجیره قوانین
ACCEPT
مشاهده برای .شود می
Policy
.کنید استفاده زیر فرمت از جدول زنجیره هر های
iptables -L -t TABLE_NAME
جدول زنجیره هر فرض پیش های ساسیت توانید می زیر دستور خروجی در مثال بطور
filter
.ببنید را
iptables -L -t filter
،جدول زنجیره سه هر برای شده تعیین فرض پیش های سیاست
ACCEPT
زنجیره همچنین ،)رنگ قرمز های است(قسمت شده تعیین
OUTPUT
بدون
Rule
سوئیچ توسط جدول یک از زنجیره یک برای را فرض پیش سیاست توان می زیر کلی فرمت از استفاده با .است
P
کنید دقت .داد تغییر و تعیین -
P
.است بزرگ
سوئیچ از
P
توسط جدول نام اگر کنید دقت .است زیر بصورت جدول زنجیره هر برای سیاست تغییر کلی شکل .کرد استفاده فرض پیش سیاست تغییر برای -
سوئیچ
t
جدول فرض پیش بصورت نشود تعیین -
filter
.شود می گرفته نظر در
iptables -t TABLE_NAME -P CHAIN_NAME TARGET
،ها زنجیره برای فرض پیش سیاست زیر دستور سه در مثال بطور
DROP
سئیچ با چون .شود می گرفته نظر در
t
فرض پیش بصورت ،نشده تعیین جدول نام -
جدول
filter
سه بین از همچنین .شود می گرفته نظر در
target
( موجود
, ,
ACCEPT DROP REJECT
فقط )
ACCEPT
و
DROP
های سیاست برای
41](https://image.slidesharecdn.com/firewall-iptables-250416135041-42034c78/85/firewalling-in-linux-and-netfilter-and-iptables-41-320.jpg)
firewalling in linux and netfilter and iptables
- 1. حق بسمه لینوکس/گنو در فایروال دخت اسمعیل یاشار مهندس : نویسنده : نسخه 0.4 1
- 2. : نویسنده درباره رشته آموخته دانش دخت اسمعیل یاشار بنده cyber security . هستم از بیش ۱۵ . دارم فعالیت سابقه سال مولف - مدرس - مشاور : داد شرح زیر های ساختار در میتوان را بنده های فعالیت جمله از Devops / Platform / Cloud / Data Centre Eng |Gnu/Linux System/Network/Security/Storage Engineer/Admin/architecture & Oracle Dba | Linux Trainer |Consultant ): جدید دنیاهای کشف و تحقیق و مطالعه به مند عالقه . کنم اشاره استراتژی های بازی و اوتلو و شطرنج بازی به میتوانم من های سرگرمی از واقع در تبریز الگ گذاران بنیان از یکی و لینوکس/گنو و باز متن دنیای عاشق . هستم عاشق یک من : کنید پیدا و کنید دنبال را من میتوانید چطور خب : +9809991057856 Mob Telegram ID : yashar_esm Telegram channel : unixmens Instagram Account Linkedin Account :/ / in yashar_esmaildokht 2
- 3. : مشاوره . بود خواهم شما دسترس در من . فرمایید حاصل تماس . کردم اشاره قبل صفحه در که هایی کانال از میتوانید مشاوره جهت 3
- 4. : به تقدیم خدا شتافت یاریم به که بود او تنها هایم سختی در که چرا مادرم اویم مدیون که را حبتَم و انسانیت داد یاد و . کرد تقدیم زندگی به مرا که چرا پدرم اویم مدیون و بود من حامی همیشه روحش که عشقم هست و بود مشوقم که سورس اپن جامعه بشریت را هایش دانسته میکند منتشر و میخواند که او و ): هیچ دیگر و جهانی صلح امید به و 4
- 6. ؟ یمنک ادهفتاس وکسنلی ونگ زا را چ / ن یزگای ج یک بالند به باید ، تیسن ن ات یهازیان عفر برای اسبینم عامل متسیس زدونوی که رسیدید ه یجتن ن ای به رگا ید شبا نآ برای . داردن ود وج ینراواف ابهای ختنا . هانت دنواتب ها لعام متسیس سایر ن میا زا ما ابهای ختنا ن ریتبه اید ش ونگ و مک به / ود ش هینتم وکسنلی . ارهایزفات خس به محصور اپل ترک ش ی هنحصارطلبانا هایتسیاس تعل به مک کامل کارکرد زین صبن تصور در و ود ش یم صبن ارهازفات خس سایر روی یت خس به و تاس ترک ش ن هما صاصیت خا داردن اسبینم و . ونگ عامل متسیس / البی ج بسیار ه چ خاریت که تاس هنرایا خاریت های هژپرو ن ریتگرزب زا یکی وکسنلی دارد . بعدها اما د ش اد ایج رمیگسر ته ج هانت دینلانف وی ج شندا یک وسطت نآ یکتولینمو ی هتهس که عاملی متسیس ار تشنا زو مج اب ختنا تعل به GPL در ن وناک و پیمود ی شه ج را تفر شپی مسیر ۲۲ ها ن سانا رثاک یگدنز در شا یگسال تاس ه دکر ذونف . زا بسیاری هازرو ن ای دنپسو که وسایلی « دنم شهو » ن وانع به وکسنلی زا دن شک یم ود خ بالند به را دننک یم ادهفتاس ود خ عامل متسیس لبق . وسایل ات هتفرگ تورسیکلتمو و ن ی شما لثم فلت خم ی هلینق وسایل زا دندار را ود خ ای ج زین هاتبلت و موبایل های ی شوگ هتالب و و ن یوزلویت ،ال چ خی لثم یگنا خ … . ونگ روی ن وات یم هم اپتدسک ی هنمیز در آیا یرد؟گ یم مه ش چ سر ا کج زا تیقفمو همه ن ای اما / زبا حساب وکسنلی کرد؟ ونگ ی هنرایا به ذونف مالتاح ; / تاس کم وکسینلی ; تیاسند های لعام متسیس ن ریت ن ام زا یکی وکسنلی مسلما . ت شپ که تاس ای هفلسف یگژوی ن ای ن آمد ود وج به دلیل ونگ عامل متسیس / دارد ود وج ادزآ ارهایزفا مرن و وکسنلی . یسنلایس قطب GPL تاس وکسنلی ار تشنا زو مج که تهاین در و یدنک شویرای هنادازآ ،یدنببی هنادازآ را هانآ ،یدنک تفدریا هنادازآ را امهنبر یک کدهای یدنوات یم ما ش یدنک ر نتشم سنلایس ن هما تحت اما هنادازآ . صدها به وکسنلی ی هتهس ن اگنده هوسعت ات ده ش ثباع یگژوی ن ای تاس هکرد کم بسیار را یتینام های هرفح و برده بالا بسیار را عامل متسیس پایداری امر ن همی و دنبرس رنف ارزه . تاس تقیقح یک نتفرگن ویروس یردگ یمن ویروس وکسنلی که ید شبا هیدن ش هم ما ش اید ش . یه وجت عامل متسیس ن ای کم کاربرد با را قاتفا ن ایها ییل خ زا شبی که یدنبدا تاس رتبه اما دننک یم ۴۰۰ زا هنابررایا ۵۰۰ دوننک یم ادهفتاس وکسنلی زا یاند رتبر ی هنابررایا زا شبی ن ین همچ ۷۰ های هدنده سرویس درصد ( servers ) دنا هکرد اب ختنا را عامل متسیس ن ای زین ن ها ج . به هتالب زا اپتدسک ن کاربرا عدادت ن ان همچ اصی خ دلایل ۳ تاس هکردن زاو جت درصد . وکسنلی عامل متسیس مسلما حساب ن ای با زدونوی به تسبن ریت شبی سیلناتپ سرورها و ها هنرایا ابر ش خب در یتحیا هایتولیئمس و یادز بسیار ن کاربرا تعل به دارد زدونوی به تسبن ریت شبی تینام و پایداری که یمنک یم اهده شم عمل در اما دارد ذونف و رابکاری خ برای . را چ اما یرد؟گ یمن ویروس وکسنلی ود وج امر ن ای دلیل یرستدس هایزو مج تاس تاوفتم ها لایف به وکسنلی دید ینیع تاس . لثم رایی اج ی هامنبر هر 6
- 7. دننک یم طی ن د ش را اج برای را اصی خ مراحل ها سویرو : ۱ . دنک یم بررسی ن بود رایی اج ر نظ زا را ایلف وعن داتاب عامل متسیس . ۲ . ود ش یم بررسی را اج برای کاربر هایزو مج . ۳ . یردگ یم رارق امهنبر ایلف یارت خا در اریزفات خس ابعنم و ود ش یم را اج ایلف بالا مورد دو اییدت تصور در . دنو ش یم طی هنوگ چ زدونوی و وکسنلی عامل متسیس دو در مراحل ن ای یمنببی حال . ۱ . ود ش یم هت خان ش نآ دنپسو زا ایلف وعن زدونوی در . دنپسو ایلف رگا ینیع , exe com یا bat دننما د شبا هت شدا ود ش یم ارتفر نآ با رایی اج ایلف . ابلق که دنو ش یم هت خان ش هانآ لی خدا امنسر روی زا ها لایف وعن وکسنلی در اما دتنیسن کاربر وسطت ییرتغ . اد ایج رایی اج ایلف نآ با وکسنلی ارتفر در ییریتغ هیچ دنپسو نت شدان یا نت شدا عقوا در نآ دنپسو رگا یتح تاس رایی اج ماتح وکسنلی در رایی اج ایلف یک ،دنک یمن jpg د شبا . ۲ . دندار را اج زو مج زدونوی در ن کاربرا ی ههم برای ها لایف ی ههم ضرف شپی تحال در . زا که یتصور در هتالب ایلف متسیس Ntfs ام جنا کاری هر دنادزآ همه و ت شدا واهد نخ ود وج بررسی برای یزو مج اصلا هنرگو یدنک ادهفتاس دنده . تاس ایلف یک های ش خب ن ریتمهم زا ن کاربرا برای را اج زو مج وکسنلی در . ود ش هت خان ش رایی اج رگا ایلف یک ینیع د شبا هت شدا ن د ش را اج زو مج باید را اج برای . در و ایلف ی هدننک اد ایج کاربر برای طقف را اج زو مج ضرف شپی تحال در رود یم ن بی زا ایلف ن د ش کپی تصور در هم زو مج ن ای ود ش یم داده اص خ رایط ش . زا را رایی اج ایلف ما ش رگا ینیع ابعنم ود شن داده را اج زو مج نآ به ما ش وسطت ات ود ش لودندا یکتوماتا دلایلی به ایلف ن ای یا یدنک لودندا تنرنتای یردگ یمن یارت خا در را متسیس . ن پایی ی هنیزه ار تشنا زو مج زا وکسنلی ی هادفتاس دلیل به هم زبا GPL آید یم ن پایی بسیار عامل متسیس هایین ی هنیزه . رثاک یراز تاس هد ش هت شون یاند سراسر مردم فطر زا و هنداوطلبا تصور به نآ کدهای . ن دبیا ن اگدنده هوسعت زا یکی هایزالینآ قطب که یدنبدا تاس الب ج ( debian ) ر نظ زا وکسنلی یعزوت ن ریتگزب که ریباتق ن دبیا دوباره ولیدت ، تاس امهنبر مار ش ۱۹.۱ دلار میلیارد ( حدود یزی چ ینیع ۲۴ و ارزه ۷۰۰ ن ومات میلیارد ) وکسنلی ی هتهس شزار ریگدی ای همحاسب در و دارد بر در هنیزه ۳ تاس هد ش دهز ن می تخ دلار میلیارد . یری ذپ فعطانا ار تشنا زو مج ن ای آورد حساب به ارزفا مرن تعنص برای لابنقا یه را ونگ ن وات یم اتقیقح - هفلسف ن ای نآ زا رتبه و - بود هم قفمو اتقیقح و آمد ود وج به ارهازفا مرن تفر شپی سد نت شبردا برای . ار تشنا زو مج فلط به هم یری ذپ فعطانا ینیع وکسنلی یگژوی ن هارمی چ GPL آمده ود وج به ادزآ ارزفا مرن کرتف و . کرد یزسا آماده ود خ هایزیان برای را نآ و شویرای هنادازآ را عامل متسیس ن ای کدهای ن وات یم زو مج ن ای قطب . ن ای 7
- 8. یمنببی فلت خم های هاگتدس روی را عامل متسیس ن ای ات ده ش ثباع یگژوی . تسیکل ورتمو لاثم 02 TTX ترک ش محصول Mavizen ی هنرایا با یکنروتالک ای هقمساب تورسیکلتمو ن یتس نخ تاس لی خدا . ود ش یم تهدای وکسنلی قطر زا کاملا تسیکل ورتمو ن ای . ترک ش ی شیردو ش های هاگتدس یا DeLavel دنک یم ادهفتاس دور راه زا رلنتک و تمدیری برای وکسنلی عامل متسیس زا . بر حدهتم تایالا تپس سرویس ن ین همچ پدت یم وکسینلی عامل متسیس یک نآ لبق در که بوده کیتم یتمراسلا یزسا بتمر متسیس . اموزای ( Isamu ) سال حوالی در که ۲۰۰۱ هت خان ش وکسنلی بریتنمب ماین ن سانا تروبا ن یتس نخ ن وانع به ،د ش ه ضعر ود ش یم . تاس ده ش بدیلت هاتروبا واعنا مامت معمول ن یانب به وکسنلی ، ن ونک ات ن ماز نآ زا اما . هاتروبا ن ای مله ج زا وئپل به ن وات یم ( Pleo ) اناتکا یکتروبا ویزبا و حرکتم یزاسباببا اسورندای ( Katana Robotic Arm ) وسطت که زیکنورون ( Neuronics ) کرد اره شا ، تاس ده ش هت خسا یتعنص کاربردهای برای . دارد ور ضح هم مانراه هایغرا چ در یتح عامل متسیس ن ای تهاین در و . یکفرات پیک ( Peek Traffic ) زا ای هموع مج یتح و یویورکن ،آیوا یر نظ هایی ن مکا در را یکفرات رلنتک که دنک یم ولیدت را وکسنلی بر یتنمب مایینراه هایغرا چ راهگرزب ۱۰۱ دندار عهده بر لس جنآ سل در . عامل متسیس کدهای زا اطلاع دارید بر خ ود خ عامل متسیس هایزرا و زرم مامت زا ما ش که تاس ن ای سورس ن اپ ارهایزفا مرن های یگژوی زا یکی . لاثم امن به ای هامنبر اسایین ش ثباع یگژوی ن همی carrier IQ یره خذ را همراه های نفلت ن کاربرا زا یادیز تاطلاعا که د ش کرد یم ارسال معلومی ان ای ج به و . که یمنک بررسی را رت ادهتفا پا شپی های یگژوی هم کمی یمنوات یم ریم ذگب کلیدی و اصلی های یگژوی ن ای زا رگا اما آید یم م ش چ به رت شبی اپتدسک ی ه خسن در . صبن زا بعد آماده ی هامنبر صدها را ما ش زیان که دنو ش یم صبن رگدی ت شدر و زری ی هامنبر ن ارازه با ضرف شپی تصور به وکسنلی های ه خسن رثاک دننک یم فبرطر ًاکامل . به اریزفا مرن ای هموع مج رید خ و نتفیا تیسن مزلا رگدی یعزوت هر صبن زا بعد ما ش ن همی برای بدهید ود خ . تاس ادهفتاس ی هآماد زی چ همه نتفیا برای . کلیک یک با صبن ن کات ود خ ی هنرایا ت شپ زا تیسن مزلا یتح تیسن ینراگن ای ج یدت شدا زیان ای هامنبر به هم زبا صبن زا بعد رگا یتح ورید خب . ینرسازبرو و صبن کار دندار رارق وکسنلی فلت خم های عیزوت در که هایی هتبس تمدیری یا صابن های هامنبر دنده یم ام جنا کاربر برای یگساد به را . 8
- 9. تاوفتم و سریع ینرسا زرو به ی هادفتاس ی هآماد نآ ی هد ش اصلاح ی ه خسن بعد زرو دن چ ود شب ف شک یگبا که امیگنه وکسنلی عامل متسیس در تاس ن کاربرا . زبرو تدرق ما ش ، تآپدی ارزفا رمن زا ادهفتاس با که تاس ه یکپارچ طوری وکسنلی متسیس کهنای ن م ض دارید را ها امهنبر رثاک ینرسا . نآ به هتوابس های امهنبر و عامل متسیس تکالا شا به محدود هانت زدونوی در ن ای ( و اکسپلورر ،پلیر مدیا لثم … ) تاس . در تاس ن ممک زین دیدی ج های یگژوی یتینام های تآپدی بر علاوه وکسنلی در د شبا هتفرگ رارق ینرسازبرو یک . تیسن یده شپو ما ش بر زی چ هیچ وکسنلی در . زرو هب های هتبس مامیت م حج و تیحا ضوت ،امن ،ینرسا زرو به ی هامنبر یدنببی را ینرسازرو به دنرآیف رهذ رهذ یدنوات یم ما ش و ارد ذگ یم ما ش یارت خا در را ده ش . سریع تفر شپی دهد یم روی ادزآ یایند در ویین قاتفا زرو هر ادزآ ارهایزفا مرن ی هفلسف و ن المتاس ارد ریچ فلط به . تعل ن همی به دتنهس ن د ش کامل حال در زرو هر سورس ن اپ های هامنبر . ن ای تسرع وکسینلی ن ویسان امهنبر عددت یفطر زا تاس هکرد رت شبی را تفر شپی . درایورها صبن دهید ام جنا کاری هیچ تیسن مزلا درایورها رثاک صبن برای وکسنلی در . ادهفتاس فمعرو تطعاق با هنرایا یک زا رگا دنک یم یزدانا راه و کرده اسایین ش را تطعاق ودکار خ تصور به وکسنلی ی هتهس یدنک یم . زدانا هرا به یاجتاح ها هنرایا ی ضبع در تاس ن ممک که دتنهس یتطعاق هانت یکفراگ هایتکار و وایرلس های ممود دن شبا هت شدا . العادهقوف هایتکفا و یباییز ونگ های عیزوت کهنای در / یدنکن ک ش تاس رت ن ر دم و رتیباز بسیار تفماکروسا لعام متسیس زا وکسنلی . ی هوسیل به های هر جنپ مدیر compiz یا Kwin بدهید ود خ اپتدسک به فلت خم تکفا دهها یدنوات یم . یباییز ن ین همچ KDE و یگساد Gnome تاس دز ن باز وکسنلی یایند در . هقسلی هر برای هایی عیزوت دارد ود وج وکسنلی دنمتدرق عامل متسیس زا تاوفتم یعزوت ن ارازه هزامرو . های عیزوت به ن وات یم ن میا ن ای زا ،ی ضریا ،یکزیف ،یمی ش لثم اهیگ شندا های هت شر صوص خم هایی عیزوت و یزبا صوص خم هایی عیزوت ات ده ش یاسلام کرد اره شا ،دنا هکرد آوری عم ج ود خ در را هت شر صوص خم کاربردی ی هامنبر ها هد که و قبر … . ن رماف ط خ وسطت ادویی ج رلنتک النرمیت زا دننک ادهفتاس وکسنلی عامل متسیس زا دنا هتفرگ صمیمت یگزات به که بسیاری ( بیه ش محیطی command 9
- 10. prompt نآ برابر دن چ یتدرق با زدونوی در ) دا ج یاییند ود خ برای وکسنلی النرمیت یدنبدا تاس رتبه اما ،دننازریگ دارد . تاس ن اتت شم در وکسنلی تقیقح در و دهید ام جنا واهید خ یم کاری هر النرمیت با یدنوات یم ما ش . ن همیدف دنک رمگسر را ما ش هاتمد برای دنوات یم آید یم تدس به تنرنتای در و جتس ج با عقموا رثاک که النرمیت توراتدس . بد تصور ن رماف ط خ و النرمیت زا کاملا تینام ن برد بالا ور ظنم به بکه ش برای وکسنلی زا ادهفتاس که یدنبدا تیسن یردگ یم . ن اگرای لودندا لودندا یعزوت نآ یتنرنتای اهگپای زا ن اگرای و یتراح به یدنوات یم را وکسنلی های عیزوت رثاک زا دیدی ج ی ه خسن هر یدنک . ود ش یم هت شبردا ما ش شدو زا هم نآ رید خ تحمز پس . قصد زین ادزآ های رازفا مرن رثاک ی هدربار یگژوی ن ای دنک یم . پولی ن ا شکدهای برای زبا نتم ارهایزفا مرن ن اگنده وسعهت ن و چ که تیسن ینمع ن ای به ن بود ن اگرای ن ای هتالب دنده یم هئارا را ریت فعی ض محصول پس دننک یمن تفدریا . تاس تاوفتم زبا نتم مدل در کسب یوه ش اصولا . دنآور یم تدس به یرز های هیو ش به را ود خ های هسرمای معمولا زبا نتم ارهایزفا مرن . • ینیبات شپ های سسروی ی هئارا ( وتناوبو برای یکالنونکا دننما ) • سنلایس دو با ارزفا مرن ار تشنا ( دننما sun کرد یم ر نتشم پولی را یسفآ ارتاس و ن اگرای را یسفآ ن اپ که ) • رایی اج ایلف پولی ار تشنا و امهنبر کد ن اگرای ار تشنا • بلیق های ه خسن و امهنبر اصل ن بود زبا نتم و امهنبر ی ه خسن ن ری خآ شروف • ن وگانوگ های دهان برای امهنبر یزسا صی خ ش و رت یفا ضا تانامکا تباب پول تفدریا • هنداوطلبا های ککم یا ن کرد تیندو قطری زا • هاترک ش سایر با همکاری قطری زا ( رگدی هایترک ش وی جتس ج ورهایتمو ن داد رارق با که یلازمو یادنب دننما اکسفایرف در ) یزسا بومی ود ش ن همسا تمل یک گنرهف با کاملا دنوات یم وکسنلی . تاس لئاق فلت خم های ن باز برای عامل متسیس ن ای یتاهمی در ارسیف ویمتق یزسا هپیاد یا و ضرف شپی تصور به ارسیف داردناتاس کیبورد زا ینیبات شب دننما KDE مه رجت یا دننما مهم ارهایزفا مرن زا بسیاری ن د ش , libreoffice gimp و .. یک نت شدا برای اسبنم رتبس یک به را وکسنلی ورها شک سایر فلا خبر ن ایرا در هنافاستم که تاس هکرد بدیلت ملی عامل متسیس ( اییقریفآ ورهای شک یتح ) ن ای به تاس هد ش داده تاهمی رتکم وع ضمو . 10
