IPtables के लिए वेब इंटरफ़ेस

# iptables -t nat -N test # iptables -t nat -A test -p tcp -j REDIRECT --to-port 80 # iptables -t nat -A test -p tcp -j MASQUERADE # iptables -t nat -A POSTROUTING -j test iptables: Invalid argument. Run `dmesg' for more information. # dmesg | tail -n 1 ip_tables: REDIRECT target: used from hooks POSTROUTING, but only usable from PREROUTING/OUTPUT # iptables -t nat -A PREROUTING -j test iptables: Invalid argument. Run `dmesg' for more information. # dmesg | tail -n 1 ip_tables: MASQUERADE target: used from hooks PREROUTING, but only usable from POSTROUTING 

यह पोस्ट iptables प्रोग्राम और इसके लिए वेब इंटरफेस के बारे में है।

जो लोग Iptables जैसे अद्भुत कार्यक्रम से परिचित नहीं हैं, उन्हें पोस्ट के अंतिम दो खंडों में संबोधित किया जाता है।

कहानी

http://iptadmin.confmgr.org/

इप्टाडमिन - लिनक्स में फ़ायरवॉल के साथ काम को आसान बनाने का प्रयास। फिलहाल, यह एक सरल वेब इंटरफ़ेस है जो केवल कुछ iptables विकल्पों के साथ काम कर सकता है। BSD3।

इप्टाडमिन के लाभ:

• प्रत्येक श्रृंखला के अंदर एक ब्राउज़र में नियमों की एक सूची प्रदर्शित करना सुंदर है। और कुछ जगहों पर कलर बैकलाइटिंग के साथ भी। नियमों को नियंत्रित करने के लिए लगातार iptables -L -vn -line-नंबर टाइप करने के बजाय।
• माउस कर्सर और चेकबॉक्स का उपयोग करके नियम बनाने और संपादित करने की क्षमता।
  
• जहां संभव हो, केवल सही इनपुट विकल्प की पेशकश की जाती है। पोस्ट की शुरुआत में वर्णित स्थिति को चेतावनी दी गई है।
  
• मॉड्यूल विकल्प स्वचालित रूप से जोड़ें।
  
• एक नियम बनाने के खिलाफ संरक्षण जो एक नेटवर्क पर प्रबंधन इंटरफ़ेस तक पहुंच को प्रतिबंधित करता है।
  
• इप्टाडमिन को स्थापित करने से कुछ भी नहीं बदलता है या इप्टेबल्स नियमों को खराब नहीं करता है। इप्टाडमिन सिस्टम पर कोई मध्यवर्ती डेटा संग्रहीत नहीं करता है। किसी भी समय, आप परिचित कंसोल इंटरफ़ेस का उपयोग कर सकते हैं या यहां तक ​​कि इप्टाडमिन को हटा सकते हैं।
  

Iptables के संबंध में कार्यक्रम का विवरण:

• एक और लगातार काम कर रहे ग्लूटोनस दानव। इसे काम करने के लिए कई मेगाबाइट मेमोरी की आवश्यकता होती है। इसे केवल सेटअप के दौरान शुरू किया जा सकता है। लेकिन शुरू करने के लिए, और फिर दानव को रोकना शरीर की अतिरिक्त हलचल है।
  
• रूट अधिकारों के साथ एक प्रक्रिया नेटवर्क पर सुनती है। इस प्रक्रिया को कचरा संग्रह के साथ संकेत के बिना एक उच्च-स्तरीय भाषा में डीबग, परीक्षण, सांख्यिकीय रूप से टाइप किया गया है। लेकिन यह रूट के तहत काम करता है और नेटवर्क पोर्ट पर सुनता है।
  
• अब तक, केवल सबसे अधिक इस्तेमाल किए जाने वाले iptables विकल्पों में से कुछ ही समर्थित हैं। किसी भी गैर-तुच्छ नियमों को अभी भी कंसोल से सेट करना होगा।
  

क्या कोई एनालॉग हैं?

इसी तरह के कार्यक्रम हैं। लेकिन एक विस्तृत तुलनात्मक विश्लेषण नहीं किया गया था। यहाँ कुछ लिंक और छोटी टिप्पणियाँ दी गई हैं:

• वेबमिन के लिए मॉड्यूल। यह iptables स्तर पर काम करता है। सभी या लगभग सभी नियम विकल्पों का समर्थन करता है। कॉन्फ़िगरेशन फ़ाइलों को तोड़ता है। पर्ल में लिखा गया है। http://doxfer.webmin.com/Webmin/LinuxFirewall
  
• Red Hat से सिस्टम-विन्यास-फ़ायरवॉल । Iptables के लिए सबसे अच्छे GUI में से एक। आपको पोर्ट खोलने / बंद करने, प्रसारण को कॉन्फ़िगर करने की अनुमति देता है। लेकिन सब कुछ उपयोगकर्ता से छिपा हुआ है। कई नियमों को एक चेकमार्क में जोड़ा जाता है (उदाहरण के लिए, "विश्वसनीय" सूची में इंटरफ़ेस जोड़ते समय)। कार्यक्रम किसी भी तरह से नियमों को प्रदर्शित नहीं करता है। http://fedoraproject.org/wiki/SystemConfig/firewall
  
