به علاوه ، دو نوع عمل NAT وجود دارد. NAT مبدا که به صورت هدف SNAT مشخص می شود ، و NAT مقصد ، که به صورت هدف DNAT مشخص می گردد. هدف SNAT برای قوانینی استفاده می شود که آدرس های مبدا را تغییر می دهند و هدف DNAT برای آنهایی است که آدرسهای مقصد را عوض می کنند.

منتشرشده در آموزش لینوکس

قوانین انتخاب بسته برای عملیات NAT که به جدول NAT اضافه شده اند ، توسط دستور iptables مدیریت می شوند. برای اضافه کردن قوانین به جدول NAT ، باید جدول NAT را با سوئیچ -t مشخص کنید. بنابراین برای افزودن یک قانون به جدول NAT باید جدول NAT را با سوئیچ -t nat بدین شکل مشخص نمایید :

منتشرشده در آموزش لینوکس

ترجمه آدرس شبکه ( NAT ) ، فرآیندی است که طی آن سیستم ، مقصد یا بسته هایی که در طول سیستم عبور می کنند را تغییرمی دهد. یک بسته قبل از اینکه به مقصر نهایی خود برسد ، از چند سیستم به هم متصل روی یک شبکه عبور می کند. به طور عادی ، آنها به سادگی بسته را عبور می دهند. به هر حال اگر یکی از این سیستم ها ، یک NAT روی یک بسته انجام دهد ، ممکن است مبدا یا مقصد آن عوض شود. یک بسته که قرار است به یک مقصد خاص برسد ، احتمال دارد که آدرس مقصدش تغییر کند. برای این کار ، سیستم باید چنین تغییراتی را به خاطر بسپارد تا مبدا و مقصد برای بسته های پاسخ ، به آدرس های اصلی بسته ای که به آن پاسخ داده می شود ، اطلاع دهند.

منتشرشده در آموزش لینوکس

یکی از مفید ترین الحاقات ، حالتی است که به طور ساده می تواند اطلاعات ردیابی برای یک بسته را تشخیص دهد. ردیابی تماس یکی از ، اطلاعاتی در مورد یک تماس را نگه می دارد. مثل مبدا ، مقصد و درگاه آن. این کار یک ابزار مؤثر برای تعیین بسته هایی است که متعلق به یک تماس برقرار شده یا مرتبط می باشد. ابتدا باید با -m state ماژول حالت را مشخص کنید. سپس قادرید از سوییچ -state استفاده نمایید. 

منتشرشده در آموزش لینوکس

اگر سیستم شما یک سرویس اینترنت را میزبانی می کند ( مثل یک سرویس دهنده وب یا FTP ) ، می توانید از iptables برای کنترل دستیابی به آن استفاده نمایید. می توانید با استفاده از سوئیچ های درگاه مبدأ ( --sport ) یا در گاه مقصد ( --dport ) به همراه درگاهی که سرویس استفاده می کند، یک سرویس خاص را مشخص نمایید. iptables به شما اجازه می دهد تا از نامها برای درگاهها استفاده کنید. مثل www برای درگاه سرویس دهنده وب. نام سرویس ها و درگاههایی که آنها استفاده می کنند در فایل /etc/services لیست شده است، که درگاه ها را به سرویس های خاص نگاشت می کند. برای یک سرویس نامگذاری دامنه درگاه ، domain خواهد بود. همچنین اگر بخواهید می توانید از شماره درگاه استفاده نمایید که باید قبل از شماره، علامت دو نقطه ( : ) بیاورید. مثال زیر ، تمام پیامها به سرویس دهنده وب واقع در 192.168.0.43 را دریافت می کند : 

منتشرشده در آموزش لینوکس
دوشنبه, 21 اسفند 1391 22:42

بسته های ICMP (قسمت یازدهم)