- 11. وکسنلی و ونگ ه چ خاریت فف خم ونگ .د شبا یم ارگزسا یکسنیو با ای هدنایزف طــور به کــه بــوده ادزآ کاملا عامل متسیــس یک ونگ عامل متسیس “ GNU’s Not Unix امبرتسپ در را ونگ هژپرو اولیه اطلاعیه ن المتاس ارد ریچ . تاس ” ۱۹۸۳ رت لکام ه خسن .کرد ر نتشم امبرتسپ در ونگ اعلامیه امن به نآ ۱۹۸۵ . تاس ده ش مه رجت ن باز ن دین چ به که د ش ر نتشم یت شگزبا فف خم یک ، تس نخ د؛نک یم فبــرطــر را هازیــان زا عدادیت که تاس ده ش اب ختنا تعل ن ای به »ونگ« امن برای “ GNU’s Not Unix . تاس الب ج نآ ن دنوا خ یا نتفگ گنآه ،سوم ، تاس عیقوا کلمه یک ،دوم ، تاس ) ( ” تاس ن ممک ادزآ ارزفا مرن ن آورد تدس به برای ما ش . تیمق هن ،دنک یم اره شا ادیزآ به »ادزآ ارزفا مرن« در »ادز«آ کلمه ادهفتاس برای هژویــ ادیزآ ســه ،ید شبا ــهت شدا یارت خا در را ارزفا مرن ـیتقو ، تصور هر در .یدزپردان یا یدزبپردا یغمبل ادیزآ ،دوم ؛ ن همــکارا و ن اتدوس به نآ ن داد هدیه و امهنبر زا برداری ه خسن برای ادیزآ ، تس نخ . ت شدا واهید خ نآ زا یعزوت برای ادیزآ ،سوم بع؛نم کدهای به کامل رسیتدس نت شدا با ،واه خدل طور به امهنبر در تییراتغ اعمال بــرای کار بــرای ـیدنــوات یم ،ماییدن یعزوت را ونگ ارزفا مرن ددا مج رگا .امعه ج ت خسا به کمک تهاین در و هتفیا بهبود ه خسن ( . یدنک هدیه ن اگرای طور به را هانآ یا و یدنک تفدریا را یغمبل ه خسن یک القتنا یکیزیف ) ســال در .ود ش یم امیدهن «ونگ هژ»پرو ،ونگ متسیس وسعهت هژپرو ۱۹۸۳ ن دنرداگزبا برای راهی ن وانع به ــونگ هژپــرو عنموا ن برد ن بی زا با ات د ش اد ایج تـ شدا ــود وج رتکامپیــو ن کاربرا امعه ج ن بی در تس نخ هایزرو در که همکاری روح .دزسا ن ممک را همکاری رگدی بار یک ،دنبود ده ش حمیلت حصارینا ارهایزفا مرن ن صاحبا وسطت که سال در ۱۹۷۱ اهگ شندا در را ود خ کار ن المتاس ارد ریچ که امیگنه MIT ارزفا مرن زا حصرانم کــه ــروهیگ در ،کرد زاغآ .دنکــرد یم یعزوت ادزآ ارزفا مرن لبغا زین ریتکامپیو هایترک ش یتح . ت خپردا کار به دنکرد یم ادهفتاس ادزآ .دنداد یم ام جنا را کار ن همی زین لبغا و دنبود ادزآ رگیکدی با همکاری در ن ویسان هامنبــر دهه در ۱۹۸۰ وسطت همکاری هانآ ن مالکا و دتن شدا مالک که ینمع نای بــه ،دنبود حصارینا ارهازفا مرن مامت ریباتق .کرد یم اب ایج را ونگ هژپرو ترور ض کار ن ای که دنکرد یم عنم را ن ازکارب ـما ش ،ـد شبــا هتـ شـدان ــود وج ادیزآ عامل متسـیـس ــرگا د؛ندار زیــان عامل متسیس یــک به رتکامپیو ن کاربرا مامت در ترور ض ن اولیــ ن ــابــراینب .یدنک روع ش را رتکامپیو با کار حصارینا ارهایزفا مرن زا ادهفتاس ن بدو یدنوات یمن یتح . تاس ادزآ عامل متسیس یک ود وج ،ادزآ ارزفا مرن محک بلاق نآ کلی طــراحی یراز دنبسا یکسنیو با قطبنم عاملی متسیس ات دتنفرگ صمیمت ادزآ اریزفا رمن شبن ج .کرد یم ن آسا را ونگ به یکسنیو ن کاربرا تحرک اریگزسا ن ای ن ین همچ و ،بود القتنا ابلق و ورده خ های هامنبر ،ـرهاگــ شویــرای ،کامپــایـلرها ــامــل ش و ؛ تاســ هتهس یک زا رت شبی یلی خ یکسنیو به ش عامل متسیس یک بسیار کار کامل عامل متسیس یک نت شون ن ابرایـنب .د شبا یم رگدی هایزی چ یلی خ و یتپس ارهایزفا مرن ، نتم دینبالبق ویهناژ در . تاس یگرزب ۱۹۸۴ برتاک در ادزآ ارزفا مرن یادنب .امید جنا طول به سالها دنکرد کار به روع ش ۱۹۸۵ رت شبی .د ش اسیست ونگ وسعهت به کمک ته ج سرمایه ب ذ ج برای 11
- 12. سال ات ۱۹۹۰ به ش هتهس یک ،وکسنلی سپس . دتنفیا تدس هتهس زــ ج بــه ،عامل متسیس اصلی ایز اج مامیت به سال در ،یکسنیو ۱۹۹۱ ســال در و کرد پیدا وسعهت زروالدت وسنلی وسطت ۱۹۹۲ رکیبت .د ش ادزآ ارزـفا مــرن یــک دهز ن مــی تخ .وکسنلی ـونگ متسیس :د ش کــامل عامــل متسیس یک به ر جنم ونگ کامل ریباتق متسیس با وکسنلی / ادهفتاس ـیـرهغ و تردهــ ، ن دبیــا ،اسلکور ــامــل ش ،وکسنلی ونگ های متسیس زا رنف ن میلیو ها هد ن وناک مه که ود ش یم / .دننک یم موعه مج یک ات دارد ر نظ در ادزآ ارزفا مرن یادنب . تاس ده شن محدود عامل متسیس یک به طقف ونگ هژپرو ،حال ن ای با ــامــل ش ــوع ضمــو ن ایــ .دن شبا هت شدا دنواه خ یم ن کاربــرا زا بسیاری که ه چنآ هر ، دنک اد ایج را ارهازفا مرن زا کامل .ود ش یم زین کاربردی ارهایزفا مـرن به دننک هیهت ارزفا مرن زین دندارن تمهار رتکامپیـو هنمیز در که ینکاربرا برای دارد صدق ن ین همچ ادزآ ارزفا مرن یادنب ،ونگ متسیس زا ادهفتاس در کار هزات ن کاربرا به کمک ور ظنم به یکیفراگ کار زمی یک ادزآ ارزفا مرن یادنب ته ج ن همی .کرد اد ایج در ن وناک مه ادزآ یزبا عدادیت .دنک اد ایج زین ــریگدی ریحتف ارهایزاب و ها یزبا ــواهد خ یم ن ین همچ ادزآ ارزفا مرن یادنب ینینواق که ینماز ز ج بـه ،ـداردن ــود وج یتمحدودی هیچ برود؟ شپی دنوات یم ا کج ات ادزآ ارزفا مرن . تاس رستدس برای ادزآ ارهایزفا مرن ن کرد راهمف ــهـایین فهــد .ــدننک عنم کامل طور به را ونگ ارزفا مرن ،حصارینا متسیس دننما حصارینا ارهایزفا مرن ن کرد مطرود ه یجتن در و دنده ام جنا دنواه خ یم رتکامپیو ن کاربرا که کارهایی مامت ام جنا .د شبا یم 12
- 13. زاب نت م از ز فا زمن Open Source Software دمهقم متاکوسیس در ن ارا ذگ هسرمای صادیتقا ارتفر بر که ای ه ظملاح ابلق یرثأت با زبا نتم ارزفا رمن دننک یم سعی ن اگنده هوسعت هزات محیط نای در . تاس داده ییرتغ را یزبا واعدق هت شا ذگ ارزفا مرن ن اگدن شروف و دننک یم حس را زبا نتم تمحصولا ولیدت ار شف هاترک ش ،دن شبا کد دهننک اعمال .دن شک یم را اری شسر سود ار ظتنا متسیس 13
- 14. ۱ ی فمعز . قاتفا نای . تاس آورده بار به ن کاربرا برای رتنازار ارزفا مرن زا شبی یزی چ زبا نتم ارزفا مرن هور ظ . تاس کرده اد ایج ارزفا مرن هزحو ن راگیزبا نبی صادیتقا عالنفا و علف در عمده یتییراتغ یگدنز زا سبکی یتح یا ارزفا مرن وسعهت به هژوی اهیگن سم جت زبا نتم ارزفا مرن ها ییل خ برای - - تاس نای ابریلگ ارد ریچ و ن لدمگ ن را هادن شپی . تهس هم اری جت دبیرت وعین اینمع به اما تاس دهنز محیطی و دننک ادهفتاس زبا نتم ارزفا مرن زا ن ا شنکاربرا امعه ج د شر برای باید هاترک ش که .دنماین اد ایج ن ا شتدما خ و تمحصولا فاطرا کاربر تا یاجتاح با نآ ن داد قطبیت برای که را کد نتم و تاس ن اگرای زبا نتم ارزفا مرن معمول بطور بعلاوه ارزفا مرن ش خپزبا هزا اج کاربر به زبا نتم های هنپروا لبغا .دارد همراه به تاس زیان مورد کد نتم تییراتغ که ینماز ات دنده یم ش خپزبا برای یغمبل تفدریا ایزا در را ن ممک تییراتغ د شبا رستدس در عمومی تبصور ( . . www opensource org .) .دهد یم وسعهت امعه ج که تاس اریزفا مرن معی ج زبا نتم .دارد ود وج زبا نتم ارزفا مرن وعن دو صمیمت ن داوطلبا زا یدهزگبر روهیگ اهیگ د شبا ارزفا مرن مالک یقوقح تصی خ ش یک کهنای ای بج و دنو ش هتفیر ذپ اصلی کد نتم به ورود برای ده ش اعمال همکاریهای زا یک کدام که دنیرگ یم صوص خب ترک ش یک هن و کد ن اگدننک اعمال ،صی خ ش ن اگدنده هوسعت .برود سو کدام به ارزفا مرن ی آپاچ وب سرور مورد دننما دنیرگ یم صمیمت ارزفا مرن درباره ( . . httpd apache org .) ترک ش . تاس نآ دهنده هوسعت و مالک ،سود پی در یتصی خ ش که تاس اریزفا مرن اری جت زبا نتم و یرد ذبپ اصلی کد نتم به ورود برای را کد کدام که دنک یم نعییت و دارد یارت خا در را فالیت قح مورد دننما دهد ام جنا کاری ه چ دهنآی در MySQL داده اهگپای و . . MySQL (www mysql com) . صادتقا بر لبغا امعه ج بوسیله ده ش داده وسعهت زبا نتم ارزفا مرن صادتقا درباره نی شپی تمطالعا زبا نتم ارزفا مرن به آوریب عجت ن راواف هنداوطلبا کار ن ازمی نآ در که تاس زمرکتم کار یروین زا ی شان صی خ ش ت ذل اطر خب ن اگدنده هوسعت که دنک یم اره شا دنریمو اریک .یابد یم صیص تخ در شنهمکارا و هارووی ن انار دننک یم کمک زبا نتم های هژپرو به ن ا شنایاتهم نبی بارتاع شایزفا . دنرسید ابهی شم ه یجتن به زین ود خ ربی جت مطالعه 14
- 15. ینف اییهاینوات ن کرد دتنمس برای ن اگدنده هوسعت که دننک یم دلالتاس یرولهت نی ج ،رونلر وا شا ج یونا خلا کریم و دننک یم کمک زبا نتم های هژپرو به یتآ ن رمایافکار برای لیغ ش زدانا م ش چ بهبود و به ن اگدنده هوسعت کمک برای مهمی یتاذ محرک کار زا ن برد ت ذل که دننک یم شارزگ فلگ ترابر .دنا ممه هم مالی های هزیگنا که دهد یم ن ا شن مطالعه نای ه رچگ تاس زبا نتم های هژپرو را چ که دهد یمن رح ش را نای اما تاس هنداوطلبا کار برای تیحا ضوت زا ای هپار هانای که حالی در کمک زبا نتم ارزفا مرن های هژپرو به ترک ش کاری ن ماز در که دننک یم دام ختاس را اصی خ شا هاترک ش ی آپاچ ارزفا رمن یادنب هژپرو به که ینکسا قوقح که دتنفدریا شنهمکارا و ن ها ن هور ایل .دننک یم که دتنفرگ ه یجتن نیققمح پس .دارد ی آپاچ تکیلا شت در هانآ بهتر با یمیقتمس رابطه دننک یم کمک بکار مولد های یاینوات ش جنس برای معیاری ن وانع به را یادنب در ن اگدنده هوسعت بهتر ن رمایافکار .دنیرگ یم 15
- 16. iptables یک فایروال برای گنو / لینوکس است . است نصب فرض شپی بصورت لینوکس های عتوزی بیشتر بروی که . سیاستی هر اجرای به قادر که است ابزاری نام تیبلز یپ یآ ترانسفر الیه در آن حصر و حد بی انعطاف به ،هسته سطح افزاِر منر این اصلی محبوبیت و شهرت اما است شبکه باالتر و تر نپایی های هالی حدودی تا و ترانسفر الیه سطح در ها هبست روتینگ از حرف که آنجا شود یم مربوط ( Packets ) است آنها وضعیت و . Iptables تیم توسط netfilter شد طراحی . نام به ،آن طراحی ای هزنجیر ساختار علت به ابتدا در ipchain نام بعدها اما یافت شهرت iptables شد گذاشته آن بر . این آتش دیوار ( Firewall ) اضافه آن به مانندی ماژول های تقسم زمان مرور به اما کند اعمال ورودی های هبست روی فقط محدودی بسیار های تسیاس توانست یم تنها ابتدا در شد . 16
- 17. محلی ی هشبک یک در استفاده آتش دیواره از نیازها از بسیاری رفع و ترافیک کنترل ،امنیت برقراری ،شبکه آدرس ی هترجم ،بهتر مدیریت ،حفاظت برای ،لینوکس عامل مسیست آتش دیواره .شود یم IPTables ساختار معرفی به ابتدا ،مقاله این در .است IPTables ،ها هزنجیر ،ها لجدو از ساختار این .پردازیم یم .است شده تشکیل ها قانطبا و ها نقانو IPTables قانون هر و قانون تعدادی از زنجیره هر ،زنجیره تعدادی از جدول هر .است فرض شپی جدول چهار دارای در قانون آن هدف ،باشد داشته انطباق قانون یک با کامل طور به ای هبست اگر .است هدف مجموعه یک دارای قانون هر .است شده تشکیل انطباق تعدادی از .دهیم یم توضیح کامل طوربه را آتش دیواره از عبورکننده های هبست سرنوشت ادامه در .شد خواهد اجرا بسته مورد یا ابزار یک ،همچنین .است شده طراحی شبکه آن به ناخواسته های یدسترس مسدودکردن منظور به که است کامپیوتری ی هشبک یک از بخشی آتش دیواره یک بر مختلف امنیتی های هدامن بین کامپیوتری ترافیک کل نمودن پراکسی یا رمزگشایی و رمزنگاری ،ردکردن ،دادن هاجاز منظور به که است ابزارها از ای همجموع آتش های هدیوار .شود سازی هپیاد دو این از ترکیبی یا و افزار منر ،افزار تسخ روی تواند یم آتش دیواره .شود یم استفاده معیارها و قوانین از ای همجموع اساس از اینترنت از دریافتی و ارسالی های مپیا کلیه .شوند یم استفاده اینترنت به متصل داخلی ی هشبک به اینترنت ناخواسته کاربران دسترسی از جلوگیری برای ًالمعمو برای .کند یم مسدود ،کنند ینم برآورده را شده مشخص امنیتی معیارهای که هایی نآ و کند یم بررسی را ها مپیا ی ههم آتش دیواره .کنند یم عبور آتش دیواره نام به ابزاری از لینوکس عامل مسیست آتش دیواره تنظیم IPTables .شود یم استفاده Netfilter و IPTables ی ههست درون افزاری منر ساختارهای 2.4 . x و ی ههست 2.6 . x .داد انجام را ها هبست اصالح و شبکه آدرس ی هترجم ، ها هبست فیلترکردن توان یم ها نآ کمک به که باشند یم آتش دیواره :است زیر موارد شامل که دهد یم ارائه سرویس چندین آتش دیواره • آدرس از حفاظت IP های هشبک مثال عنوان (به مختلف های هشبک .کنند یم عمل مسیریاب یک مانند آتش های هدیوار از بسیاری :ترافیک کنترل و 192.168.1.1/24 و 10.100.100.0/24 ایجاد به کمک برای ابزار این از فقط شبکه مدیران از بسیاری .کنند برقرار ارتباط یکدیگر با توانند یم ) از استفاده با و است آتش دیواره اجزای از یکی خصوصیت این .کنند یم استفاده اضافی های هزیرشبک IPTables و IPChains .است شده کامل آدرس یک با بنابراین IP انجام را شبکه آدرس ی هترجم لزوما آتش دیواره چه راگ .آوریم وجود هب گسترده ی هشبک یا محلی ی هشبک یک توانیم یم مانند آتش های هدیوار اکثر اما ،دهد ینم IPTables .کنند یم فراهم را امکان این • شبکه تفکیک .کند یم کمک ترافیک مدیریت در و است ها هشبک دیگر و شبکه یک بین مرز یک ایجاد برای ابتدایی ابزار یک آتش دیواره : • سمع استراق و پویشی ، دهی سسروی از جلوگیری های هحمل برابر در محافظت ترافیک که کند یم عمل منفرد نقطه یک عنوان به آتش دیواره : .کند یم کنترل را شبکه از خروجی و ورودی • کردن فیلتر IP یک کاربرد ترین هشد هشناخت کردن فیلتر .دارد پورت و آدرس مبنای بر را اتصال کردن در یا پذیرفتن توانایی آتش دیواره :پورت و بر بلکه ها هبست مقصد مبنای بر تنهانه و بوده پیچیده بسیار تواند یم و است همراه ها هبست کردن فیلتر با کردن فیلتر از نوع این .است آتش دیواره .باشد نیز بسته مبدا اساس • بررسی با را ترافیک که است آتش دیواره نوع یک پراکسی ی هدهند سسروی کلی طور به :محتوا کردن فیلتر URL .کند یم مدیریت ،صفحه محتوای و .کند مسدود و شناسایی ،است مدنظر که محتوایی تواند یم ،شود تنظیم درستیبه ،پراکسی بر مبتنی آتش دیواره اگر • بسته مسیر تعویض ی هدهند سسروی اگر مثال .بفرستد دیگر میزبان یک یا دیگر پورت یک به را ترافیک باید آتش دیواره اوقات بعضی : Squid پورت به شده فرستاده ترافیک تمام آتش دیواره کار این با ،است شده نصب آتش دیواره از غیر میزبانی روی 80 و 443 در استاندارد های ت(پور های لاتصا HTTP و HTTPS .فرستد یم پراکسی ی هدهند سسروی به بیشتر پردازش برای را ) :از عبارتند آتش دیواره انواع • .کند یم رد یا قبول را آن کاربر توسط شده تعریف قوانین اساس بر و کند یم نگاه شبکه از شده خارج یا شده وارد بسته هر به :بسته هفیلترکنند جعل برای و بوده مشکل آن پیکربندی اما است شفاف ،کاربران برای و کند یم عمل موثر طور به بسته فیلترکننده افزار منر IP .است مستعد • کاربرد ی هدرواز های هدهند سسروی مانند خاص های دکاربر در : FTP و Telnet ،است مفید بسیار افزار منر این .کند یم اعمال را امنیتی های ممکانیز .شود کارآیی کاهش باعث است ممکن اما • مدار سطح دروازه اتصال یک که یهنگام : TCP یا UDP ،شود یم برقرار اتصال که ای هلحظ از .کند یم اعمال را امنیتی های ممکانیز ،شود یم برقرار .شوند مبادله بیشتر کنترل بدون ها نمیزبا بین توانند یم ها هبست • .کند یم پنهان را شبکه واقعی های سآدر موثری طور به و کند یم مسدود را شبکه از خروجی و ورودی های مپیا ی هکلی :پراکسی ی هدهند سسروی پایه مفاهیم به مربوط متون در IPTables که روند یم کار هب یکدیگر جایبه اصطالحات این ،موارد از بسیاری در .اند هشد داده توضیح ادامه در که دارد وجود مفاهیمی .شود مطالببدفهمی باعث است ممکن Netfilter ترین هشد هشناخت .رود یم کاربه ها هبست دستکاری و مسدودکردن منظور به و دارد قرار لینوکس ی ههست در که است ها بقال از ای همجموع حاوی چارچوبی از که ابزاری Netfilter مانند نیز دیگری ابزارهای .کند یم فیلتر را ها هبست که است آتش دیواره ،کند یم استفاده NAT از بسته بندی فص و دار تحال پیگیری ، ،کرد فراهم لینوکس برای را آتش دیواره ابزارهای از ای همجموع که ای هپروژ نام همچنین .کنند یم استفاده آن Netfilter این در که اجزایی اکثر .است بوده .شدند تهیه نیز هایی هکتابخان و کاربر فضای ابزارهای از ای همجموع اما هستند هسته در بارگذاری قابل های لماژو شدند تهیه پروژه IPFilter ی هالی هایسرآیند اساس بر ها هبست محدودکردن معیار .دهد یم انجام را کاربری رابط یک از عبور حین در ها هبست انتخابی عبوردادن یا مسدودکردن 3 ( 4 IPv ، 6 IPv ی هالی و ) 4 ( TCP، UDP، 4 ICMP .است مقصد و مبدا پروتکل و پورت ،مقصد و مبدا آدرس ،دارد کاربرد همه از بیش که معیاری .است ) IPFilter برای ابتدا که است آتش های هدیوار انواع از یکی OpenBSD از برخی ذکر به ادامه در .دارد وجود نیز دیگر عامل های مسیست در اکنون اما ،یافت توسعه مزایای IPFilter .پردازیم یم • از خاصی انواع به توان یم ،است متصل اینترنت مانند خارجی ی هشبک یک به داخلی های هشبک و است لینوکس ،عاملسیستم که یهنگام :کنترل ها هبست رفتن از توان یم بنابراین ،است مقصد آدرس حاوی ها هبست سرآیند ،مثال برای .نمود مسدود را آن از خاصی انواع و داد عبور ی هاجاز ترافیک 17
