🐘 🐜 🤑 फ़र्म के साथ iptables कॉन्फ़िगर करना 🧕🏿 🤶🏼 💅

Ferm iptables के लिए एक निम्न-स्तरीय ऐड-ऑन है, जो आपको iptables पैरामीटर सूचियों पर एक प्रकार का लूप व्यवस्थित करने की अनुमति देता है। यह विशेष रूप से उपयोगी हो जाता है जब जटिल फ़ायरवॉल नियम स्थापित करते हैं, यह लिखने के लिए कि अकेले iptables का उपयोग करके आपको -t फ़िल्टर-एक INPUT -p tcp --state NEW ... का उपयोग करना है, फिर वही -p udp के लिए करें, सामान्य रूप से, हंस - जानता है।

Ferm उस में अद्भुत है, iptables की पूर्ण लचीलेपन को बनाए रखते हुए, यह आपको कम प्रयास के साथ समान प्रभाव प्राप्त करने की अनुमति देता है। इसलिए, उदाहरण के लिए, ftp, ssh और http पोर्ट के नए कनेक्शनों को अनुमति देने के लिए और बाकी सब चीजों (प्रतिबंधित लोगों को छोड़कर) पर प्रतिबंध लगा सकते हैं, आप इस तरह का कॉन्फिगर लिख सकते हैं:

chain INPUT {
policy DROP;
mod state state (RELATED ESTABLISHED) ACCEPT;
proto tcp dport (http ftp ssh) ACCEPT;
}

हैरानी की बात है, खोज केवल एक लेख देता है शुक्राणु के लिए, जिसका फ़र्म से कोई लेना-देना नहीं है। या तो हर कोई पहले से ही सब कुछ जानता है और यह सभी के लिए स्पष्ट है, या इसके विपरीत। उत्तरार्द्ध के आधार पर, मैंने इस विषय को लिखने का फैसला किया।

इसकी आवश्यकता क्यों है?

सरल मामलों के लिए - यह बिल्कुल आवश्यक नहीं है। लेकिन यहां मेरे पास दो उदाहरणों के साथ एक सॉफ्टवेयर राउटर है। फ़ायरवॉल कॉन्फ़िगरेशन में 102 नियम होते हैं। उनमें से कई एक पैरामीटर के अंतर के साथ दोहराए जाते हैं। अगर, भगवान न करे, मैं इसमें कुछ बदलना चाहता हूं, तो मुझे अपनी आंखों में दर्द होगा और कम से कम 20 मिनट तक यह याद रखने की कोशिश करनी चाहिए कि क्या, कहां और कैसे। सहमत हूँ, यह अप्रिय है।

इस मामले में फ़र्म न केवल अधिक पठनीय है, बल्कि कुछ अधिक कॉम्पैक्ट सिंटैक्स भी बचाता है। उदाहरण के लिए, एक ही ferm.conf सर्वर (माइनस कमेंट्स और खाली लाइनों) पर यह 84 लाइनें बनाता है, साथ ही ip6tables को भी कॉन्फ़िगर करता है। प्रत्येक व्यक्तिगत सिलाई छोटी होती है। 8960 iptables वर्ण बनाम 2998 फ़र्म वर्ण।

यह देखते हुए कि फ़र्म का उपयोग करते समय, iptables की क्षमताओं पर व्यावहारिक रूप से कोई प्रतिबंध नहीं है, लाभ स्पष्ट है।

अन्य बातों के अलावा, फ़र्म स्क्रिप्ट नियमों को लिखने के लिए काफी उन्नत सुविधाएँ प्रदान करता है, जिसमें शामिल हैं बाहरी कार्यक्रमों और सशर्त बयानों को कॉल करना। लेकिन यह पहले से ही विषय के दायरे से थोड़ा परे है।

यह कैसे काम करता है?

Ferm है, यदि आप रूट को देखते हैं, तो एक perl स्क्रिप्ट जो ferm config फॉर्मेट को iptables कॉल्स (या iptables- सेव / रिस्टोर फॉर्मेट) में कनवर्ट करती है। तदनुसार, यह बहुत सरलता से काम करता है: यह पूर्वनिर्धारित सम्मेलनों में कॉन्फिग को पढ़ता है और उपयुक्त मापदंडों के साथ आईपीटैबल्स को कॉल करता है। सामान्य तौर पर, कोई विशेष जादू मौजूद नहीं है।

विन्यास प्रारूप (संक्षेप में)

सामान्य तौर पर, विन्यास सी के सदृश सूचियों का एक संसेचन है। सी। निर्देश का विभाजक अर्धविराम है। घुंघराले ब्रेसिज़ का उपयोग करके नेस्टेड सूचियों का आयोजन किया जाता है। सरल लिस्टिंग - गोल। यह अभी तक स्पष्ट नहीं है? एक उदाहरण पर विचार करें।

मान लीजिए कि हमारे पास एक iptables नियम है
iptables --protocol tcp -j ACCEPT
फ़र्म में इसे प्रसारित किया जाएगा
प्रोटोकॉल tcp ACCEPT;
यहां लाइन ब्रेक महत्वपूर्ण नहीं है, केवल अर्धविराम महत्वपूर्ण है।

इस मामले में तालिका और श्रृंखला डिफ़ॉल्ट (-t फ़िल्टर-ए INPUT) है।

तालिका और श्रृंखला कीवर्ड का उपयोग करके तालिका और श्रृंखला को परिभाषित किया जाता है। उदाहरण के लिए
तालिका एनएटी श्रृंखला PREROUTING प्रोटोकॉल tcp dport 12345 DNAT से 1.2.3.4;