فایروال ها اغلب ، پیامهای پروتکل کنترل پیام اینترنت ( ICMP ) خاص را مسدود می کنند. ICMP پیامها را تغییر مسیر می دهد و به طور منفرد می توانند وظایف مسیر یابی شما را کنترل نمایند. هر چند نیاز دارید تا بعضی از پیامهای ICMP فعال کنید. مثل پیامهای مورد نیاز برای ping ، traceroute و به طور خاص عملیات غیر قابل دسترسی مقصد در بیشتر حالات نیاز دارید. تا مطمئن شوید که بسته های غیر قابل دسترسی مقصد، مجاز هستند. در غیر اینصورت پرس جو های نام دامنه ممکن است با مشکل روبرو شود. بعضی از رایجترین انواع بسته های ICMP در جدول 6 لیست شده اند. می توانید با عمل --icmp-type یک نوع بسته ICMP از بسته را فعال کنید که یک عدد یا یک نام را که بیان کننده پیام است، به عنوان آرگومانش می گیرد. مثالهای زیر ، استفاده از پیامهای echo-reply ، echo-request و destination-unreachable را فعال می کند که دارای شماره های 0 ، 8 و 3 می باشند.

منتشرشده در آموزش لینوکس

با iptables ، زنجیرهای FORWARD و INPUT به طور مجزا ارزیابی می شوند. هیچ یک در دیگری تغذیه نمی گردد. این بدین معناست که اگر بخواهید به طور کامل ، انتقال آدرسهای خاصی از سیستم خود را مسدود کنید ، باید هر دو قانون FORWARD و INPUT را برای آنها اضافه نمایید.

منتشرشده در آموزش لینوکس

دو هدف داخلی ، یعنی DROP و ACCEPT وجود دارد. دیگر هدفها می توانند زنجیر های تعریف شده توسط کاربر یا الحاقات اضافه شده مثل REJECT باشند. دو هدف خاص برای مدیریت زنجیر ها استفاده می شود. RETURN و QUEUE. RETURN انتهای یک زنجیر را نشان می دهد و به جایی بر می گردد که زنجیر از آنجا شروع شده است. QUEUE برای ارسال بسته به فضای کاربر استفاده می شود. 

منتشرشده در آموزش لینوکس
یکشنبه, 20 اسفند 1391 22:28

سوئیچ های iptables (قسمت هشتم)

iptables طراحی شده تا بسط پذیر باشد و تعدادی سوئیچ با شرط انتخابی وجود دارد که می تواند به همراه iptables باشد. به عنوان مثال ، الحاق TCP شامل سوئیچ --syn است که بسته های SYN را بررسی می کند. الحاق ICMP ، سوئیچ --icmp-type را برای مشخص کردن بسته های ICMP ( آن طور که در عملیات ping استفاده می شد ) فراهم می نماید. الحاق limit شامل سوئیچ --limit است که با آن می توانید حداکثر تعداد بسته ها را مورد تطابق در طول زمان مشخص ( مثلا یک ثانیه ) را محدود کنید.

منتشرشده در آموزش لینوکس

قوانین زنجیر را با استفاده از دستورات iptables ، اضافه و اصلاح می کنید. یک دستور iptables ، شامل لغت کلیدی iptables است که با یک آرگومان دنبال می شود و دستور مورد اجرا را مشخص می نماید. به عنوان مثال، iptables -A دستوری برای اضافه کردن یک قانون جدید است ، در حالی که iptables -D ، دستوری برای خذف یک قانون می باشد ، دستورات iptables  در جدول 4 لیست شده اند. دستور زیر به سادگی زنجیر ها را به همراه قوانین فعلی آنها که برای سیستم شما تعریف شده اند لیست می کند. خروجی ، مقادیر پیش فرض ایجاد شده توسط دستورات iptables را نشان می دهد. 

منتشرشده در آموزش لینوکس
صفحه4 از5

پربازدیدترین مطالب

"«قیمتی که در هنگام سفارش مشتري در پیش‌فاکتور منظور گرديده است، معتبر مي‌باشد»."