- 18. از هایی یآگه و تبلیغات ،وب های هصفح در دیگر مثالی عنوان به .نمود جلوگیری خارجی ی هشبک از خاصی بخش به . doubleclick net وجود به توان یم ،کند یم ها نآ بارگذاری صرف را زیادی زمان مرورگر و دارند IPFilter از ای هبست هیچ گفت . doubleclick net .نکند دریافت • هایی تمحدودی داخلی ی هشبک به وارده ترافیک روی بر باید بنابراین .است داخلی منظم ی هشبک و اینترنت آشفته دنیای بین رابط تنها لینوکس :امنیت نخواهید است ممکن مثال عنوان به .بود نگران باید وارده های هبست مورد در اما شود خارج شبکه از چیزی چه که نباشد مهم است ممکن .کرد اعمال طریق از کسی که Telnet .نباشید دهنده سسروی یک و کنید استفاده اینترنت از تنها بخواهید است ممکن .کند برقرار ارتباط دهنده سسروی با داشتن با کارها این تمامی .گیرد یم را اتصالی هرگونه جلوی بنابراین IPFilter .است پذیر نامکا • مراقبت در .کند یم ارسال شبکه از خارج به را بسته زیادی تعداد ،است شده پیکربندی نامناسبی طور به که محلی ی هشبک در سیستمی اوقات گاهی : است مناسب جا نای IPFilter .دهد گزارش را غیرطبیعی رویداد هر وقوع که کرد تنظیم طوری را ( شبکه آدرس ی هترجم NAT ) آدرس یک به نیاز وب دهندگان سسروی و دیگرکامپیوترها با ارتباط در کامپیوتری هر IP به کاری های هشبک و خانگی استفاده رشد و اینترنت گسترش با .دارد های سآدر تعداد رسد یم نظر IP آدرس قالب مجدد طراحی ،ساده حل راه یک .نباشد کافی موجود IP را بیشتری های سآدر تعداد داشتن امکان که است جا نای در .است اینترنت زیرساخت کل اصالح نیازمند و شود سازی هپیاد حل راه این تا کشد یم طول سال چندین اما ،دهد یم NAT .کند یم حل را مشکل NAT یک صورت این در .کند عمل مشخص محلی ی هشبک یک و اینترنت بین رابط عنوان به که دهد یم را امکان این مسیریاب یک مثال منفرد دستگاه یک به IP های سآدر تعداد کمبود .شود استفاده کامپیوتر ی همجموع یک برای تواند یم منفرد IP از استفاده دلیل تنها NAT و امنیت برقراری چون دیگری فواید .نیست از استفاده مزایای از نیز بهتر مدیریت NAT مفهوم .است NAT ی هدرواز عنوان به )مسيرياب يا كامپيوتر (مثل دستگاه يك كه است معنا اين به و ساده بسيار كه دستگاهي آدرس به را كاري هاي هايستگا هاي سآدر كار اين با و كند يم عمل اينترنت به ورود NAT ديگر بيان به ،كند يم ترجمه است فعال آن روي NAT را شبكه اينترنت ديگر سوي از .کند يم پنهان اينترنت ديد از را شبكه كلي طور به و كاري هاي هايستگا و شود یم فعال است متصل اينترنت به كه دستگاهي روي .باشد يم متصل اينترنت به كه بيند يم ساده دستگاه يك صورت هب NAT كاري هاي هايستگا روي دوباره تنظيمات به نيازي و كند ينم ايجاد تغيير شبكه روي كه است دستگاهي آدرس همان كه را شبكه از خروجي ی هدرواز آدرس بايست يم كاري هاي هايستگا فقط .نيست NAT .بدانند را است شده فعال آن روي IPTables سری از لینوکس ی ههست 1.1 داری IPFilter نام به ابزاری از ها هبست فیلترکردن قوانین تنظیم برای .است بوده ipfwadm لینوکس در .شد یم استفاده 2.2 نام به ابزاری IPChains لینوکس برای سرانجام و شد معرفی 2.4 ابزار IPTables حقیقت در .شد معرفی IPTables سخن هسته با که است ابزاری های لماژو قوانین دستکاری و ایجاد برای ،ها هبست کردن فیلتر بر عالوه .کند فیلتر را هایی هبست چه که گوید یم آن به و گوید یم NAT زیرا ،شود یم استفاده نیز NAT قوانین مجموعه طریق از نیز IPFilter نام اغلب .شود یم پیکربندی IPTables شامل که آتش دیواره زیرساخت کل برای Netfilter پیگیری ، و اتصال NAT اصلی های یویژگ .شود یم استفاده ،است IPTables :از عبارتند • بسته فیلتر قوانین ی همجموع ی هکلی کردن تفهرس • بسته فیلتر قوانین ی همجموع در قوانین اصالح /کردن کم /افزودن • بسته فیلتر قوانین ی همجموع در قانون هر های هشمارند کردن صفر /فهرست که این دلیل به IPTables کاربر توسط حتما باید ،دارد نیاز اجرا برای خاصی امتیازات به root لینوکس های مسیست اکثر در .شود اجرا IPTables در ی هشاخ / / usr sbin iptables دستور اجرای با و شود یم نصب man iptables ی هپروژ .کرد پیدا دسترسی آن به مربوط مستندات به توان یم / netfilter IPTables سال در 1998 توسط میالدی Rusty Russell ی هدهند هتوسع که IPChains تیم ،پروژه پیشرفت با .شد شروع بود نیز Netfilter لیسانس تحت ها نآ توسط شده داده توسعه افزار منر .گرفت شکل / GNU GPL چارچوب .است Xtables تعریف امکان سیستم مدیر به پردازش از خاصی نوع با جدول هر .شود برخورد چگونه بسته با که کند یم مشخص قانون هر .هستند قوانین از هایی هزنجیر شامل که دهد یم را هایی لجدو هر تا روند این و بفرستد دیگری زنجیره به را بسته یک تواند یم زنجیره یک در قانون یک .شوند یم پردازش ها هزنجیر پیمایش با ها هبست .دارد سروکار ،بسته را ای هزنجیر چه ابتدا در که کند یم مشخص بسته منبع .پیماید یم را زنجیره یک حداقل شبکه از خروجی یا ورودی بسته هر .باشد داشته ادامه تواند یم جایی .کند ایجاد زنجیره دلخواه تعداد به تواند یم سیستم مدیر .شود یم حذف ،برسد زنجیره انتهای به که ای هبست مثال برای .دارند هایی تسیاس توکار جداول .بپیماید .گردد یم زبا ،است کرده فراخوانی را آن که ای هزنجیر به دوباره ،برسد ها هزنجیر گونه نای انتهای به ای هبست اگر و است نشده تعریف سیاست ها هزنجیر این برای هر ،پیماید یم را زنجیره یک ای هبست وقتی .باشد داشته هدف یک است ممکن قانون همچنین .یابد یم انطباق خاصی های هبست انواع با هزنجیر یک در قانون هر هدف در چه نآ طبق ،یابد انطباق بسته با قانون اگر و شود یم فرستاده بعدی قانون به بسته ،نکند پیدا انطباق بسته با قانون اگر .کند یم بررسی را آن ،قانون سرنوشت مورد در صورت این در که یابد انطباق بسته آن با قانون یک تا دهد یم ادامه زنجیره در پیوسته پیمایش به بسته .شود یم برخورد بسته با شده مشخص یا بازگردد فراخواننده ی هزنجیر به بسته و کند فراخوانی را بازگشت هدف ،قانون یک یا )شود یم حذف یا قبول بسته (مثال شود یم گرفته تصمیم بسته نهایی .برسد زنجیره انتهای به بسته اصطالحات و عبارات IPTables .شوند یم داده شرح ،هستند الزم بعدی مطالب درک برای و دارند را کاربرد بیشترین که اصطالحاتی و عبارات از تعدادی ،بخش این ادامه در تقدم انطباق – : -- انطباق مثال .باشد اطالعاتی چه محتوی باید سرآیند یک که گوید یم قانون یک به که منفرد انطباق یک :اول معنی .رود یم کار هب مختلف معنی دو با کلمه این source :دوم معنی .است شده تشکیل انطباق چندین یا یک از قانون هر .باشد شبکه از خاصی محدوده یا خاص میزبان یک باید منبع آدرس که گوید یم ما به :اند هشد آورده ادامه در ها قانطبا پرکاربردترین از نمونه چند .است یافته انطباق قانون با بسته گوییم یم کند صدق بسته یک مورد در قانون یک کل اگر • --( (- source s آدرس یک : IP .دهد یم انطباق را شبکه یا مبدا • --( (- destination d آدرس یک : IP .دهد یم انطباق را شبکه یا مقصد • --( (- protocol p یک روی : IP .دهد یم انجام انطباق • --( - (- in interface i .کند یم ایجاد ورودی رابط یک : • interface .کند یم ایجاد خروجی رابط یک : • -- state .دهد یم انطباق اتصال حاالت از ای همجموع روی : • -- string .دهد یم انجام انطباق ،کاربردی ی هالی داده های تبای از ای هرشت روی : ( قانون rule ) : های یساز هپیاد اکثر در که است هدف یک همراه به انطباق چندین یا یک از ای همجموع IPTables بعضی در .است انطباق چندین از ای همجموع قانون یک ، .باشیم داشته قانون هر برای هدف چندین توانیم یم ها یساز هپیاد از 18
- 19. قوانین ی همجموع : سازی هپیاد در قوانین از ای همجموع IPTables .شوند یم نوشته پیکربندی فایل یک در قوانین ی همجموع .باشد یم پرش : jump دستورالعمل JUMP اگر .شود یم نوشته دیگر ی هزنجیر یک نام ،هدف نام نوشتن جای به که تفاوت این با .شود یم نوشته آن مانند دقیقا و است هدف یک مانند .شود یم پردازش آن در و شود یم فرستاده بعدی ی هزنجیر به بسته ،داشت انطباق قانون هدف : target باید که کند یم مشخص هدف تعریف ،کند پیدا انطباق کامل طور به قانون کل اگر .دارد هدف ی همجموع یک قوانین ی همجموع در موجود قانون هر کلی طور به آدرس یا و حذف ،قبول را آن باید که گوید یم مثال .کرد چه بسته با IP در .باشد نداشته یا باشد داشته هدف یا پرش است ممکن قانون یک .کرد ترجمه را آن :است شده آورده پرکاربرد هدف چند ادامه • ACCEPT .دهد ادامه خود راه به که دهد یم اجازه بسته یک به : • DROP .شود ینم انجام آن روی دیگری پردازش هیچ و کند یم حذف را بسته یک : • LOG در را بسته یک : syslog .کند یم ثبت • REJECT .کند یم ارسال ،مناسب پاسخ یک همزمان و کند یم حذف را بسته یک : • RETURN .شود یم فراخواننده ی هزنجیر در بسته یک پردازش ادامه باعث : جدول : table در و دارد خاصی هدف جدول هر IPTables جداول :دارد وجود جدول پنج ، Filter، Nat، Raw و Mangle و. security جدول ،مثال عنوان به Filter جدول و است شده طراحی ها هبست کردن فیلتر منظور به Nat آدرس ی هترجم برای فقط IP .شود یم استفاده ها هبست اتصال پیگیری : های یویژگ ترین ممه از یکی Netfilter کند پیگیری را ها هجلس یا شبکه های لاتصا کلیه که دهد یم هسته به را امکان این اتصال پیگیری .است اتصال پیگیری .کند مرتبط هم به ،دهند یم تشکیل را اتصال یک هم با که هایی هبست کلیه وسیله نبدی و NAT و دارد نیاز هم به مرتبط های هبست ی هترجم برای اطالعات این به IPTables زیر شرح به مختلف های تحال به را بسته هر ،اتصال پیگیری .کند عمل دار تحال آتش دیواره یک مانند و کند استفاده اطالعات این از تواند یم :کند یم بندی هطبق • جدید .جدید اتصال یک ی هبست اولین : • شده ربرقرا .دارد وجود که است اتصالی از قسمتی که ای هبست : • وابسته .است مرتبط موجود اتصال یک به اتصال این و است کرده شروع را جدید اتصال یک که ای هبست : • نامعتبر .نیست ای هشد هشناخت اتصال هیچ از قسمتی : • ردیابی عدم .ندهد انجام خاص بسته یک برای را اتصال پیگیری تا شود یم داده نسبت بسته یک به مدیر توسط که است خاصی حالت : زنجیره : chain یک جدول هر .دارد خاص هدف یک زنجیره هر .شود یم اعمال ،پیمایند یم را زنجیره که هایی هبست روی بر که است قانون ی همجموع یک زنجیره یک .کند تعریف را هایی هزنجیر تواند یم نیز کاربر اما دارد توکار زنجیره ی همجموع از عبارتند توکار های هزنجیر ترین ممه INPUT، OUTPUT و FORWARD • INPUT انجام ها نآ مسیریابی عمل هسته در که نای از بعد البته .شوند یم وارد محلی ی هشبک به که شود یم پیمایش هایی هبست توسط زنجیره این : .شود • OUTPUT .شوند یم تولید لینوکس سیستم در که است هایی هبست برای : • FORWARD در که شوند مسیریابی آتش دیواره در باید ها هبست ،شود یم استفاده دیگر ی هشبک به شبکه یک کردن لمتص برای آتش دیواره وقتی : .رود یم کار هب زنجیره این مورد این از عبارتند دیگر ی هزنجیر دو PREROUTING و POSTROUTING انجام ،هسته توسط مسیریابی عمل از بعد و قبل را ها هبست سرآیند اصالح که .دهند یم 19
- 20. 20
- 21. : گفت میتوان چنین کلی طور به Rule برای که است دستوری دربرگیرنده ،قانون یا .رود بکار باید آن روی بر کار یک وانجام ها بسته انتخاب مبدأ از شده ارسال های بسته تمام :مثل ۱۹۲.۱۶۸.۰.۱ آدرس یا .شوند حذف IP شده ارسال های بسته تمام مبدا کامپیوتر از ۱۹۲.۱۶۸.۰.۵ به ۸۰.۴۰.۵۰.۶۰ .یابد تغییر Chain مثل .باشد می قوانین از ای مجموعه ،زنجیر یا یک تشکیل یکدیگر با توانند می بال قانون دو chain نام به . testchain بدهند را 21
- 22. : خالصه واقع رد Netfilter و IPTables کرنل درون افزاری نرم ساختاری 2.4 . x کرنل و 2.6 . x بتوان آن کمک به شود می باعث که باشد می packet filtering ( معرفی پرتکل های بسته کردن فیلتر ) ، NAT ( شبکه آدرس ترجمه ) ها بسته به مربوط اعمال سایر و ( mangle ) داد انجام را . ها بسته ( Packet ) مدل شبکه الیه در که است پروتکلی داده واحد ، OSI باشد می عمل حال در . " پروتکل داده واحد " مخفف کلمه با PDU عبارت از که Protocol Data Unit شود می داده نشان ،باشد می . PDU متفاوت های الیه در و مختلف های پروتکل برای ها OSI دارد تفاوت یکدیگر با . مثًال PDU ( پروتکل داده واحد یعنی ) الیه در 2 الیه در حالیکه در باشد می فریم ، 3 است بسته ، . اصطالح اوقات گاهی PDU گردد می شبکه دنیای به واردان تازه سردرگمی باعث . گویند می وقتی مثًال PDU رسانه روی بر حرکت حال در ( سیم ) و است فریم منظور ،دوم الیه در یا . سوم الیه به مربوط که ها بسته ( یعنی Network ) گیرند می قرار ها فریم درون ،باشند می . ساختار با صورتیکه در بپردازیم ها بسته بین از انتخاب به ،خاص قوانینی کمک به و محتویات این براساس و کرده وارسی آنرا محتویات توانیم می ،باشیم آشنا بسته یک . از یکی مهم وظایف IPTables قوانین براساس که باشد می همیم نیز ( rule ) جلوی یا و بدهد عبور اجازه بعضی به و کرده بررسی را ها بسته محتویات ، بگیرد را دیگر گروهی عبور . IPTables است افزار نرم یک . خانواده تر قدیمی های نسخه با که کسانی Linux مانند 7. Read Hat x ،اند داشته سروکار IPChain به را آورند می خاطر . IPChain بزرگ پدر نوعی به که است قدیم فایروال یک IPTable گردد می محسوب ! IPTables کمک به Netfilter نوشت را قوانین توان می آن توسط که است فرمانی خط خاص دستورات از ای مجموعه دارای و است شده ساخته . آدرس با کامپیوتر از ها بسته اگر گوییم می قوانین این طبق مثًال IP، 192.168.0.1 کن حذف را آنها ،بود ! • NAT مخفف که Network Address Translation معنی به و باشد می " شبکه آدرس ترجمه " ،گردد می باعث که است استانداردی ،است آدرس مجموعه یک از داخلی شبکه روی بر داده های بسته انتقال برای IP های آدرس از دیگری مجموعه از خارجی ترافیک برای و IP شود استفاده . شکل در 1 آدرس کننده ترجمه وسیله یک نقش تواند می ،خارجی و داخلی شبکه دو بین موجود کامپیوتر ، IP یا NAT کند بازی را . ،کامپیوتر این های آدرس IP های آدرس به را شبکه داخلی سمت در موجود IP ترجمه ،هستند استفاده مورد اینترنت یا و شبکه خارجی سمت روی بر که خارجی میکند . از استفاده و کار این دالیل از یکی NAT آنها به و کرده مخفی بیرونی کاربران دید از را خود داخلی های آدرس توانند می کاربران که است آن دهند نشان را دیگر آدرس یک . • 22