सामान्य तौर पर, एक नियम में एक स्थान (तालिका, श्रृंखला), एक नियम स्वयं (प्रोटोकॉल tcp, dport 12345) और एक क्रिया (DNAT 1.2.3.4) होते हैं। नियम ही शुद्ध प्रतिबंधों का उपयोग करते समय उसी प्रतिबंध के अधीन है। यहाँ टेबल, चेन, प्रोटोकॉल, dport और DNAT कीवर्ड हैं। उनके बाद क्या पैरामीटर है।

अब कुछ जादू जोड़ें। कीवर्ड के मापदंडों के रूप में, आप न केवल वास्तविक मानों को निर्दिष्ट कर सकते हैं, बल्कि मूल्यों की सूची (या तो फ़ंक्शंस या चर भी, लेकिन यह फिर से विषय के दायरे से परे हो सकता है):
तालिका एनएटी श्रृंखला PREROUTING प्रोटोकॉल (tcp udp) dport (12345 54321) DNAT से 1.2.3.4;

और अब कुछ और जादू है - चूंकि आप इन सभी मापदंडों की सूची प्राप्त नहीं कर सकते हैं, आप कीवर्ड की सूची को परिभाषित कर सकते हैं:
तालिका nat श्रृंखला PREROUTING {प्रोटोकॉल tcp dport 12345 DNAT से 1.2.3.4; प्रोटोकॉल udp dport 54321 DNAT से 1.2.3.4; }

कहाँ से शुरू करें?

यदि मैं आपकी रुचि में कामयाब रहा, तो विषय का लक्ष्य पूरा हो जाता है। आप प्रोजेक्ट वेबसाइट: ferm.foo-projects.org से शुरू कर सकते हैं
डेबियन, जेंटू, और फेडोरा में, रिपॉजिटरी से फ़र्म स्थापित किया गया है।

यह मनुष्य के पढ़ने के लायक है, यह बहुत विस्तृत है, जो एक निश्चित प्लस है।

यह उदाहरणों को देखने के लायक है (मेरे लिए वे / usr / share / doc / ferm - * / उदाहरण के लिए गए थे, आपके पास एक अलग तरीका हो सकता है)

अन्य बातों के अलावा, दो और चीजों के बारे में जानने लायक है: एक मौजूदा कॉन्फ़िगरेशन और कमांड-लाइन विकल्प आयात करना।

आयात

ferm एक इम्पोर्ट-फ़र्म यूटिलिटी के साथ आता है जो iptables- सेव आउटपुट लेता है और फ़र्म फॉर्मेट में इसका आउटपुट लिखता है। यदि यह उपयोगिता मानक इनपुट के लिए कुछ खिलाती है, तो यह इसे iptables- आउटपुट के आउटपुट की तरह कुछ व्याख्या करता है, और कुछ भी कॉल नहीं करेगा। यदि आप सबमिट नहीं करते हैं, तो यह खुद को iptables- सेव कहेगा।

मानक आउटपुट पर, हमें एक फ़र्म-कॉन्फ़िगरेशन मिलता है, जिसे बाद में वापस डाउनलोड किया जा सकता है। सामान्य तौर पर, सब कुछ बहुत अनुकूल है।

कमांड लाइन विकल्प

जो बहुत उपयोगी हो सकता है।
--noexec
Iptables को कॉल नहीं करता है। यह - सुर्खियों के साथ समझ में आता है
--lines
उत्पन्न iptables कॉन्फ़िगरेशन दिखाता है (और इसे निष्पादित करता है! बस देखने के लिए, --noexec के साथ उपयोग करें)
--interactive
एक कॉन्फ़िगरेशन लागू करता है और उपयोगकर्ता इनपुट के लिए पूछता है। यदि 30 सेकंड के लिए कोई इनपुट नहीं है, तो पुरानी सेटिंग्स लौटाता है। बहुत उपयोगी है जब एक रिमोट मशीन पर सुबह तीन बजे नियम संपादित करना :)
--फास्ट / --slow
पहले में iptables- पुनर्स्थापना के माध्यम से एक ऑपरेटिंग मोड शामिल है, दूसरे में iptables कॉल के माध्यम से एक ऑपरेटिंग मोड शामिल है। संस्करण 2.0 से, फास्ट का उपयोग डिफ़ॉल्ट रूप से, क्रमशः - धीमी गति से किया जाता है। Iptables- पुनर्स्थापना में बच गए पात्रों के बारे में कुछ चेतावनी हैं, इसलिए दुर्लभ मामलों में - स्कोलो अधिक स्थिर हो सकता है। --slow --lines कॉल से ठीक पहले एक लाइन प्रिंट करेगा, जो डिबगिंग के लिए बेहद सुविधाजनक है।

खैर, कॉन्फ़िगर फ़ाइल का पथ आवश्यक पैरामीटर है।

बाकी मैनुअल में वर्णित हैं।

पुनश्च

यदि विषय दिलचस्प है, तो मैं फ़र्म कॉन्फिग प्रारूप में आगे जा सकता हूं। हालांकि, यह ध्यान में रखना होगा कि यह काफी हद तक मुफ्त अनुवाद / आदमी के शुक्राणु और उदाहरणों को फिर से पढ़ना होगा।

फ़र्म के साथ iptables कॉन्फ़िगर करना