• Ubuntu के लिए अस्पष्ट फ़ायरवॉल + GUI । इसके अलावा एक उच्च-स्तरीय इंटरफ़ेस, लेकिन यह सिस्टम-कॉन्फ़िगरेशन-फ़ायरवॉल की तुलना में बदतर काम करता है। काम शुरू करने से पहले, चेतावनी "सभी मैनुअल परिवर्तन खो जाएंगे"। http://gufw.tuxfamily.org/
  
• शोरवेल । IPtables पर सार। सब कुछ पाठ फ़ाइलों के माध्यम से कॉन्फ़िगर किया गया है। पर्ल में लिखा गया है। http://www.shorewall.net/
  
• फ़ायरवॉल बिल्डर - iptables, ipfw, लोहे के फायरवॉल सहित कई स्वरूपों में अनुवाद के साथ फ़ायरवॉल नियम विकसित करने के लिए IDE। संभवतः दर्जनों फायरवॉल के साथ विशाल इन्फ्रास्ट्रक्चर के लिए एक महान उपकरण। http://www.fwbuilder.org/
  

उन भाग्यशाली लोगों के लिए जो आईपीटैबल्स के बारे में नहीं जानते हैं।

लिनक्स ऑपरेटिंग सिस्टम के कर्नेल के घटकों में से एक फ़ायरवॉल है। यह आपको कई प्रकार के ट्रैफ़िक फ़िल्टरिंग करने की अनुमति देता है। इसके अलावा, कर्नेल में नेटवर्क पतों का अनुवाद करने की क्षमता होती है। उदाहरण के लिए, लिनक्स-आधारित नेटवर्क गेटवे स्थानीय नेटवर्क को इंटरनेट से जोड़ने के लिए बनाया गया है।

लिनक्स फ़ायरवॉल के लिए यूजर इंटरफेस Iptables है। यह एक कमांड लाइन कार्यक्रम है, यह एक पाठ टर्मिनल के माध्यम से उपयोगकर्ता के साथ बातचीत करता है। नियम बनाते समय, आपको नियमों के मापदंडों को दिल से याद रखना चाहिए, या मैनुअल पेज को लगातार खुला रखना चाहिए। इसके अलावा iptables विस्तृत इनपुट त्रुटि संदेशों के साथ अलग नहीं है। कुछ त्रुटियों को केवल कर्नेल लॉगिंग द्वारा सूचित किया जाता है।

जैसा कि अक्सर लिनक्स सबसिस्टम के साथ होता है, Iptables को कॉन्फ़िगर करने के लिए लगभग एक अलग विशेषज्ञ की आवश्यकता होती है (घटकों के अन्य उदाहरण जो कॉन्फ़िगर करना मुश्किल है: PAM, सेलिनक्स, पॉलिसी किट)।

Iptables के साथ काम करते समय विशिष्ट वर्कफ़्लो

उदाहरण के लिए, हम 192.168.1.1:80 से 192.168.0.3:8000 तक सबनेट 10.0.0.0/16 से एक्सेस करते हुए DNAT बनाना चाहते हैं:

 # iptables -A POSTROUTING -s 10.0.0.0/16 -d 192.168.1.1 --dport 80 -j DNAT --to-destination 192.168.0.3:8000 iptables v1.4.7: unknown option `--dport' Try `iptables -h' or 'iptables --help' for more information. 

इसलिए, iptables --dport विकल्प के बारे में कुछ नहीं जानता है, इसका उपयोग करने के लिए आपको -p tcp विकल्प को निर्दिष्ट करने की आवश्यकता है।
और हम कैसे भूल सकते हैं?

 # iptables -A POSTROUTING -s 10.0.0.0/16 -d 192.168.1.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.3:8000 iptables: No chain/target/match by that name. 

Iptables POSTROUTING श्रृंखला के बारे में कुछ भी नहीं जानता है। ऐसा कैसे? हम नाम को फिर से पढ़ते हैं, त्रुटियों के बिना वर्तनी।
एक! तालिका "नेट" को निर्दिष्ट करना आवश्यक है। डिफ़ॉल्ट रूप से, iptables फ़िल्टर तालिका का उपयोग करता है।

 # iptables -t nat -A POSTROUTING -s 10.0.0.0/16 -d 192.168.1.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.3:8000 iptables: Invalid argument. Run `dmesg' for more information 

अब हमें यह जानने के लिए dmesg पढ़ने की आवश्यकता है कि इस बार क्या गलत है।

 # dmesg | tail [ 44.855055] Bluetooth: BNEP filters: protocol multicast [ 44.891259] Bluetooth: SCO (Voice Link) ver 0.6 [ 44.891262] Bluetooth: SCO socket layer initialized [ 45.021718] Bluetooth: RFCOMM TTY layer initialized [ 45.021726] Bluetooth: RFCOMM socket layer initialized [ 45.021728] Bluetooth: RFCOMM ver 1.11 [ 93.795558] fuse init (API version 7.14) [ 93.823129] SELinux: initialized (dev fusectl, type fusectl), uses genfs_contexts [ 93.862287] SELinux: initialized (dev fuse, type fuse), uses genfs_contexts [ 1912.405272] x_tables: ip_tables: DNAT target: used from hooks POSTROUTING, but only usable from PREROUTING/OUTPUT 

एक और गलती। DNAT PREROUTING चेन में काम करता है, न कि POSTROUTING के लिए। अंत में, कमांड निष्पादित करें:

 # iptables -t nat -A PREROUTING -s 10.0.0.0/16 -d 192.168.1.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.3:8000 # 

हुर्रे! हमने कर दिया है। DNAT नियम जोड़ा गया।