- 23. اندازی راه امکان NAT عامل سیستم در 2003 Windows مختلف های خانواده ، Linux روترهای و Cisco دارد وجود . Mangling معنای به " پیچاندن " یا و " دادن فرم تغییر " و ... باشد می ! دنیای در IPTable شود می شنیده زیاد اصطالح این . قرار چیزی چه ولی یابد؟ تغییر است Mangling ( محتویات تغییر یا ) در خاصی فیلدهای محتویات تا دهد می را امکان این کرنل به Header را ها بسته به مربوط دهد تغییر . مورد در توضیح حتمًا یابد؟ تغییر فیلدها محتویات باید چرا ولی NAT اید نکرده فراموش را . وظیفه NAT دیگری آدرس به را آدرس یک که بود آن کند تبدیل . آدرس مثًال IP از بسته یک فرستنده 192.168.0.5 به 80.40.50.60 شود عوض . فیلدهای از یکی در فرستنده آدرس Header ذخیره کمک به و است شده Mangling داد تغییر را فیلد این محتویات توان می . را تابع یک ،کند می عبور قالبی از بسته یک که دفعه هر تا دهد می اجازه کرنل درون های ماجول به که باشد می کرنل درون قالب تعدادی مانند دهد نشان العملی عکس نیاز صورت در و بزند صدا . IPTables از پیش ،کند می عبور ای بسته وقت هر و نموده استفاده کرنل های قالب از کند می چک آنرا ،گردد ارسال خاص شبکه یک به بتواند آنکه . از بتوان آنکه برای IPTables باشد شده اجرا و پیکربندی باید نیز سرویس و باشد شده ایجاد کرنل در آن از پشتیبانی قابلیت باید ،نمود استفاده . های خانواده اکثر در ویژگی این خوشبختانه Linux با و باشد شده فعال متوسط حالت در یا و نباشد فعال دالیلی به است ممکن ولی دارد وجود نکند کار قدرت حداکثر ! که است آن علت IPTables از بسیاری است ممکن و شود می گیر سخت بسیار ،گردد فعال حداکثر حالت به وقتی بیفتد کار از نیز ای شبکه جاری اعمال . قانون تعدادی ،فایروال اندازی راه با ( rule ) زنجیر و ( chain ) به متصل های شبکه بین خواهند می که هایی بسته برای و گردد می ایجاد گردد می استفاده ،یابند انتقال فایروال . • 4 . ساختار IPTables : از استفاده برای IPTables شد آشنا آن سازنده اجزاء با باید . فایروال IPTables دارای 3 شکل در که میباشد اصلی عنصر 2 است آمده . این 3 از عبارتند فایروال ساختار سازنده بالک : قانون و زنجیر ،جدول . 23
- 24. Rule رود بکار باید آن روی بر کار یک انجام و ها بسته انتخاب برای که است دستوری دربرگیرنده ،قانون یا . مثًال : مبدا از شده ارسال های بسته تمام 192.168.0.1 شوند حذف ، . آدرس یا IP کامپیوتر از شده ارسال های بسته تمام مبدا 192.168.0.5 به 80.40.50.60 یابد تغییر . نمونه دو موارد این rule گردند می تشکیل عملکرد یک به مربوط بخش یک و بندی دسته و انتخاب به مربوط بخش یک از خود که دهند می نشان را . Chain باشد می قوانین از ای مجموعه ،زنجیر یا . یک تشکیل یکدیگر با توانند می باال قانون دو مثًال chain نام به testchn بدهند را . Table باشد می زنجیرها از ای مجموعه ،جدول یا . مثًال chain دو با فوق chain فرضی های نام به دیگر mainchn و changechn تشکیل نام به جدول یک input_tbl بدهند را . IPTables دارای فرض پیش شکل به 3 های نام به اصلی جدول filter ، nat و mangle باشد می . نیز را دیگری جداول نیاز برحسب میتوان البته نمود اضافه مجموعه این به . بندی دسته برای و کاربران توسط جداول این chain و ها rule دارد کاربرد خودشان توسط شده تعریف های . هم زمانی هر ولی نمایند حذف را خود جداول بخواهند که 3 فرض پیش جدول filter ، nat و mangle نیستند حذف قابل . گردد می ارائه فوق گانه سه جداول از کدام هر مورد در توضیحی زیر در : جدول filter : و قوانین کلیه گیرنده بر در chain باشد می ها بسته نمودن فیلتر های . از ارسالی های بسته حذف به مربوط قوانین مثًال شبکه سوی 172.16.0.0 برای عبور مجوز صدور یا و کامپیوتر از ارسالی های بسته 10.10.5.8 و ... می قرار جدول این در همگی گیرند . پورت مثًال خاص پروتکل و پورت یک به مربوط های بسته که کرد تعریف جدول این در قوانینی توان می اینها بر عالوه 80 مربوط که پروتکل به http ( وب همان یا ) پورت به مربوط های بسته ولی باشند داشته عبور اجازه است 21 پروتکل یا ftp باشند نداشته عبور اجازه . کنند نمی فیلتر که است قوانینی یا و کننده فیلتر قوانین نگهداری جدول این اصلی وظیفه پس . براساس نکردن فیلتر یا و کردن فیلتر عمل آدرس مانند گوناگون معیارهای IP و پورت شماره یا و مقصد و مبدا ... پذیرد می صورت . • جدول nat : مورد در توضیح nat دارید خاطر به که را . و قوانین کلیه گیرنده بر در جدول این chain ترجمه وظیفه که است هایی آدرس IP دارند برعهده را . بگیرید نظر در را زیر قانون مثال بعنوان : کامپیوتر از ای بسته اگر 10.10.10.8 آدرس ،شد ارسال IP به را فرستنده 80.50.60.90 بدهید تغییر . دهد می انجام را آدرس ترجمه عمل بلکه ،دهد نمی انجام فیلتر مورد در عملی قانون این . جدول در آن جای بنابراین filter جدول در باید و نبوده nat گیرد قرار . جدول mangle : فیلدهای دستکاری به مربوط ،پیشرفته اعمال کلیه header جدول این در موجود قوانین توسط شبکه در ارسالی های بسته در گیرد می صورت . جدول تفاوت nat و mangle آدرس تغییر به مربوط قوانین فقط که است آن در IP جدول در پورت یا و nat ولی گیرند می قرار فیلدهای تغییر به مربوط قوانین سایر header جدول در ،دارند کاربرد پیشرفته حالت در که mangle گیرند می جای . • تعدادی ،جداول این از هرکدام درون chain گیرد می قرار فرض پیش شکل به . این جمله از chain به میتوان ها 8 عدد chain آمده زیر در که اصلی کرد اشاره ،است : chain های input، forward و output جدول filter 1 24
- 25. chain های prerouting و postrouting جدول nat 2 chain های prerouting ، input و output جدول mangle 3 از تعدادی فقط ها این البته chain تمام بر عالوه و بوده فرض پیش های chain ساخت امکان فرض پیش های chain دارد وجود نیز کاربران توسط . شکل 3 های جدول در موجود قوانین و باشد می چگونه ها بسته حرکت نحوه ،مقاله این در بحث مورد مدل شبکه در که دهد می نشان IPTable چه در ، دهند می قرار بررسی مورد را فایروال به خروجی یا و ورودی های بسته نقاطی . ساختار کل تواند می شبکه مدیر IPTables عملکرد .نماید فعال کامپیوتر اینترفیس هر روی بر را آن از قسمتی فقط یا و IPTables شود می باعث .گردد فایروال به تبدیل کامپیوتر یک تا شکل در که همانطور 3 بسته جریان .است شده داده نشان جدا نمودار دو در برعکس و داخل به خارجی شبکه از بسته یک حرکت مسیر ،است مشخص :باشد می شکل بدین ساختار این درون شبکه کارت طریق از فایروال به بسته یک ورود هنگام به 0 eth زنجیر قسمت اولین ، prerouting جدول در mangle با را ترکیب این .باشد می / mangle prerouting ،باشید داشته یاد به اگر .دهیم می نشان mangling خاصی فیلدهای بتواند کرنل که شود می باعث )محتویات (تغییر در header .سازند می ممکن را عمل این زنجیر این در موجود قوانین .دهید تغییر را از / mangle prerouting وارد بسته ، / nat prerouting که گردید بیان قبًال .شود می nat آدرس ترجمه برای IP شبکه به شبکه یک از آدرس توانند می ،زنجیر این در موجود قوانین .رود می بکار دیگر IP .کنند عوض را مقصد پورت آدرس یا و مقصد فایروال یک روی بر اگر بنابراین IPTables به مربوط اگر ،اینترنتی کاربران سوی از فایروال به ورودی های بسته تمام که بنویسیم قوانینی بخواهیم پروتکل http آدرس سمت به ،بودند 192.168.5.5 در باید ،شوند هدایت داخلی شبکه روی / nat prerouting های بسته تمام مقصد آدرس ، به مربوط ورودی http به را 192.168.5.5 .داد تغییر : باشید داشته خاطر به بنابراین / nat prerouting آدرس تغییر برای IP بخش .باشد می مقصد پورت آدرس یا و مقصد Route و زنجیر یا جدول یک ،است آمده شکل در که یا rule .نباشد Roué آدرس نیز گیری تصمیم اساس .شود ارسال جدول کدام و زنجیر کدام به باید بسته گیرد می تصمیم که است قسمتی فقط IP بخش بنابراین .است مقصد route آدرس ، )(مسیریابی IP را بسته مقصد check آدرس اگر .کند می IP آدرس مساوی ،بسته مقصد IP خود و شده ارسال فایروال برای بسته که است معلوم ،باشد فایروال route قسمت به را بسته / mangle input آدرس اگر .نماید می ارسال IP مقصد ،باشد دیگری چیز هر route به را بسته / filter forward قسمت .کند می ارسال / filter input به خواهند می که را هایی بسته تمام ، به .شود بالک باید یا و باشد می قبول مورد بسته یک آیا کند می معین که است قوانینی حاوی زنجیر این .میدهد قرار بررسی مورد را شوند وارد فایروال یا بسته کننده فیلتر یک ساده عبارت - packet filter .باشد می عنوان با شکل روی بر دیگر قسمت یک local process فایروال روی بر موجود های پراسس از بعضی .است شده مشخص محلی های پراسس یا تواند می دسته این از مثال یک .نمایند برقرار ارتباط شبکه روی موجود های سرویس و وسایل سایر با شبکه کارت طریق از بخواهند است ممکن ping سرویس بودن موجود یا و ،فایروال پشت از دیگر کامپیوترهای کردن DNS سرویس یا و NTP .باشد فایروال کامپیوتر روی بر به ابتدا ها بسته نوع این / mangle output زنجیر .شوند می وارد / mangle output به شبیه عملکردی / mangle prerouting زنجیر به ،شوند می تولید فایروال خود توسط که هایی بسته فقط که است این در تفاوت ولی .دارند / mangle output .شوند می وارد زنجیر / filter output آیا که کنند می مشخص که هستند قوانینی شامل زنجیر این .کند می مدیریت را شوند می خارج فایروال از که را هایی بسته ، یک نیز بخش این ،ساده عبارت به .شود بالک یا و گیرد قرار موردقبول باید بسته یک - packet filter زنجیر ،موازی مسیر در .باشد می / filter 25
- 26. forward حذف آنرا بسته ویژگیهای براساس و داده قرار بررسی مورد را شوند می فرستاده داخلی شبکه سمت به خارجی شبکه از که را هایی بسته .دهند می عبور اجازه آن به یا و کرده / nat postrouting آدرس توان می آن توسط که است قوانینی گیرنده بر در زنجیر این .باشد می ها بسته حرکتی مسیر در نقطه آخرین ، IP مبدا زنجیر کنیم می یادآوری پس .داد تغییر را عبوری بسته یک مبدا پورت شماره یا و / nat prerouting آدرس که است قوانینی برگیرنده در IP در ولی کنند می عوض را مقصد پورت یا و مقصد / nat postrouting آدرس که داریم قوانینی IP .کنند می عوض را مبدا پورت شماره و مبدا : واقع رد IPTables ابزار کمک به که است فایروال یک Netfilter از قبل نسل .است شده ساخته ، IPTables نام با IPchains درون .شود می شناخته IPTables شکل در که دارند قرار یکدیگر با خاصی ارتباط در زنجیرها .داریم را قوانین و زنجیرها ،جداول ، 3 کاربرد خالصه شکل به .شد داده نشان جدول مطابق آنها درون زنجیر و جداول از هرکدام 1 :باشد می زنجیر نام / جدول نام / mangle prerouting شود می استفاده ندرت به / nat prerouting آدرس تغییر IP مقصد پورت و مقصد / filter forward ( انتقال forward آن کنترل و دیگر شبکه به شبکه یک از بسته ) / nat postrouting آدرس تغییر IP مبدا پورت و مبدا / filter input زنجیر input کند می چک را فایروال خود به ورودی های بسته که / mangle input شود می استفاده ندرت به / mangle output شود می استفاده ندرت به / filter output زنجیر output کند می چک را فایروال خود از خروجی های بسته که 26
- 27. گیرد می انجام زیر فرمان با که باشد می مرتبط سرویس نمودن فعال دستور این با کار برای اول قدم : service iptables start نکته : سرویس اینکه از قبل iptables سرویس بایستی شود اجرا 6 ip tables کنیم غیرفعال را . کنیم می وارد فرمان خط در را زیر دستورات کار این برای : 6 service ip tables stop 6 chkconfig ip tables off وضعیت شود فعال فرض پیش صورت به سرویس این سیستم شدن بوت موقع اینکه برای runlevel حالت در بایستی ON شود می داده قرار : -- 345 chkconfig level iptables on ها پورت کردن بسته و باز : پورت کردن باز برای 80 کنیم می استفاده زیر فرمان از فایروال در : - - - -- 80 - iptables A INPUT p tcp m tcp sport j ACCEPT - - - -- 80 - iptables A OUTPUT p tcp m tcp dport j ACCEPT - p معادل protocol و sport معادل و مبدا پورت dport باشد می مقصد پورت معادل . به نیاز صورت در همچنین از استفاده https پورت بایستی 443 باشد باز نیز : - - - -- 443 - iptables A INPUT p tcp m tcp sport j ACCEPT - - - -- 443 - iptables A OUTPUT p tcp m tcp dport j ACCEPT شود می استفاده مشابه دستورات از نیز ها پورت سایر برای . دستور ساختار iptables : شود می تقسیم بخش دو به دستور این گرامر : , chain target - iptables A chain -j target chain پارامتر و است اصلی قسمت – A (append ) یک rule نماید می اضافه را . chain معادل تواند می , , input ouput forward که باشد باشند می دائمی پارامترهای . پارامتر – j (jump ) قوانین مجموعه در محلی iptables گیرد می انجام آنجا به پرش که کند می مشخص را . ترتیب به آن مقادیر شامل , , accept drop reject باشند می . پارامتر توسط – n توانید می نیز chain کنید اضافه سفارشی و جدید های . با کار policy های firewall : Iptbles پارامتر از – p ایجاد برای rule کند می استفاده فرض پیش های . زیر دستورات مثال بالک را شبکه درگاه در دریافتی و ارسالی های پکت کلیه کند می : - iptables P INPUT DROP - iptables P OUTPUT DROP های پکت که شود می توصیه همچنین forward نیز شده denied نشوند نمایان اینترنت در ناخواسته طور به داخلی شبکه کاربران تا شوند . rule زیر رود می کار به کار این انجام برای : - iptables P FORWARD DROP تنظیم از بعد policy chain توانید می rule را نظر مورد های کنید تعریف : قوانین بازیابی و ذخیره ی نحوه iptables : Rule های firewall کامپیوتر زمانیکه تا on اتوماتیک صورت به سیستم مجدد اندازی راه با و باشند می معتبر باشد reset شوند می . این اینکه برای کنید زیراستفاده دستور از شوند اجرا اتوماتیک صورت به ،مجدد اندازی راه از بعد قوانین : 27
- 28. / / sbin service iptables save نکته : سایر Rule مسیر در ها / / / etc sysconfig iptables شوند می ذخیره . 28
- 29. 1 . فایروال وضعیت نمایش : در حاضر حال در که هایی رول شدن مشخص برای iptables فرمائید استفاده زیر دستور از توانید می ،دارند وجود : - - - iptables L n v باشد زیر شکل به تواند می دستور خروجی : ( 0 , 0 ) Chain INPUT policy ACCEPT packets bytes pkts bytes target prot opt in out source destination ( 0 , 0 ) Chain FORWARD policy ACCEPT packets bytes pkts bytes target prot opt in out source destination ( 0 , 0 ) Chain OUTPUT policy ACCEPT packets bytes pkts bytes target prot opt in out source destination بود خواهد زیر شکل به وضعیت احتماال ،اید کرده اضافه هایی رول قبل از خود فایروال در اگر : ( 0 , 0 ) Chain INPUT policy DROP packets bytes pkts bytes target prot opt in out source destination 0 0 -- * * 0.0.0.0/0 0.0.0.0/0 DROP all state INVALID 394 43586 -- * * 0.0.0.0/0 0.0.0.0/0 , ACCEPT all state RELATED ESTABLISHED 93 17292 -- 0 * 0.0.0.0/0 0.0.0.0/0 ACCEPT all br 1 142 -- * 0.0.0.0/0 0.0.0.0/0 ACCEPT all lo ( 0 , 0 ) Chain FORWARD policy DROP packets bytes pkts bytes target prot opt in out source destination 0 0 -- 0 0 0.0.0.0/0 0.0.0.0/0 ACCEPT all br br 0 0 -- * * 0.0.0.0/0 0.0.0.0/0 DROP all state INVALID 0 0 -- * * 0.0.0.0/0 0.0.0.0/0 :0 06/0 02 TCPMSS tcp tcp flags x x TCPMSS clamp to PMTU 0 0 -- * * 0.0.0.0/0 0.0.0.0/0 , ACCEPT all state RELATED ESTABLISHED 0 0 -- 2 * 0.0.0.0/0 0.0.0.0/0 wanin all vlan 0 0 -- * 2 0.0.0.0/0 0.0.0.0/0 wanout all vlan 0 0 -- 0 * 0.0.0.0/0 0.0.0.0/0 ACCEPT all br ( 425 , 113 ) Chain OUTPUT policy ACCEPT packets K bytes pkts bytes target prot opt in out source destination (1 ) Chain wanin references pkts bytes target prot opt in out source destination (1 ) Chain wanout references pkts bytes target prot opt in out source destination 29
