"Oskar Andreasson. Iptables Tutorial 1.1.19 " - читать интересную книгу автора
остальные порты. Рисунок ниже показывает как выполняется пассивное
соединение FTP.
Некоторые вспомогательные модули уже включены в состав ядра. Если быть
более точным, то в состав ядра включены вспомогательные модули для
протоколов FTP и IRC. Если в вашем распоряжении нет необходимого
вспомогательного модуля, то вам следует обратиться к patch-o-matic, который
содержит большое количество вспомогательных модулей для трассировки таких
протоколов, как ntalk или H.323. Если и здесь вы не нашли то, что вам нужно,
то у вас есть еще варианты: вы можете обратиться к CVS iptables, если
искомый вспомогательный модуль еще не был включен в patch-o-matic, либо
можете войти в контакт с разработчиками netfilter и узнать у них - имеется
ли подобный модуль и планируется ли он к выпуску. Если и тут вы потерпели
неудачу, то наверное вам следует прочитать Rusty Russell's Unreliable
Netfilter Hacking HOW-TO.
Вспомогательные модули могут быть скомпилированы как в виде
подгружаемых модулей ядра, так и статически связаны с ядром. Если они
скомпилированы как модули, то вы можете загрузить их командой:
modprobe ip_conntrack_*
Обратите внимание на то, что механизм определения состояния не имеет
никакого отношения к трансляции сетевых адресов (NAT), поэтому вам может
потребоваться большее количество дополнительных модулей, если вы выполняете
такую трансляцию. Допустим, что вы выполняете трансляцию адресов и
трассировку FTP соединений, тогда вам необходим так же и соответствующий
ip_nat_, в соответствии с соглашением об именах. В данном случае модуль
называется ip_nat_ftp. Для протокола IRC такой модуль будет называться
ip_nat_irc. Тому же самому соглашению следуют и названия вспомогательных
модулей трассировщика, например: ip_conntrack_ftp и ip_conntrack_irc.
Глава 5. Сохранение и восстановление больших наборов правил
В состав пакета iptables входят две очень удобные утилиты, особенно
если вам приходится иметь дело с большими наборами правил. Называются они
iptables-save и iptables-restore. Первая из них сохраняет, а вторая
восстанавливает наборы правил в/из файла. По своему формату файл с набором
правил похож на обычные файлы сценариев командной оболочки (shell), в чем вы
сможете убедиться чуть ниже.
5.1. Плюсы
Один из плюсов использования утилит iptables-save и iptables-restore
состоит в высокой скорости загрузки и сохранения больших наборов правил.
Главный недостаток, связанный с установкой наборов правил из сценариев
командной оболочки состоит в том, что команда iptables копирует набор правил
из пространства ядра в пространство пользователя, вставляет, добавляет или
изменяет правило и, наконец, весь набор правил копируется обратно в
пространство ядра. Эта последовательность действий выполняется для каждого
правила, которое вставляется или изменяется в наборе правил.
| © 2024 Библиотека RealLib.org (support [a t] reallib.org) |