05-02-2011، 12:12 AM
در ادامه مباحث مطرح شده :
اولویت بازبینی قوانین مربوط به IPTables بر طبق مکان درج آنها در هر Chain مشخص می شود. به عنوان مثال در دو قانون زیر:
iptables -A OUTPUT -p all -j DROP
iptables -A OUTPUT -p all -j ACCEPT*
دسترسی کل شبکه قطع خواهد شد به دلیل اینکه قانون iptables -A OUTPUT -p all -j DROP بالاتر از قانون دسترسی به کل پروتکل های شبکه است ( قانون دوم ).
در سویچ A- هر گاه ما قانون جدیدی بنویسیم در پایین زنجیر مربوطه درج خواهد شده برای اینکه یک قانون را در موقعیت خاصی در زنجیر ها درج کنیم باید از سویچ I-* به معنی INSERT استفاده کنیم. به مثال زیر دقت کنید در این مثال ما می خواهیم قانون خود را در مکان دوم زنجیر مربوط به OUTPUT درج کنیم:
iptables -I OUTPUT 2 -p tcp --dport 21 -s 192.168.2.1 -j ACCEPT
همانطور که ملاحظه می فرمایید برای مشخص کردن مکان درج Rule* محل درج را به صورت عددی با شروع از یک بعد از اسم Chain ( زنجیر ) می نویسیم در اینجا بعد از زنجیر OUTPUT*محل درج را نوشته ایم.
به همین ترتیب برای حذف یک قانون خاص از مجموعه قوانین یک زنجیر از سویچ D- به معنی DELETE استفاده می کنیم. به مثال زیر دقت کنید.
در این مثال می خواهیم قانون شماره سوم را از زنجیر INPUT حذف کنیم.
iptables -D INPUT 3
دستور فوق باعث حذف قانون شماره سوم زنجیر INPUT می شود.
حال به معرفی دو ویژگی مدیریت بسته های TCP/IP*می پردازیم:
سویچ sport-- خواهر سویچ dport-- محسوب می شود و برای مشخص کردن شماره *پورت منبع بسته های TCP/IP*است. با یک مثال کاربرد سویچ sport--*را نشان می دهیم:
فرض کنید مایل هستیم که ترافیک ورودی به سمت پورت ۴۴۴۴ را مسدود کنیم برای این کار از قانون زیر استفاده می کنیم:
iptables -A INPUT -p tcp --sport 4444 -j DROP
با استفاده از سویچ های sport-- و dport-- می توانید قوانین خود را بر روی *پروتکل های ارتباطی مورد نظر خود اعمال کنید.
اولویت بازبینی قوانین مربوط به IPTables بر طبق مکان درج آنها در هر Chain مشخص می شود. به عنوان مثال در دو قانون زیر:
iptables -A OUTPUT -p all -j DROP
iptables -A OUTPUT -p all -j ACCEPT*
دسترسی کل شبکه قطع خواهد شد به دلیل اینکه قانون iptables -A OUTPUT -p all -j DROP بالاتر از قانون دسترسی به کل پروتکل های شبکه است ( قانون دوم ).
در سویچ A- هر گاه ما قانون جدیدی بنویسیم در پایین زنجیر مربوطه درج خواهد شده برای اینکه یک قانون را در موقعیت خاصی در زنجیر ها درج کنیم باید از سویچ I-* به معنی INSERT استفاده کنیم. به مثال زیر دقت کنید در این مثال ما می خواهیم قانون خود را در مکان دوم زنجیر مربوط به OUTPUT درج کنیم:
iptables -I OUTPUT 2 -p tcp --dport 21 -s 192.168.2.1 -j ACCEPT
همانطور که ملاحظه می فرمایید برای مشخص کردن مکان درج Rule* محل درج را به صورت عددی با شروع از یک بعد از اسم Chain ( زنجیر ) می نویسیم در اینجا بعد از زنجیر OUTPUT*محل درج را نوشته ایم.
به همین ترتیب برای حذف یک قانون خاص از مجموعه قوانین یک زنجیر از سویچ D- به معنی DELETE استفاده می کنیم. به مثال زیر دقت کنید.
در این مثال می خواهیم قانون شماره سوم را از زنجیر INPUT حذف کنیم.
iptables -D INPUT 3
دستور فوق باعث حذف قانون شماره سوم زنجیر INPUT می شود.
حال به معرفی دو ویژگی مدیریت بسته های TCP/IP*می پردازیم:
سویچ sport-- خواهر سویچ dport-- محسوب می شود و برای مشخص کردن شماره *پورت منبع بسته های TCP/IP*است. با یک مثال کاربرد سویچ sport--*را نشان می دهیم:
فرض کنید مایل هستیم که ترافیک ورودی به سمت پورت ۴۴۴۴ را مسدود کنیم برای این کار از قانون زیر استفاده می کنیم:
iptables -A INPUT -p tcp --sport 4444 -j DROP
با استفاده از سویچ های sport-- و dport-- می توانید قوانین خود را بر روی *پروتکل های ارتباطی مورد نظر خود اعمال کنید.