- 30. فرمائید استفاده زیر دستور از رول هر خط شماره همراه به ها رول نمایش برای : - - - -- - iptables n L v line numbers بود خواهد زیر مشابه ،دستور خروجی احتماال : ( ) Chain INPUT policy DROP num target prot opt source destination 1 -- 0.0.0.0/0 0.0.0.0/0 DROP all state INVALID 2 -- 0.0.0.0/0 0.0.0.0/0 , ACCEPT all state RELATED ESTABLISHED 3 -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all 4 -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all ( ) Chain FORWARD policy DROP num target prot opt source destination 1 -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all 2 -- 0.0.0.0/0 0.0.0.0/0 DROP all state INVALID 3 -- 0.0.0.0/0 0.0.0.0/0 :0 06/0 02 TCPMSS tcp tcp flags x x TCPMSS clamp to PMTU 4 -- 0.0.0.0/0 0.0.0.0/0 , ACCEPT all state RELATED ESTABLISHED 5 -- 0.0.0.0/0 0.0.0.0/0 wanin all 6 -- 0.0.0.0/0 0.0.0.0/0 wanout all 7 -- 0.0.0.0/0 0.0.0.0/0 ACCEPT all ( ) Chain OUTPUT policy ACCEPT num target prot opt source destination (1 ) Chain wanin references num target prot opt source destination (1 ) Chain wanout references num target prot opt source destination دستور توضیح : L : - ها رول لیست v : - جزئیات نمایش n : - نمایش ip عددی بصورت پورت و 2 . فایروال وضعیت تغییر : کرد استفاده توان می فایروال ریست و خاموش ، روشن برای زیر دستورات از : service iptables stop service iptables start service iptables restart 30
- 31. نمائید وارد را زیر دستور ، بمانید باقی منوال همین به وضعیت نیز سرور ریستارت از پس و خاموش را فایروال خواهید می اگر : service iptables stop chkconfig iptables off 3 . فایروال های رول و قوانین حذف : آورید بدست را رول خط شماره زیر دستورات کمک به ابتدا : - - -- - iptables L INPUT n line numbers - - -- - iptables L OUTPUT n line numbers - - -- - iptables L OUTPUT n line numbers | less - - -- - 202.54.1.1 iptables L OUTPUT n line numbers | grep شماره خط در موجود رول حذف برای مثال عنوان به حال 4 فرمائید استفاده زیر دستور از توانید می : - 4 iptables D INPUT فرمایید استفاده خود نظر مورد پی ای به مروبطه قوانین حذف برای زیر دستور از یا و : - - 202.54.1.1 - iptables D INPUT s j DROP توضیح : D : - شده انتخاب زنجیره از رول چند یا یک حذف 3.1 فایروال از ها رول کلیه حذف ( Flush iptables :) فرمائید استفاده زیر دستور از توانید می ها رول کلیه حذف برای : - iptables F تیبل در اگر و nat و mangle نمائید وارد است الزم نیز را زیر دستور دو ، کردید اضافه رولی نیز : - - iptables t nat F - - iptables t mangle F فرمائید استفاده زیر دستور از مجدد ها رول وضعیت مشاهده برای : - - - iptables L v n 31
- 32. 4 . فایروال در فوروارد یا و خروجی ، ورودی ترافیک کردن مسدود نحوه : فرمائید استفاده زیر دستورات از توانید می ترافیک کل کردن مسدود برای ( به شما دسترسی از مانع تواند می دستورات این که نمائید دقت گردد سرور : ). - iptables P INPUT DROP - iptables P OUTPUT DROP - iptables P FORWARD DROP فرمائید استفاده زیر دستور از توانید می فایروال در شده اضافه تغییرات نمودن ذخیره برای : service iptables save - . iptables save > iptable rule : کنیم ریستور را آن میتوانیم زیر دستور با سپس . کنیم ذخیره نظر مد مسیر در میتوانید را ها رول ما اینجا در - . iptables restore < iptables rule برای : نکته save فایل در را کردن ریستور به مربوط دستور توانید یم دایمی بصورت کردن interfaces ) شبکه کارت (تنظیمات : نمونه برای دهید قرار - - . pre up iptables restore < iptables rule 5 . یک نمودن مسدود نحوه IP سرور روی بر : پی ای سوی از ورودی ترافیک توانید می شما اول دستورات کمک به 1.2.3.4 ای رنج برای ورودی ترافیک کل دوم دستور کردن وارد به و گردد می مسدود مثال مورد پی . - - 1.2.3.4 - iptables A INPUT s j DROP - - 192.168.0.0/24 - iptables A INPUT s j DROP 6 . خاص پورت یک روی بر ورودی ترافیک کردن مسدود نحوه : پورت روی بر را ورودی ترافیک توان می زیر دستورات کمک به 80 نمائید مسدود . پورت از سرور وب معموال که است توضیح به الزم 80 کند می استفاده سایت وب نمایش برای . - - -- 80 - iptables A INPUT p tcp dport j DROP - - 1 - -- 80 - iptables A INPUT i eth p tcp dport j DROP 32
- 33. پورت روی بر ورودی ترافیک کردن مسدود برای 80 یک برای تنها IP رنج یک یا و IP فرمائید استفاده زیر دستورات از توانید می : - - - 1.2.3.4 -- 80 - iptables A INPUT p tcp s dport j DROP - - 1 - - 192.168.1.0/24 -- 80 - iptables A INPUT i eth p tcp s dport j DROP 7 . خروجی ترافیک نمودن مسدود نحوه : یک برای خروجی ترافیک نمودن مسدود برای IP رنج یک یا و خاص IP فرمائید استفاده زیر دستورات از توانید می : - - 1.2.3.4 - iptables A OUTPUT d j DROP - - 192.168.1.0/24 - iptables A OUTPUT d j DROP - - 1 - 192.168.1.0/24 - iptables A OUTPUT o eth d j DROP 8 . ها فعالیت کردن الگ : از جلوگیری برای مثال برای شوید مطلع است وقوع حال در سرور شبکه روی بر که هایی فعالیت ریز از تا استفا نیاز مواقع از خیلی IP spoofing اینترفیس روی بر 1 eth فرمائید استفاده زیر دستور از توانید می . حالیکه در دستور این در ، گردد می مسدود مربوطه ترافیک پیشوند با نیز گرفته صورت های تالش IP_SPOOF A شود می ذخیره الگ در : - - 1 - 10.0.0.0/8 - -- - : iptables A INPUT i eth s j LOG log prefix "IP_SPOOF A " - - 1 - 10.0.0.0/8 - iptables A INPUT i eth s j DROP مسیر در ها الگ معموال / / / var log messages متفاوت تواند می استفاده مورد لینوکس ویرایش به توجه با البته که دارند قرار باشد . فرمائید استفاده زیر دستورات از توانید می مربوطه های الگ مشاهده برای : - / / / tail f var log messages -- / / / grep color 'IP SPOOF' var log messages سوکت قابلیت از توان می فایل الگ شدن حجیم از جلوگیری برای - m برای که نمود تنظیم توان می آن کمک به که کرد استفاده دستور در هر در مثال 5 از بیش دقیقه 7 در را مورد ننماید ذخیره الگ : - - 1 - 10.0.0.0/8 - -- 5/ -- - 7 - -- - iptables A INPUT i eth s m limit limit m limit burst j LOG log prefix : "IP_SPOOF A " - - 1 - 10.0.0.0/8 - iptables A INPUT i eth s j DROP 9 . شویم؟ آگاه شبکه روی بر فایروال توسط پورت یک بودن بسته یا باز از چگونه 33
- 34. فرمایئد استفاده زیر دستور از توانید می پورت نبودن و بودن باز از آگاهی برای : - netstat tulpn پورت پورت آیا اینکه از اطالع برای 80 tcp فرمایید استفاده زیر دستور از خیر یا است باز : - :80 netstat tulpn | grep پورت اگر 80 نمائید وارد را زیر دستور نبود باز : service httpd start پورت که یابید اطمینان زیر دستور کمک به 80 است نشده بسته فایروال روی بر : - - - 80 iptables L INPUT v n | grep فرمایئد استفاده زیر دستور از توانید می بود مسدود صورتیکه در : - - -- - -- 80 - iptables A INPUT m state state NEW p tcp dport j ACCEPT service iptables save 10 . فایروال کردن فعال غیر : به توانید می است شده شما سرور هایصلی سرویس صحیح کارکرد از مانع فایروال یا و هستید روبرو فایروال به دسترسی در مشکلی با اگر نمائید خاموش را فایروال زیر دستورات کمک . ماند خواهد باقی منوال همین به وضعیت سرور ریستارت از پس نیز دوم دستور از استفاده با مانند جانبی افزار نرم از شما آنکه مگر ،گردد نمی فعال مجدد فایروال و csf می فعال مجدد فایروال ترتیب بدین که باشید کرده استفاده داشت نخواهد شدن غیرفعال قابلیت شکل بدین و گردد : service iptables stop chkconfig iptables off با بیشتر آشنایی برای iptables مطالعه و manual فرمائید استفاده زیر دستور از توانید می آن های : man iptables بود خواهد استفاده قابل زیر دستور آن راهنمای مشاهده برای : - iptables h فرمائید استفاده زیر سینتکس نیز هستید خاص دستور یک برای تنها فایروال راهنمای بدنبال اگر : - - iptales j DROP h 34
- 35. 35
- 36. دستور توضیح - - # iptables t filter L دهد می نمایش را شدن فیلتر جدول زنجیرهای تمام iptables -t nat -L # جدول های زنجیر تمام nat دهد می نمایش را - - #iptables t filter F کند یم پاک شدن فیلتر جدول از را شروط و قوانین تمام - - #iptables t nat F جدول از را شروط و قوانین تمام nat کند یم پاک iptables -t filter -X # کند یم پاک را باشد شده درست کاربر توسط که را زنجیری هر - - - -- - #iptables t filter A INPUT p tcp dport telnet j ACCEPT اتصاالت ی هاجاز telnet دهد یم ورودی به را - - - -- - #iptables t filter A OUTPUT p tcp dport http j D RO P اتصاالت HTTP کنند یم قطع را خروجی به - - - -- #iptables t filter A FORWARD p tcp dport 3 - pop j ACCEPT اتصاالت ی هاجاز 3 POP زنجیر به را forward دهد یم - - - -- - #iptables t filter A INPUT j LOG log prefix ورودی ی رشته بروی اتفاقات ثبت - - - 0 - #iptables t nat A POSTROUTING o eth j M A SQ U ER A D E پیکربندی PAT از خروجی های بسته بروی 0 eth - - - 192.168.0.1 - #iptables t nat A PREROUTING d p - -- 22 - -- - tcp m tcp dport j DNAT to destination 10.0.0.2:22 دیگر میزبان به میزبان یک به شده دهی آدرس های بسته مجدد هدایت ترتیب به زیر های دستور LOG فایل در را هایی / / var log message / خروجی های دسترسی برای ( Outgoing Access ) و ورودی های دسترسی ( Incoming Access ) پورت به 21 پروتکل و tcp ( پروتکل ftp ) مبدای هر از ( توسط شده داده نشان - s 0/0 ) کنند می ثبت . log–prefix اینجا در که خاص رشته یک یعنی :< FTP کند می اضافه پیام ابتدای به را است . ” :< - - - 0/0 21 - - “ iptables A OUTPUT p tcp s –dport j LOG –log prefix FTP ” :< - - - 0/0 21 - - “ iptables A INPUT p tcp s –dport j LOG –log prefix FTP • کار همان زیر های دستور LOG پروتکل برای را باال icmp دستور یا ping فایل در / / var log message / کنند می ثبت . ” :< - - - -- - “ iptables A OUTPUT p icmp j LOG log prefix PING ” :< - - - -- - “ iptables A INPUT p icmp j LOG log prefix PING 36
- 37. عنوان به لینوکسی ماشین تنظیم NAT N AT مخفف Network Address Translate شبکه درون خصوصی های آدرس دسترسی برای LAN است اینترنت به . شبکه کارت هر معمول طور به LAN دارای باید آدرس یا عمومی آدرس یک Val i d باشد داشته دسترسی اینترنت به بتواند تا باشد . از توان می اما N AT اینترنت به آنها دسترسی برای ها ماشین همه برای عمومی آدرس یک و کرد استفاده . ماشین یک حالت این در ( غیره یا ویندوز ،لینوکس ) عنوان به Router وظیفه N AT گیرد می عهده به را . نقش که ماشینی N AT آدرس دو دارای دارد را ( کارت دو شبکه ) است عمومی و خصوصی های آدرس با . آدرس طریق از را اینترنت به مربوط های درخواست محلی شبکه درون های ماشین G atew ay ماشین به خود N AT و ارسال ماشین N AT مبدا آدرس جایگزین را خود آدرس ( محلی شبکه از کننده درخواست ماشین آدرس ) جایگزین را محلی داŒ Œمب ماشین آدرس ،اینترنت از پاسخ دریافت از پس و کرده دهد می مبدا ماشین تحویل را پاسخ و کرده خود آدرس . سازی پیاده N AT توسط iptables ودŒ Œش می انجام . دولŒ Œج از نینŒ Œهمچ nat هŒ Œب وطŒ Œمرب iptables یا یرهŒ Œزنج همراه هŒ Œب chai ns نیمŒ Œک می تفادهŒ Œاس آن های . . I P Masquerade آنرا که IPMASQ درون های ماشین به نامند می نیز LAN ماشین به را خود های درخواست آنها تک تک به عمومی آدرس اختصاص بدون تا هد می اجازه N AT کنند ارسال . IPMASQ server یک نقش Gateway است محلی شبکه به متصل دیگری و اینترنت به متصل یکی ،شبکه کارت دو دارای که کند می بازی را . تمامی پشت در اینترنت به دسترسی برای محلی شبکه درون های سیستم IPMASQ server دارند قرار . تفاوت SN AT و IPMASQ تنظیم در که است این در IPMASQ اینترنت به که دیوایسی یا مودم آدرس از ما ( عمومی شبکه ) کنیم می استفاده است متصل . در واقع در SN AT باشیم داشته را عمومی آدرس یک باید ( نیمŒک داریŒخری ) ینŒماش شبکه ارتŒک روی رŒب آنرا و N AT نیمŒک تنظیم . در اما IPMASQ یا ترنتŒاین هŒب لŒمتص وایسŒدی آدرس از outgoi ng devi ce کنیم می استفاده مودم مانند ( . که آدرسی از I SP کنیم می استفاده است داده اختصاص ). تنظیم چگونگی پست این در SN AT و IPMASQ دستور نوسط iptables شد خواهد گفته . سازی پیاده برای N AT جدول از باید nat از iptables نیمŒ Œک استفاده ( با شده مشخص t nat )- زنجیره از همچنین و POSTROUTING جدول از nat نیمŒ Œک می تفادهŒ Œاس . یرهŒ Œزنج دŒ Œکنی هŒ Œتوج POSTROUTING رایŒ Œب SN AT و IPMASQ شود می استفاده . واقع در Rol e به شده داده اختصاص های POSTROUTING دŒخواهن انجام ،شبکه از بسته ترک از پیش و یابی مسیر های تصمیم از پس تنظیم از پیش N AT توسط iptables ویژگی که الزم _ کنیم فعال را . “1” / / / / 4/ e c h o > proc sys net i pv i p_f orw ard تنظیم برای IPMASQ توسط iptables کنید استفاده زیر دستور از iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o eth0 -j MASQUERADE باال دستور در nat است جدول نام . سوییچ t - رود می کار به جدول تعیین برای . A POSTROUTING - یک Rol e زنجیره برای را POSTROUTING می اضافه کنید ( . Append .) سوییچ s - مبدا های آدرس کننده مشخص ( محلی شبکه خصوصی های آدرس همان ) سوییچ و o - عمومی آدرس که خروجی دیوایس کردن مشخص برای آن روی بر تنظیم است شده . کنید استفاده مبدا های آدرس تعیین بدون زیر دستور از توایند می یا - - - 0 - iptables t nat A POSTROUTING o eth j MASQUERADE تنظیم برای همچنین SN AT کنید استفاده زیر دستور از . در SN AT دستور در دستی طور به عمومی های آدرس باید iptables شوند مشخص . iptables -t nat-A POSTROUTING-s 192.168.0.0/24-o eth0-j SN AT 4.4.3.27-4.4.3.45 – تنظیم پس است شده استفاده عمومی آدرس دو بینید می که همانطور SN AT صورت به Dynamic SNAT است . آن در که کنید استفاده عمومی آدرس یک از توانستید می صورت Static SNAT شد می تنظیم . ICMP ( مخفف Internet Control Message Protocol ) های پروتکل ترین اصلی از یکی / TCPI P هاست پیام دریافت و ارسال برای . ICMP جهت تنها هایی پیام ارسال ( های بسته I P ) ماشین یک از ( سیستم PC یا Router یا Mobile Device شبکه درون که آنچه هر و LAN از و باشد اینترنت یا / TCPI P کند استفاده ) کنیم می استفاده دیگر ماشین به . دستور pi ng دستور ترین اصلی ( برنامه ) کند می استفاده پروتکل این از که ای . پیام دو echo request و echorepl y پروتکل این در دارند وجود . pi ng های پیام توسط echo request با دیگر سمت و فرستاده دیگر ماشین به پیامی echorepl y دهد می پاسخ . می نشان بیشتری اطالعات زیر شکل دهد . ICMP شود می استفاده شبکه درون مشکالت رفع منظور به و است پورت شماره فاقد که است پروتکلی تنها . در زیر قانون سه iptables چیز همه که هستند این معرف D RO P شوند . شود می وارد که بسته هر یعنی ( INPUT Chain ) شود می خارج که ای بسته هر و ( OUTPUT Chain ) خواهد می که ای بسته هر و Forward شود ( FORWARD Chain ) باید D RO P کنیم می تعیین ما که آنهایی جز به شوند . 37
- 38. - iptables P INPUT DROP - iptables P OUTPUT DROP - iptables P FORWARD DROP های بسته تنها خواهیم می ولی شود می فیلتر چیز همه قانون سه این با که است این اصلی مشکل ICMP کنیم فیلتر را . کردن دفیلتر که داشت توجه باید ICMP صورت این به های پیام که است echo request و خروجی echorepl y های بسته همچنین و ورودی echo request و ورودی echorepl y کنیم فیلتر باید را خروجی . های پیام زیر دستور echo request های پیام و ورودی echorepl y کند می فیلتر را خروجی . - i ptabl es AI N PU T -p icmp - 8 –icmp type - 0/0 -d 192.168.1.4 -m state –state N EW ,ESTA B LI SH ED -j – D RO P - iptables A OUTPUT -p icmp - 0 –icmp type 192.168.1.3 - 0/0 - - –s d m state –state ESTABLISHED j DROP سوئیچ p - در پروتکل تعیین برای iptables مقادیر از یکی که شود می استفاده , TCP UDP و ICMP بگیرد تواند می را . سوئیچ جلوی در همچنین - icmp type – از عدد دو 0 و 8 کنید استفاده آنها حروفی معادل از عدد بجای توانید می و اند شده داده نشان باال جدول در که شده استفاده . 0/0 شبکه درون آدرسی هر از یعنی . در زیر دستور های موردپیام echo request و echorepl y باشد می باال دستور عکس . - iptables A OUTPUT - - 8 p icmp –icmp type -s 192.168.1.3 - 0/0 - d m state –state , - NEW ESTABLISHED j DROP - i ptabl es AI N PU T - - 0 p icmp –icmp type -s 0/0 -d 192.168.1.4 - - m state –state ESTABLISHED j DROP 4 شود می اجرا است شده گرفته نظر در فایروال بعنوان که ماشینی در باال خط ( هستند مشخص مقصد و مبدا های ماشین .) ماشین خواهید می ای شبکه در کنید فرض 192.168.1.4 ماشین از فقط و فقط 192.168.1.3 دستور pi ng آدرس به ماشینی روی وقتی یعنی شود 192.168.1.5 دستور 192.168.1.4 pi ng جلوی کنیم اجرا را pi ng ماشین از ولی شود گرفته کردن 192.168.1.3 دستور بتوانیم 192.168.1.4 pi ng کنیم راددریافت پاسخ و انجام را . باید اینکار برای 4 آدرس با ماشین در را زیر خط 192.168.1.4 بنویسیم . - - - 8 iptables A INPUT p icmp –icmp type -s 192.168.1.3 - , - m state –state NEW ESTABLISHED j ACCESS - - - 0 iptables A OUTPUT p icmp –icmp type 192.168.1.3 –s - - m state –state ESTABLISHED j ACCESS - - - 8 iptables A OUTPUT p icmp –icmp type -s 192.168.1.3 - , - m state –state NEW ESTABLISHED j ACCESS - - - 0 iptables A INPUT p icmp –icmp type -s 192.168.1.3 - - m state –state ESTABLISHED j ACCESS که فرضی پیش فایل iptables کند می استفاده قوانین سازی ذخیره برای آن از / / etc sysconfig iptables هستند قوانین ای مجموعه ها فایروال .است / .دارند نظارت سیستم دو مابین ارسالی های بسته بر که دستور از استفاده مثال یک iptables .است زیر بصورت iptables -A chain -j target در iptables : است زیر شده تعریف قبل از جدول سه • filter سوئیچ از استفاده با .است فرض پیش جدول .ارسالی های بسته بر کردن محدود و کنترل برای : t دستور از - iptables تعیین را جدول سوئیچ اگر .کنیم می t جدول فرض پیش بصورت ،نشود استفاده جدول تعیین برای - filter .شود می تعیین • nat سازی پیاده برای : nat • mangle یا گذاری نشانه برای : mangling .شبکه در بسته یک کردن iptables قالب در که قوانین از ای مجموعه chain چند یا یک شامل زنجیر هر .شوند می سازی پیاده ها Rule دولŒŒج قالب در ها زنجیره .است قانون یا یا Table دŒ Œکنی هŒ Œتوج .هستند زیر های زنجیر دارای شده گفته فرض پیش جدول سه .است شده تشکیل زنجیره تعدادی از جدول هر .شوند می بندی دسته ها ساختار .کرد پاک را فرض پیش های زنجیره و جدول توان نمی که iptables .است زیر بصورت - - - iptables > Tables > Chains > Rules جدول های زنجیره filter 38
- 39. • INPUT .شود می استفاده مقصد یک از سیستم به ورودی های بسته برای : • OUTPUT .شود می استفاده مقصد یک به سیستم از خروجی های بسته برای : • FORWARD واسطه به ها بسته ارسال برای : NAT .شود می استفاده جدول های زنجیره nat • PREROUTING از پیش : Routing توان می رسد می محلی ماشین یک از بسته یک که زمانی .دهد می تغییر را آنها ها بسته )(مسیریابی در معمولن که داد تغییر را مقصد آدرس DNAT .شوند می استفاده • OUTPUT زنجیره در قانون که (ماشین محلی ماشین در شده تولید های بسته : OUTPUT .دهد می تغییر ارسال از پیش )شده تعریف آن در • POSTROUTING از پس : Routing که سیستمی (منظو .کند می ترک را سیستم بسته که زمانی مانند .دهد می تغییر آنرا ،بسته NAT روی .)دارد قرار آن جدول های زنجیره mangle • PREROUTING • OUTPUT • FORWARD • INPUT • POSTROUTIN سوئیج A برای - Append از پس .شود می استفاده جدول انتهای به قانون کردن Append هŒ Œب و دهŒ Œش اضافه جدول در قوانین لیست انتهای به قانون کردن وئیچŒ Œس .ودŒ Œش می دهŒ Œخوان پایین هŒب باال از لیست این بسته یک ورود هنگام j یینŒتع رایŒ Œب - target رایŒب Rule هŒ Œس .ودŒش می تفادهŒ Œاس target در رŒزی iptables : دارد وجود • ACCEPT .کند می قبول آنرا فایروال ،کند پیدا تطلبیق قانونی با بسته اگر .کند می دریافت را بسته : • DROP .اندازد می بیرون را بسته آن مبدا به پیغامی هیچ بدون فایروال ،کند پیدا تطبیق قانون با ای بسته اگر : • REJECT مانند : DROP .کند می ارسال بسته فرستنده به خطا پیغام یک ولی اندازد می بیرون را بسته پراستفاده های سوئیچ A برای : - Append سوئیچ با شده تعیین جدول در زنجیره انتهای به قانون یک کردن t - D .بنویسید شدن پاک برای را کردید اضافه زنجیره به که قانونی خط همان عینن باید .دارد وجود آن در قانون که ای زنجیره از قانون یک حذف برای : - I برای : - Insert .شود می استفاده زنجیره به قانون کردن R برای : - Replace .شود می استفاده زنجیره به قانون کردن L .شود می استفاده زنجیره تمامی یا خاص زنجیره یک های قانون کردن لیست برای : - iptables -L CHAIN_NAME iptables -L CHAIN_NAME -t TABLE_NAME زنجیره در شده تعریف قوانین تمامی زیر مثال INPUT جدول از filter .دهد می نشان را iptables -L INPUT -t filter : خروجی خط در مثال بطور icmp از منظور .است شده داده مقصدی هر به منبعی هر از ها بسته ارسال اجازه anywhere که ماشینی روی شبکه کارت چندین شاید اینکه مقصد در جداول های زنجیره تمامی در شده تعریف قوانین فهرست زیر های دستور از استفاده با .باشد داشته وجود شده تنظیم فایروالش , filter nat و mangle :شود می داده نشان iptables -t filter -L iptables -t nat -L iptables -t mangle -L N یا زنجیره یک تعیین برای : - Chain .شود می استفاده جدید دستور های سوئیچ از بیشتر اطالع برای iptables .کنید اجرا فرمان خط در را زیر دستور 39
- 40. iptables -h سوئیچ با همچنین V نسخه - iptables .شود می داده نشان iptables -V 1.4.7 iptables v .تPPاس بزرگ حروف با فرض پیش های زنجیره نام و کوچک حروف با فرض پیش جدول سه نام که کنید دقت iptables زPج هPب ها وئیچPس تمامی نینPهمچ .تPاس حساس ها نام بزرگی و کوچکی به j و - t حروف با - .هستند بزرگ 40
- 41. برای فایروال کاربرد ترین اصلی Packet Filtering در که است iptables جدول توسط filter یعنی آن زنجیره سه و , INPUT OUTPUT و FORWARD از استفاده کلی شکل .شود می انجام iptables در اصلی جدول سه نام که کنید توجه .است زیر های صورت از یکی به iptables با .شوند می نوشته بزرگ حروف با آن های زنجیره نام و کوچک حروف [- ] {- - } - iptables t table A| D chain rule specification [- ] - [ ] - iptables t table I chain rulenum rule specification [- ] - - iptables t table R chain rulenum rule specification [- ] - iptables t table D chain rulenum [ [- ] - [ ] [ iptables t table S chain rulenum [ [- ] {- - - } [ ] [ ] [ iptables t table F| L| Z chain rulenum options [- ] - iptables t table N chain [ [- ] - [ iptables t table X chain [- ] - iptables t table P chain target [- ] - - - - - iptables t table E old chain name new chain name دارای زنجیره هر Policy را ها بسته تمامی فرض پیش بصورت یا که است فرضی پیش سیاست یا ACCEPT یا وانینŒŒق طبق و کند می Rule را هŒŒبقی هایی DROP ،دŒ Œباش تهŒ Œنداش تطبیق جدول درون زنجیره قوانین از یکی با و شود وارد ای بسته اگر یعنی این .کند می ACCEPT وانینŒ Œق از یکی با اگر و ودŒ Œش می ،باشد داشته تطببق زنجیره DROP فرض پیش بصورت ها بسته همه اینکه سیاست حالت دومین .شود می DROP یا وانینŒ Œق قŒ Œطب و وندŒ Œش می Rule هایی بقیه ACCEPT ،دŒ Œباش تهŒ Œنداش تطبیق دولŒ Œج درون یرهŒ Œزنج قوانین از یکی با و شود وارد ای بسته اگر یعنی این .شوند می DROP از یکی با اگر و ودŒ Œش می ،باشد داشته تطبیق زنجیره قوانین ACCEPT مشاهده برای .شود می Policy .کنید استفاده زیر فرمت از جدول زنجیره هر های iptables -L -t TABLE_NAME جدول زنجیره هر فرض پیش های ساسیت توانید می زیر دستور خروجی در مثال بطور filter .ببنید را iptables -L -t filter ،جدول زنجیره سه هر برای شده تعیین فرض پیش های سیاست ACCEPT زنجیره همچنین ،)رنگ قرمز های است(قسمت شده تعیین OUTPUT بدون Rule سوئیچ توسط جدول یک از زنجیره یک برای را فرض پیش سیاست توان می زیر کلی فرمت از استفاده با .است P کنید دقت .داد تغییر و تعیین - P .است بزرگ سوئیچ از P توسط جدول نام اگر کنید دقت .است زیر بصورت جدول زنجیره هر برای سیاست تغییر کلی شکل .کرد استفاده فرض پیش سیاست تغییر برای - سوئیچ t جدول فرض پیش بصورت نشود تعیین - filter .شود می گرفته نظر در iptables -t TABLE_NAME -P CHAIN_NAME TARGET ،ها زنجیره برای فرض پیش سیاست زیر دستور سه در مثال بطور DROP سئیچ با چون .شود می گرفته نظر در t فرض پیش بصورت ،نشده تعیین جدول نام - جدول filter سه بین از همچنین .شود می گرفته نظر در target ( موجود , , ACCEPT DROP REJECT فقط ) ACCEPT و DROP های سیاست برای 41
- 42. .شوند می استفاده فرض پیش TARGET با تطبیق صورت در بسته قبال در که است عملی Rule هنگام و شود می انجام آن روی نوشتن Rules سوئیچ با j - .)بخوانید را دوم بخش ( شود می تعیین - iptables P INPUT DROP - iptables P OUTPUT DROP - iptables P FORWARD DROP ورودی های بسته خواهید می کنید فرض ssh خاص ماشین یک جز به شبکه کل برای را DROP قانون اگر .کنید DROP دŒ Œمانن شبکه لŒ Œک های بسته کردن 192.168.149.0/24 آدرس با ماشینی بسته که بنویسید قانونی سپس و بنویسید را 192.168.149.100/24 انونŒ Œق هŒ Œچونک دŒ Œافت نمی اقیŒ Œاتف نینŒ Œچ ،دŒ Œکن قبول را DROP ماشین از پیش شبکه های ماشین کل های بسته برای کردن 192.168.149.100/24 انونŒ Œق دŒبای پس .تŒ Œاس دهŒ Œش تهŒ Œنوش ACCEPT های تهŒ Œبس کردن ماشین 192.168.149.100/24 قانون از پیش را DROP تمامی .نوشت شبکه های بسته کل کردن Rule لŒ Œفای در ها / / etc sysconfig iptables تهŒ Œنوش / و شوند می iptables دادن قرار پس ،خواند می ترتیب به را فایل این محتوای انتها تا ابتدا از Rule .دارد اهمیت بسیار مناسب جای در مانند سرویس هر ssh پروتکل دو روی tcp و udp در .دهند انجام دهی سرویس توانند می iptables سوئیچ از استفاده با p که - p رایŒŒب است کوچیک کلمه از توان می همچنین .شود می استفاده نیز پروتکل نوع تعیین all لŒ Œپروتک هردو تعیین برای tcp و udp های وئیجŒ Œس از تفادهŒ Œاس با همچنن.کرد تفادهŒ Œاس dport و مقصد پورت برای – sport توجه .بود خواهد زیر بصورت حالت این از استفاده کلی شکل .کرد تعیین نیز را ها پورت توان می ،مبدا پورت برای – های سوئیچ از استفاده برای کنید p و - dport و – sport سوئیچ از – m .کرد استفاده - iptables -t TABLE_NAME - - A| I CHAIN_NAME -m -p tcp|udp|all –dport|–sport PORT_NUMBER -j TARGET_NAME های سوئیچ از توان می همچنین s و - d یک .کرد استفاده مقصد های آدرس و مبدا های آدرس تعیین برای ترتیب به - IP ( امŒ Œن کŒ Œی یا hostname می را ) یکبار آدرس هر برای باید و کرد استفاده ها سوئیچ این از آدرس چندین برای توان می همچنین .کرد استفاده ها سوئیچ این مقدار بعنوان توان Rule .بنویسیم را iptables -t TABLE_NAME - - A| I CHAIN_NAME - - s| d IP_ADDR|HOSTNAME -m -p tcp| udp|all –dport|–sport PORT_NUMBER -j TARGET_NAME سوئیچ دو i مخفف - Input Interface و o مخفف - Output Interface سوئیچ البته .شوند می استفاده شبکه های اینترفیس تعیین برای i چون - های زنجیره در استفاده به مجاز تنها شود می استفاده ورودی برای , INPUT FORWARD و PREROUTING وئیچŒ Œی و .است o خروجی رایŒ Œب ونŒ Œچ - های زنجیره با تنها ،شود می استفاده , FORWARD OUTPUT و POSTROUTING .هستند استفاده به مجاز iptables -t TABLE_NAME - - A| I CHAIN_NAME - - i| o INTERFACE_NAME - - s| d IP_ADDR| HOSTNAME -m -p tcp|udp|all –dport|–sport PORT_NUMBER -j TARGET_NAME سوئیج از استفاده با A یک - Rule فایل انتهای به / / etc sysconfig iptables یا الحاق / APPEND وئیچŒ Œس از استفاده با ولی .شود می I کŒ Œی - Rule یا ذخیره فایل از دلخواه مکانی در Insert یک تا شود می باعث زیر دستور ،مثال برای .شود می Rule .شود ذخیره فایل ابتدای در - 1 - - - iptables I INPUT i lo p all j ACCEPT سوئیچ از استفاده دلیل به باال مثال I مکان تعیین و - 1 یک خاص Rule را ورودی اینترفیس همچنین .کند می اضافه فایل ابتدای به lo مخفف loopback و پروتکل دو هر / tcp udp را ACCEPT .کند می 42
- 43. : دوم فصل گرافیکی های ابزار netfilter 43
- 44. برای گرافیکی ابزارهای بررسی به ادامه در iptables کرد خواهیم اشاره را ابزار fwbuilder . است گرافیکی ابزار یک ... و میکروتیک ، سیسکو ، لینوکس/گنو فایروال برای میتوانید ابزار این با rul را ها رول یا بنویسید import کنید تحلیل و کنید 44
- 45. 45
- 46. 46
- 47. 47
- 48. 48
- 49. طریق از را اینترفیس نوع میتوانید شما که هست این داره ابزار این که جالبی نکته snmp . دهید تشخیص 49
- 50. با میتونید شما باشد می آن ساختار درک و فایروال شناخت برای ای وحرفه خوب ابزار یک گفت میتوان کل در - iptable save با و کنید ذخیره را هاتون رول fwbuilder . کنید اعمال را خودتان تعغیرات و اکسپورت حتی و کنید امپورت 50
- 51. UFW – Uncomplicated Firewall : UFW فایروال پیچیدگی کاهش برای اساسا گزینه این .اوبونتوست سرورهای برای فرض پیش فایروال iptables شده طراحی .است موجود دبیان و اوبونتو سرورهای برای ،فایروال این کاربری گرافیک رابط .سازد می کاربرپسندتر را آن و است : فایروال های ویژگی و ها قابلیت از 6 IPV کند می پشتیبانی های گزینه Logging امکانات با متعدد / on off کردن مانیتور Status پذیر توسعه ورک فریم کرد ادغام ها اپلیکیشن با را آن توان می شرکت نیازهای اساس بر قوانین نمودن اصالح و کردن حذف /کردن اضافه 51
- 52. : سوم فصل کاربردی های مثال 52
- 53. های لماژو انواع از جدولی زیر در iptables اساس بر را شبکه ترافیک تا دهند یم اجازه شما به ها لماژو این .است شده آورده ها نآ از یک هر درباره مختصری توضیحات و .کنید فیلتر مختلف معیارهای ماژول توضیحات filter .ترافیک کردن فیلتر برای فرض شپی ماژول nat های سآدر تغییر برای IP ( خروجی و ورودی ترافیک در Network Address Translation .) mangle تغییر (مانند ها هبست اصالح و تغییر برای TTL یا QoS .) raw (مانند ها هبست پردازش در استثنائات تنظیم برای Bypass connection tracking .) security ( امنیتی های تسیاس اساس بر ترافیک کردن فیلتر برای SELinux .) conntrack .آن اساس بر کردن فیلتر و اتصاالت وضعیت پیگیری برای limit ( ترافیک نرخ کردن محدود برای Rate limiting .) state (مانند اتصال وضعیت اساس بر ها هبست کردن فیلتر برای NEW، ESTABLISHED .) recent های سآدر پیگیری برای IP حمالت از جلوگیری (مانند ها نآ اساس بر کردن فیلتر و DoS .) string (مانند ای هرشت محتوای اساس بر ها هبست کردن فیلتر برای URL .) geoip آدرس مبدا کشور اساس بر ترافیک کردن فیلتر برای IP . owner .)گروه یا (کاربر مالک اساس بر ها هبست کردن فیلتر برای time .)خاص ساعات یا روزها (مانند زمان اساس بر ها هبست کردن فیلتر برای tcp های هبست کردن فیلتر برای TCP .)ها مپرچ (مانند خاص های یویژگ اساس بر udp های هبست کردن فیلتر برای UDP . icmp های هبست کردن فیلتر برای ICMP .)پینگ (مانند iprange های سآدر محدوده اساس بر ها هبست کردن فیلتر برای IP . multiport .پورت چندین اساس بر ها هبست کردن فیلتر برای mark .بعدی های شپرداز برای ها هبست گذاری تعالم برای quota .ها هداد حجم اساس بر ترافیک کردن محدود برای mac آدرس اساس بر ها هبست با مطابقت MAC .مقصد یا منبع TIme .هفته روز یا روز زمان اساس بر ها هبست با مطابقت tcpudp پروتکل اساس بر ها هبست کردن فیلتر برای TCP یا UDP . sctp های هبست با مطابقت SCTP . esp ( امنیتی بارگذاری پروتکل از استفاده با ها هبست با مطابقت ESP .) ah ( تأیید هدر پروتکل از استفاده با ها هبست با مطابقت AH .) ipsec امنیتی های قتواف اساس بر ها هبست با مطابقت Ipsec conlimit آدرس یک از همزمان اتصاالت تعداد کردن محدود IP .واحد tcpflags های مپرچ اساس بر ها هبست با مطابقت TCP . • .شود استفاده تر صخا قوانین ایجاد برای مختلف های هگزین همراه به تواند یم ماژول هر • .باشد داشته بستگی لینوکس سیستم خاص پیکربندی و هسته نسخه به است ممکن ها لماژو این بودن دسترس در رایج های لماژو از کلی نمای جدول این iptables وجود اضافی های هگزین یا ها لماژو است ممکن ،شما خاص نیازهای به بسته .دهد یم ارائه را .باشد مفید شما فایروال پیکربندی برای که باشد داشته 53
- 54. فیلتر url با iptables : - - - -- . -- - iptables A OUTPUT p tcp m string string "google com" algo kmp j REJECT در چطور سوال# iptables ؟ شود انجام کشور براساس فیلتر در کشور اساس بر ترافیک کردن فیلتر برای iptables ماژول از ًالمعمو ، xt_geoip اساس بر را ترافیک تا دهد یم اجازه شما به ماژول این .شود یم استفاده های سآدر IP :است شده آورده کار این انجام برای کلی مراحل زیر در .کنید فیلتر ها نآ مبدا کشور و :کار انجام مراحل :الزم های هبست نصب از توانید یم ،لینوکس های عتوزی اکثر در .کنید نصب را الزم های هبست باید ابتدا GeoIP و - xtables addons از ،ها نآ نصب برای .کنید استفاده :کنید استفاده زیر دستورات - - sudo dnf install geoip geoip devel xtables addons - - - sudo apt install geoip bin xtables addons common داده پایگاه روزرسانی هب و دانلود GeoIP : داده پایگاه باید شما GeoIP :کنید استفاده زیر دستور از توانید یم .کنید دانلود را sudo geoipupdate برای داده پایگاه ایجاد xt_geoip : نیاز مورد فرمت به را آن باید ،داده پایگاه دانلود از پس xt_geoip :کنید تبدیل - / / / sudo mkdir p usr share xt_geoip - / / / / . sudo geoipupdate f usr share xt_geoip GeoIP dat / / / / . sudo xt_geoip_build usr share xt_geoip GeoIP dat از استفاده iptables :کشور اساس بر کردن فیلتر برای از توانید یم حاال iptables ،)ایران (مثًال خاص کشور یک از ترافیک کردن مسدود برای ،مثال عنوان به .کنید استفاده کشور اساس بر ترافیک کردن فیلتر برای :کنید استفاده زیر دستور از توانید یم - - -- - - sudo iptables A INPUT m geoip src cc IR j DROP اینجا در IR .کنید جایگزین را خود نظر مورد کشور کد توانید یم شما .است ایران کشور کد تنظیمات ذخیره iptables : تنظیمات که شوید مطمئن ،تغییرات انجام از پس iptables :شوند اعمال ،سیستم مجدد اندازی هرا از پس تا کنید ذخیره را - / / / . 4 sudo iptables save > etc iptables rules v :مهم نکات ماژول که کنید حاصل اطمینان xt_geoip .باشد فعال شما لینوکس هسته در داده پایگاه GeoIP جدیدترین اطالعات تا باشد داشته منظم روزرسانی هب به نیاز است ممکن IP .شود شامل را ها تغییرات دلیل به است ممکن کشور اساس بر کردن فیلتر IP از استفاده و VPN .نباشد دقیق همیشه ها یپروکس و ها در کشور اساس بر را ترافیک توانید یم شما ،مراحل این با iptables .کنید فیلتر 54
- 55. با میتوان چطور iptables ؟ نشود وصل هایی سایت چه به کرد تعریف از استفاده با خاص های تسای به دسترسی کردن مسدود برای iptables ماژول از توانید یم شما ، string یا ipset ،اینجا در .کنید استفاده از استفاده روش ipset .است تر تمدیری قابل و کارآمدتر معموًال که دهم یم توضیح را :کار انجام مراحل 1 . نصب ipset که شوید مطمئن ابتدا : ipset بر مبتنی های عتوزی در .است شده نصب شما سیستم روی بر Red Hat از توانید یم ، :کنید استفاده زیر دستور sudo yum install ipset :جدیدتر های عتوزی برای یا • sudo dnf install ipset • ( مجموعه یک ایجاد set ها هدامن برای ) از استفاده با : ipset ،کنید مسدود خواهید یم که هایی هدامن برای جدید مجموعه یک ، :کنید ایجاد • : sudo ipset create blocked_sites hash ip • مجموعه به ها هدامن کردن اضافه های سآدر توانید یم شما : IP مجموعه به را کنید مسدود خواهید یم که هایی هدامن به مربوط :مثال عنوان به .کنید اضافه sudo ipset add blocked_sites 192.0.2.1 sudo ipset add blocked_sites 203.0.113.1 آدرس کردن پیدا برای IP دستور از توانید یم ،دامنه یک nslookup یا dig :کنید استفاده • . nslookup example com • تنظیم iptables مجموعه در موجود های هدامن به ترافیک کردن مسدود برای از توانید یم حاال : iptables برای های سآدر به ترافیک کردن مسدود IP :کنید استفاده مجموعه در موجود • - - sudo iptables A OUTPUT m set -- - - match set blocked_sites dst j DROP • تنظیمات ذخیره iptables تنظیمات که شوید مطمئن ،تغییرات انجام از پس : iptables اندازی هرا از پس تا کنید ذخیره را :شوند اعمال ،سیستم مجدد sudo service iptables save :جدیدتر های عتوزی برای یا 55
- 56. 5. - / / / sudo iptables save > etc sysconfig iptables :مهم نکات • های سآدر اساس بر روش این که باشید داشته توجه IP آدرس چندین دامنه یک اگر .کند یم کار IP به را ها نآ همه باید ،باشد داشته .کنید اضافه مجموعه • از است ممکن ها تسای بو از برخی ،همچنین CDN های سآدر و کنند استفاده ها IP .کند تغییر است ممکن ها نآ • دانستن به نیاز (بدون داینامیک صورت به ها هدامن کردن مسدود برای IP مانند دیگر ابزارهای از توانید یم ،) dnsmasq یا unbound .دارند را ها هدامن کردن مسدود قابلیت که کنید استفاده از استفاده با را خاص های تسای به دسترسی توانید یم شما ،مراحل این با iptables .کنید مسدود 56
- 57. به دسترسی کردن مسدود برای URL از استفاده با )ها ه(دامن ها iptables اینکه دلیل به ،مستقیم طور به iptables بر ترافیک کردن فیلتر برای خاص طور به های سآدر اساس IP سادگی به توان ینم ،است شده طراحی URL ماژول از توان یم اما .کرد مسدود را ها string ترافیک کردن مسدود برای HTTP اساس بر URL :دهم یم توضیح را کار این انجام نحوه اینجا در .کرد استفاده :کار انجام مراحل 1 . تنظیم iptables کردن مسدود برای URL ها ماژول از استفاده با : string ترافیک توانید یم ، HTTP اساس بر را URL کردن مسدود برای ،مثال عنوان به .کنید مسدود URL شامل که هایی " . example com استفاده زیر دستور از توانید یم ،هستند " :کنید sudo iptables -A OUTPUT -p tcp --dport 80 -m string --string "Host: example.com" --algo bm -j REJECT sudo iptables -A OUTPUT -p tcp --dport 443 -m string --string "Host: example.com" --algo bm -j REJECT :اینجا در • -- 80 dport ترافیک برای HTTP و -- 443 dport ترافیک برای HTTPS .است • -- : . string "Host example com" URL .کنید مسدود خواهید یم که است ای هدامن یا • -- algo bm الگوریتم از اینجا (در است جستجو الگوریتم - Boyer Moore .)است شده استفاده • - j REJECT .شود یم مسدود ترافیک که است معنی این به • تنظیمات ذخیره iptables تنظیمات که شوید مطمئن ،تغییرات انجام از پس : iptables اندازی هرا از پس تا کنید ذخیره را :شوند اعمال ،سیستم مجدد sudo service iptables save :جدیدتر های عتوزی برای یا 2. - / / / sudo iptables save > etc sysconfig iptables :مهم نکات • ها تمحدودی ماژول از استفاده : string ترافیک اگر خصوص به ،بگذارد تأثیر سیستم عملکرد بر تواند یم و نباشد کارآمد است ممکن ترافیک برای فقط روش این ،همچنین .باشد داشته وجود زیادی HTTP ( شده رمزگذاری ترافیک برابر در است ممکن و کند یم کار HTTPS .باشد داشته کمتری کارایی ) • ترافیک HTTPS کردن مسدود برای : URL های HTTPS ،حالت این در .نکند کار است ممکن روش این ،رمزگذاری دلیل به ، (مانند پروکسی از استفاده مانند دیگر های شرو از است بهتر Squid کردن فیلتر قابلیت که کنید استفاده تر هپیشرفت های لفایروا یا ) URL .دارند را ها • پروکسی از استفاده کردن مسدود به نیاز اگر : URL مانند پروکسی سرور یک از توانید یم ،دارید مؤثر طور به ها Squid استفاده کردن فیلتر قابلیت که کنید URL .دارد را ها به دسترسی تا کنید تالش توانید یم ،مراحل این با URL از استفاده با را خاص های iptables روش این که باشید داشته توجه اما ،کنید مسدود .دارد هایی تمحدودی 57
- 58. ماژول quota در iptables آدرس یک از که هایی تبای یا ها هبست تعداد اساس بر که دهد یم را امکان این شما به IP .کنید اعمال را هایی تمحدودی ،کند یم عبور خاص .باشد مفید خاص کاربر یک از ترافیک کردن محدود یا شبکه منابع از سوءاستفاده از جلوگیری برای تواند یم ماژول این ماژول از استفاده مثال quota آدرس یک از ورودی ترافیک خواهید یم کنید فرض IP (مثًال خاص 192.168.1.100 به را ) 1 ( مگابایت 1048576 محدود ساعت هر در )بایت :کنید استفاده زیر دستورات از توانید یم کار این برای .کنید 1 . ترافیک کردن محدود برای قانون یک ایجاد : • iptables -A INPUT -s 192.168.1.100 -m quota --quota 1048576 -j ACCEPT به قانون این iptables آدرس از ورودی ترافیک اگر که گوید یم 192.168.1.100 IP از کمتر 1 .بپذیرد را آن ،باشد مگابایت • اضافی ترافیک رد برای قانون یک ایجاد : 2. iptables -A INPUT -s 192.168.1.100 -j DROP به قانون این iptables آدرس از ورودی ترافیک اگر که گوید یم 192.168.1.100 IP از بیشتر 1 .کند رد را آن ،باشد مگابایت توضیحات • - A INPUT به : iptables .کند اضافه ورودی زنجیره به را قانون که گوید یم • - 192.168.1.100 s آدرس از ورودی ترافیک برای فقط قانون این که کند یم مشخص : 192.168.1.100 IP .شود اعمال • - m quota ماژول : quota .کند یم فعال را • -- 1048576 quota به را سهمیه مقدار : 1 ( مگابایت 1048576 .کند یم تنظیم )بایت • - j ACCEPT .بپذیرد را آن ،باشد سهمیه از کمتر ترافیک اگر : • - j DROP .کند رد را آن ،باشد سهمیه از بیشتر ترافیک اگر : قوانین بررسی :کنید استفاده زیر دستور از توانید یم ،شده ایجاد قوانین بررسی برای - - iptables L v .است کرده عبور قانون هر از بایت و بسته تعداد چه که دهد یم نشان شما به دستور این ماژول از استفاده با quota در iptables های سآدر از ورودی ترافیک برای هایی تمحدودی راحتی به توانید یم ، IP از و کنید اعمال خاص .کنید جلوگیری شبکه منابع از سوءاستفاده 58
- 59. ماژول multiport در iptables و فایروال قوانین سازی هساد برای تواند یم ماژول این .کنید مشخص واحد قانون یک در را پورت چندین که دهد یم را امکان این شما به .رود کار به ترافیک مدیریت برای نیاز مورد قوانین تعداد کاهش ماژول از استفاده مثال multiport های تپور به ورودی ترافیک خواهید یم کنید فرض 80 ( HTTP و ) 443 ( HTTPS آدرس هر از را ) IP از توانید یم کار این برای .کنید مجاز :کنید استفاده زیر دستورات 1 . ترافیک به دادن اجازه برای قانون یک ایجاد HTTP و HTTPS : • - - - -- iptables A INPUT p tcp m multiport dports 80,443 -j ACCEPT به قانون این iptables پروتکل ورودی ترافیک اگر که گوید یم TCP های تپور به 80 یا 443 .بپذیرد را آن ،باشد • ورودی ترافیک سایر رد برای قانون یک ایجاد : 2. - - iptables A INPUT j DROP به قانون این iptables .شود رد ،است نشده مشخص قبلی قوانین در که دیگری ورودی ترافیک هر که گوید یم توضیحات • - A INPUT به : iptables .کند اضافه ورودی زنجیره به را قانون که گوید یم • - p tcp پروتکل برای فقط قانون این که کند یم مشخص : TCP .شود یم اعمال • - m multiport ماژول : multiport .کند یم فعال را • -- 80,443 dports های تپور برای قانون این که کند یم مشخص : 80 و 443 .شود یم اعمال • - j ACCEPT .بپذیرد را آن ،باشد ها تپور این از یکی به ترافیک اگر : • - j DROP .کند رد را دیگری ورودی ترافیک هر : قوانین بررسی :کنید استفاده زیر دستور از توانید یم ،شده ایجاد قوانین بررسی برای - - iptables L v .است کرده عبور قانون هر از بایت و بسته تعداد چه که دهد یم نشان شما به دستور این ماژول از استفاده با multiport در iptables قوانین پیچیدگی از و کنید مشخص واحد قانون یک در را پورت چندین راحتی به توانید یم ، .باشید داشته ورودی ترافیک روی بر بهتری مدیریت تا کند یم کمک شما به کار این .بکاهید خود فایروال 59
- 60. ماژول limit در iptables حمالت از جلوگیری برای تواند یم ماژول این .کنید محدود را ترافیک نرخ که دهد یم را امکان این شما به ( ) DoS Denial of Service .باشد مفید خاص سرویس یک به ورودی ترافیک کنترل یا ماژول از استفاده مثال limit پورت به ورودی های تدرخواس تعداد خواهید یم کنید فرض 80 ( HTTP حداکثر به را ) 5 کار این برای .کنید محدود ثانیه هر در درخواست :کنید استفاده زیر دستورات از توانید یم 1 . ترافیک کردن محدود برای قانون یک ایجاد HTTP : • iptables -A INPUT -p tcp --dport 80 -m limit --limit 5/sec --limit-burst 10 -j ACCEPT به قانون این iptables پروتکل ورودی ترافیک اگر که گوید یم TCP پورت به 80 حداکثر ،باشد 5 تا و بپذیرد را ثانیه هر در درخواست 10 .بپذیرد محدودیت بدون را اولیه درخواست • ورودی ترافیک سایر رد برای قانون یک ایجاد : 2. iptables -A INPUT -p tcp --dport 80 -j DROP به قانون این iptables پورت به ورودی ترافیک هر که گوید یم 80 .شود رد ،باشد شده تعیین محدودیت از بیشتر که توضیحات • - A INPUT به : iptables .کند اضافه ورودی زنجیره به را قانون که گوید یم • - p tcp پروتکل برای فقط قانون این که کند یم مشخص : TCP .شود یم اعمال • -- 80 dport پورت برای قانون این که کند یم مشخص : 80 ( HTTP .شود یم اعمال ) • - m limit ماژول : limit .کند یم فعال را • -- 5/ limit sec حداکثر : 5 .کند یم مجاز را ثانیه هر در درخواست • -- - 10 limit burst تا که دهد یم را امکان این شما به : 10 .بپذیرید محدودیت بدون را اولیه درخواست • - j ACCEPT .بپذیرد را آن ،باشد شده تعیین محدوده در و پورت این به ترافیک اگر : • - j DROP پورت به ورودی ترافیک هر : 80 .کند رد ،باشد شده تعیین محدودیت از بیشتر که قوانین بررسی :کنید استفاده زیر دستور از توانید یم ،شده ایجاد قوانین بررسی برای - - iptables L v .است کرده عبور قانون هر از بایت و بسته تعداد چه که دهد یم نشان شما به دستور این 60
- 61. ماژول از تر هپیشرفت مثال یک برای limit در iptables پورت به ورودی ترافیک خواهید یم کنید فرض ، 22 ( SSH از تا کنید محدود را ) حمالت Brute Force حداکثر خواهیم یم ما ،مثال این در .کنید جلوگیری 3 هر در را ناموفق ورود تالش 60 ،آن از پس و کنیم مجاز ثانیه IP برای را مهاجم 10 .کنیم مسدود دقیقه قوانین ایجاد مراحل 1 . کردن مسدود برای جدید زنجیره یک ایجاد IP ها نام به جدید زنجیره یک ابتدا : - SSH FLOOD برای که کنیم یم ایجاد کردن مسدود IP .شود یم استفاده مشکوک های iptables -N SSH-FLOOD • ناموفق ورود های شتال کردن محدود برای قانون ایجاد پورت به ناموفق ورود های شتال که کنیم یم اضافه قانونی ،سپس : 22 ،مجاز حد از تجاوز صورت در و کند محدود را IP زنجیره به را - SSH FLOOD .کند منتقل iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m limit --limit 3/min --limit-burst 5 -j ACCEPT iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j SSH-FLOOD • -- 3/ limit min حداکثر : 3 .کند یم مجاز را دقیقه هر در ناموفق ورود تالش • -- - 5 limit burst تا که دهد یم را امکان این شما به : 5 .بپذیرید محدودیت بدون را اولیه تالش • کردن مسدود برای قانون ایجاد IP زنجیره در ها - SSH FLOOD که کنیم یم اضافه قانونی حاال : IP را مشکوک های برای 10 .کند مسدود دقیقه iptables -A SSH-FLOOD -j LOG --log-prefix "SSH FLOOD: " --log-level 4 iptables -A SSH-FLOOD -j DROP • - j LOG قانون این : IP .کنید بررسی را ها نآ بتوانید تا کند یم ثبت را مشکوک های • - j DROP قانون این : IP .کند یم مسدود را مشکوک های • ترافیک به دادن اجازه برای قانون یک ایجاد SSH از IP مجاز های به خواهید یم اگر : IP بدون که دهید اجازه خاصی های پورت به محدودیت 22 :کنید اضافه شکل این به قانونی توانید یم ،باشند داشته دسترسی iptables -A INPUT -p tcp -s 192.168.1.50 --dport 22 -j ACCEPT ماژول از استفاده با limit در iptables حمالت از راحتی به توانید یم ،جدید های هزنجیر ایجاد و Brute Force سرویس به SSH خود .کنید محافظت خود سرور منابع از و کنید مدیریت مؤثری طور به را ورودی ترافیک که دهد یم را امکان این شما به روش این .کنید جلوگیری 61
- 62. ماژول time در iptables ماژول این .کنید تنظیم هفته روزهای یا روز زمان اساس بر را فایروال قوانین که دهد یم را امکان این شما به ماژول از استفاده از مثال چند زیر در .باشد مفید خاص های نزما در ها سسروی به دسترسی کردن محدود برای تواند یم time .است شده آورده مثال 1 ترافیک به دادن اجازه : HTTP کاری ساعات در فقط پورت به ورودی ترافیک خواهید یم کنید فرض 80 ( HTTP (از کاری ساعات در فقط را ) 9 تا صبح 5 .کنید مجاز )ظهر از بعد iptables -A INPUT -p tcp --dport 80 -m time --timestart 09:00 --timestop 17:00 -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j DROP • -- 09:00 timestart .مجاز شروع زمان : • -- 17:00 timestop .مجاز پایان زمان : • - j ACCEPT .بپذیرد را آن ،باشد ها نزما این در ترافیک اگر : • - j DROP پورت به ورودی ترافیک هر : 80 .کند رد را دیگر های نزما در مثال 2 ترافیک کردن مسدود : SSH شب در پورت به ورودی ترافیک خواهید یم کنید فرض 22 ( SSH (از شب ساعات در را ) 10 تا شب 6 .کنید مسدود )صبح iptables -A INPUT -p tcp --dport 22 -m time --timestart 22:00 --timestop 06:00 -j DROP iptables -A INPUT -p tcp --dport 22 -j ACCEPT • -- 22:00 timestart .مسدودسازی شروع زمان : • -- 06:00 timestop .مسدودسازی پایان زمان : • - j DROP پورت به ورودی ترافیک : 22 .کند رد را ها نزما این در • - j ACCEPT پورت به ورودی های کترافی سایر : 22 .بپذیرد را مثال 3 ترافیک به دادن اجازه : FTP کاری روزهای در فقط پورت به ورودی ترافیک خواهید یم کنید فرض 21 ( FTP .کنید مجاز جمعه تا دوشنبه روزهای در فقط را ) iptables -A INPUT -p tcp --dport 21 -m time --weekdays Mon,Tue,Wed,Thu,Fri -j ACCEPT iptables -A INPUT -p tcp --dport 21 -j DROP • -- , , , , weekdays Mon Tue Wed Thu Fri .مجاز روزهای : • - j ACCEPT .بپذیرد را آن ،باشد روزها این در ترافیک اگر : • - j DROP پورت به ورودی ترافیک : 21 .کند رد را دیگر روزهای در مثال 4 ترافیک به دادن اجازه : ICMP یکشنبه و شنبه روزهای در فقط )(پینگ ترافیک خواهید یم کنید فرض ICMP .کنید مجاز )یکشنبه و (شنبه هفته آخر روزهای در فقط را )(پینگ iptables -A INPUT -p icmp -m time --weekdays Sat,Sun -j ACCEPT iptables -A INPUT -p icmp -j DROP • - p icmp پروتکل برای قانون این که کند یم مشخص : ICMP .است • -- , weekdays Sat Sun .مجاز روزهای : • - j ACCEPT ترافیک اگر : ICMP .بپذیرد را آن ،باشد روزها این در • - j DROP ترافیک : ICMP .کند رد را دیگر روزهای در ماژول time در iptables تواند یم ویژگی این .کنید تنظیم هفته روزهای و زمان اساس بر را فایروال قوانین که دهد یم را امکان این شما به .باشد مفید بسیار شبکه امنیت افزایش و خاص های نزما در ها سسروی به دسترسی مدیریت برای ماژول mark در iptables ( خاص عالمت یک با را ها هبست که دهد یم را امکان این شما به mark ها تعالم این .کنید گذاری تعالم ) (مانند دیگر قوانین در استفاده برای یا مختلف های هزنجیر در ترافیک مدیریت و شناسایی برای توانند یم nftables یا tc برای QoS مفید ) 62
- 63. .باشند مثال 1 ترافیک گذاری تعالم : HTTP پورت به ورودی ترافیک تمام خواهید یم کنید فرض 80 ( HTTP ،مثال عنوان (به خاص عالمت یک با را ) 1 توانید یم سپس .کنید گذاری تعالم ) .کنید استفاده ترافیک مدیریت برای عالمت این از # ترافیک گذاری تعالم HTTP iptables -A INPUT -p tcp --dport 80 -j MARK --set-mark 1 مثال 2 ترافیک کردن محدود برای عالمت از استفاده : عالمت (با شده گذاری تعالم ترافیک خواهید یم کنید فرض حاال 1 حداکثر خواهید یم ،مثال عنوان به .کنید محدود را ) 10 یک از همزمان اتصال IP .کنید مجاز را # شده گذاری تعالم ترافیک کردن محدود iptables -A INPUT -m mark --mark 1 -m connlimit --connlimit-above 10 -j DROP مثال 3 پروتکل اساس بر ترافیک گذاری تعالم : ترافیک خواهید یم کنید فرض UDP پورت به که را 53 ( DNS عالمت با ،آید یم ) 2 .کنید گذاری تعالم # ترافیک گذاری تعالم DNS iptables -A INPUT -p udp --dport 53 -j MARK --set-mark 2 مثال 4 ترافیک کردن مسدود برای عالمت از استفاده : عالمت (با شده گذاری تعالم ترافیک تمام خواهید یم کنید فرض حاال 2 .کنید مسدود را ) # شده گذاری تعالم ترافیک کردن مسدود iptables -A INPUT -m mark --mark 2 -j DROP مثال 5 اساس بر ترافیک گذاری تعالم : IP یک از ورودی ترافیک خواهید یم کنید فرض IP (مثًال خاص 192.168.1.100 عالمت با را ) 3 .کنید گذاری تعالم # از ترافیک گذاری تعالم IP خاص iptables -A INPUT -s 192.168.1.100 -j MARK --set-mark 3 ماژول mark در iptables را ها هبست توانید یم ،ماژول این از استفاده با .است شبکه ترافیک شناسایی و مدیریت برای قدرتمند ابزاری تا کند کمک شما به تواند یم ویژگی این .کنید استفاده ترافیک مدیریت یا مختلف قوانین اعمال برای ها تعالم این از سپس و کنید گذاری تعالم .کنید استفاده تری هبهین منابع از و باشید داشته خود شبکه ترافیک روی بر بیشتری کنترل 63
- 64. ماژول از استفاده از پیشرفته مثال چند اینجا در mark در iptables :کند کمک شبکه ترافیک مدیریت در شما به تواند یم که است شده آورده مثال 1 سرویس نوع اساس بر ترافیک گذاری تعالم : ترافیک خواهید یم کنید فرض HTTP و HTTPS مدیریت برای ها نآ از ًادبع بتوانید تا کنید گذاری تعالم مختلف های تعالم با را QoS ( ) Quality of Service .کنید استفاده # ترافیک گذاری تعالم HTTP iptables -A INPUT -p tcp --dport 80 -j MARK --set-mark 1 # ترافیک گذاری تعالم HTTPS iptables -A INPUT -p tcp --dport 443 -j MARK --set-mark 2 مثال 2 شده گذاری تعالم ترافیک کردن محدود : عالمت (با شده گذاری تعالم ترافیک خواهید یم کنید فرض حاال 1 حداکثر به را ) 5 یک از همزمان اتصال IP ترافیک و کنید محدود عالمت (با شده گذاری تعالم 2 حداکثر به را ) 10 .کنید محدود همزمان اتصال # ترافیک کردن محدود HTTP iptables -A INPUT -m mark --mark 1 -m connlimit --connlimit-above 5 -j DROP # ترافیک کردن محدود HTTPS iptables -A INPUT -m mark --mark 2 -m connlimit --connlimit-above 10 -j DROP مثال 3 و پروتکل اساس بر ترافیک گذاری تعالم : IP ترافیک خواهید یم کنید فرض UDP یک از IP (مثًال خاص 192.168.1.100 عالمت با را ) 3 گذاری تعالم ترافیک سپس و کنید گذاری تعالم .کنید مسدود را شده # ترافیک گذاری تعالم UDP از IP خاص iptables -A INPUT -p udp -s 192.168.1.100 -j MARK --set-mark 3 # شده گذاری تعالم ترافیک کردن مسدود iptables -A INPUT -m mark --mark 3 -j DROP مثال 4 ترافیک ردیابی برای عالمت از استفاده : پورت به ورودی ترافیک خواهید یم کنید فرض 22 ( SSH .دهید قرار ردیابی برای جداگانه زنجیره یک در را آن سپس و کنید گذاری تعالم را ) # ترافیک گذاری تعالم SSH iptables -A INPUT -p tcp --dport 22 -j MARK --set-mark 4 # شده گذاری تعالم ترافیک ردیابی iptables -A INPUT -m mark --mark 4 -j LOG --log-prefix "SSH Traffic: " --log-level 4 مثال 5 برای عالمت از استفاده : QoS عالمت (با شده گذاری تعالم ترافیک خواهید یم کنید فرض 1 برای را ) QoS از توانید یم .کنید مدیریت tc ( ) Traffic Control برای .کنید استفاده ترافیک اولویت تنظیم 64
- 65. 1 . ترافیک گذاری تعالم HTTP : • iptables -A INPUT -p tcp --dport 80 -j MARK --set-mark 1 • تنظیم QoS با tc : tc qdisc add dev eth0 root handle 1: htb default 30 tc class add dev eth0 parent 1: classid 1:1 htb rate 1mbit tc class add dev eth0 parent 1: classid 1:2 htb rate 512kbit tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32 match mark 1 flowid 1:1 دستور از میتوانید بیشتر راحتی برای : نکته wondershaper موضوع این برای قبال . کنید استفاده . بودم کرده برگزار هم نشستی ماژول از توانید یم چگونه که دهند یم نشان های لمثا این mark در iptables گذاری تعالم با .کنید استفاده شبکه ترافیک مدیریت برای استفاده تری هبهین منابع از و باشید داشته خود شبکه ترافیک روی بر بیشتری کنترل توانید یم ،مختلف قوانین در ها تعالم این از استفاده و ها هبست .کنید 65
- 66. Wondershaper را امکان این کاربران به ابزار این .شود یم استفاده شبکه باند پهنای کنترل و مدیریت برای که است لینوکس های لعام مسیست در فرمان خط ابزار یک ( بارگذاری سرعت برای هایی تمحدودی که دهد یم upload ( بارگیری و ) download عملکرد بهبود به تواند یم کار این .کنند تعیین خاص شبکه رابط یک روی بر ) .کند کمک آن شدن اشباع از جلوگیری و شبکه اصلی های یویژگ Wondershaper : 1 . استفاده بودن ساده : Wondershaper .ندارد پیچیده پیکربندی به نیاز و است استفاده قابل فرمان خط طریق از راحتی به 2 . سریع تنظیمات .کنند تنظیم خاص شبکه رابط یک برای را سرعت های تمحدودی سرعت به توانند یم کاربران : 3 . رابط چندین از پشتیبانی تنظیمات که دهد یم را امکان این کاربران به و کند کار شبکه رابط چندین روی بر تواند یم ابزار این : .کنند اعمال رابط هر برای را مختلفی :استفاده نحوه از استفاده برای Wondershaper :شود یم استفاده زیر مشابه دستوری از معموًال ، sudo wondershaper <interface> <download_speed> <upload_speed> به دانلود سرعت کردن محدود برای ،مثال عنوان به 1 به بارگذاری سرعت و ثانیه در مگابیت 512 رابط روی بر ثانیه در کیلوبیت 0 eth توانید یم ، :کنید استفاده زیر دستور از sudo wondershaper eth0 1024 512 :تنظیمات حذف تنظیمات حذف برای Wondershaper :کنید استفاده زیر دستور از توانید یم ،اولیه حالت به رابط بازگرداندن و sudo wondershaper clear <interface> Wondershaper به شبکه منابع از تا کند کمک کاربران به تواند یم و است لینوکسی های هشبک در باند پهنای مدیریت برای مفید ابزار یک .کنند استفاده نحو بهترین 66
- 67. 67
- 68. 68
- 69. : چهارم فصل از که هایی ساختار و ها دوایس ( ) netfilter iptables میکند استفاده 69
- 70. 1 . فایروال IPCop : IPCop تیم .است باز متن لینوکسی های فایروال از یکی IPCop ،کاربرپسند مدیریت سیستم آوردن فراهم روی بر مداوم طور به کسب برای فایروال این .سازد می تر ساده را آن مدیریت و شده طراحی خوبی به فایروال این وب رابط .کنند می کار پایدار ،امن یک عنوان به را خود قدیمی رایانه توانید می شما .بود خواهد مفید محلی های رایانه و کوچک وکارهای VPN تا کنید پیکربندی امن .آورد فراهم کاربران برای بهتری تجربه تا کند می حفظ را است شده استفاده اخیرا که اطالعاتی گزینه این .نمایید ایجاد را امنی محیط های ویژگی و ها قابلیت IPCop : برای را گرافیکی کارت عملکرد دهد می اجازه شما به فایروال این رنگی وب رابط CPU کنید مانیتور دیسک و حافظه ، کند می پشتیبانی متعددی های زبان از .کند می فراهم را اسانی و امن بسیار ارتقاء 70
- 71. Shorewall : فایروال Shorewall برای باز متن های فایروال ترین محبوب از دیگر یکی لینوکس / GNU فایروال این .است سیستم روی بر Netfilter هسته در که ای لینوکس از و شده ایجاد است ساخت درون 6 IPV .کند می پشتیبانی :فایروال های ویژگی و ها قابلیت ارتباط پیگیری امکانت از Netfilter .کند می استفاده ها بسته کردن فیلتر برای /فایروال/روتر های اپلیکیشن از ای گسترده طیف از Gateway کند می پشتیبانی دارد فایروال برای متمرکزی مدیریت پنل کنترل با کاربری گرافیک رابط Webmin دارد از ISP کند می پشتیبانی متعددی های و پورت فوروارد از Masquerading کند می پشتیبانی از VPN .کند می استفاده : نکته webmin . باشد می فایروال این مدیریت برای ماژولی دارای 71
- 72. 72
- 73. Vuurmuur : Vuurmuur بسیار نیز ها ادمین برای گزینه این .است شبکه یا سرور برای قدرتمند لینوکسی های فایروال از دیگر یکی مورد در قبلی دانش نیازمند فایروال این با کردن کار برای ها ادمین .است کاربرپسند iptables .نیستند :فایروال های ویژگی و ها قابلیت از پشتیبانی 6 IPV ترافیک به دهی شکل پیشرفته مانیتورینگ های قابلیت باند پهنای مصرف و ارتباط واقعی زمان مانیتورینگ با آسان پیکربندی NAT قابلیت وجود - Anti spoofing 73
- 74. 74
- 75. 75
- 76. 1 . IPFire : . باشد می لینوکس بر مبتنی های فایروال از دیگر یکی نیز گزینه این IPFire .دارد باالیی بسیار پذیری انعطاف :فایروال های ویژگی و ها قابلیت یا سرور پروکسی ،فایروال عنوان به را آن توان می VPN gateway کرد پیکربندی محتوا فیلتر ساخت درون حمله تشخیص سیستم گفتگوها و ها انجمن طریق از پشتیبانی همچون هایپروایزرهایی از پشتیبانی KVM، Vmware ، XEN سازی مجازی های محیط برای 76
- 77. SmoothWall & SmoothWall Express : SmoothWall عنوان با آن وب بر مبتنی رابط .است پذیر انعطاف بسیار وب رابط با لینوکسی باز متن های فایروال از یکی WAM .است شده شناخته :فایروال های ویژگی ها قابلیت از پشتیبانی LAN، DMZ سیم بی های شبکه و محتوا واقعی زمان فیلتر فیلترینگ HTTPS ها پروکسی از پشتیبانی فایروال فعالیت مانیتور و الگ مشاهده پی آی هر اساس بر ترافیک وضعیت مدیریت بازیابی و آپ بک امکانات 77