Beyond Linux® From Scratch. 4. Безопасность

Наши партнеры

Книги по Linux (с отзывами читателей)

Библиотека сайта rus-linux.net

На главную -> MyLDP -> Электронные книги по ОС Linux

Beyond Linux From Scratch. Version 2011-12-30
Назад	4. Безопасность	Вперед

Пакет Iptables-1.4.12

Знакомимся с пакетом Iptables

В следующей части этой главы рассказывается о брандмауэрах. Основным инструментом брандмауэра для Linux является пакет iptables. Вам нужно будет установить пакет iptables, если вы собираетесь в каком-либо виде использовать брандмауэр.

Известно, что пакет правильно собирается и работает на платформе LFS-7.0.

Информация о пакете

Загрузка (HTTP): http://www.netfilter.org/projects/iptables/files/iptables-1.4.12.tar.bz2
Загрузка (FTP): ftp://ftp.netfilter.org/pub/iptables/iptables-1.4.12.tar.bz2
Контрольная сумма MD5: d3f145c2c91daecbb4251bc79390b46c
Размер загружаемого пакета: 480 KB
Оценочный размер требуемого дискового пространства: 15 MB
Оценочное время сборки: 0,2 SBU

Замечания для пользователей: http://wiki.linuxfromscratch.org/blfs/wiki/iptables

Конфигурация ядра

Брандмауэр в Linux функционирует с помощью той части ядра, которая называется netfilter. Интерфейсом к netfilter является пакет iptables. Чтобы им воспользоваться, нужно найти соответствующие конфигурационные параметры в Networking Support => Networking Options => Network Packet Filtering Framework (Поддержка сети => Параметры настройки сети => Параметры фреймворка фильтрации сетевых пакетов).

Установка пакета Iptables

Замечание

В описании установки, приведенной ниже, не рассказывается о сборке некоторых специализированных библиотек расширений, для которых в исходный код Linux нужно добавлять заголовки. Если вы хотите собрать дополнительные расширения (если вы об этом не знаете, то, вероятно, вы этого делать не будете), то вы можете заглянуть в файл INSTALL, чтобы увидеть пример того, как следует изменить параметр KERNEL_DIR=, чтобы он указывал на исходный код Linux . Обратите внимание, что при обновлении версии ядра, вам может также потребоваться перекомпилировать iptables и что разработчики из команды BLFS не тестируют добавление заголовков ядра.

Для некоторых архитектур, отличных от x86, добавление заголовков ядра может оказаться необходимым. В этом случае в параметр KERNEL_DIR= нужно внести изменения так, чтобы он указывал на исходный код Linux.

Установите пакет iptables с помощью следующих команд:

./configure --prefix=/usr     \
            --bindir=/sbin    \
            --sbindir=/sbin   \
            --libdir=/lib     \
            --libexecdir=/lib \
            --with-pkgconfigdir=/usr/lib/pkgconfig &&
make

В этом пакете набор тестов отсутствует.

Теперь в роли пользователя root выполните:

Пояснение команд

--bindir=/sbin, --sbindir=/sbin: Обеспечивает, чтобы все исполняемые модули находились в директории /sbin.

--libdir=/lib, --libexecdir=/lib: Обеспечивает, чтобы все библиотеки находились в дереве директориев /lib.

--with-pkgconfigdir=/usr/lib/pkgconfig: Обеспечивает, чтобы все файлы pkgconfig находились в стандартных предназначенных для этого местах.

ln -sfv xtables-multi /sbin/iptables-xml: Делает относительной символическую ссылку на iptables-xml.

Конфигурирование пакета Iptables

Вводные инструкции по настройке брандмауэра будут приведены в разделе Настройка брандмауэра.

Загрузочный скрипт

Чтобы запускать брандмауэр iptables во время загрузки системы, установите инициализационный скрипт /etc/rc.d/init.d/iptables, который входит в состав пакета blfs-bootscripts-20111213.

make install-iptables

Описание пакета

Установленные программы: iptables, iptables-restore, iptables-save, iptables-xml, iptables-multi, ip6tables, ip6tables-restore, ip6tables-save и ip6tables-multii

Установленные библиотеки: libip4tc.so, libip6tc.so, libiptc.so, libxtables.so и многочисленные модули в директории /lib/xtables/

Установленные директории: /lib/xtables/xtables и /usr/include/libiptc

Краткое описание

iptables	используется для настройки, обслуживания и проверки находящихся в ядре Linux таблиц правил фильтрации пакетов IP. Это символическая ссылка на iptables-multi.
iptables-restore	используется для восстановления таблиц IP Таблицы по данным, вводимым через стандартных входной поток STDIN. Чтобы считывать данные из файла, используйте перенаправление ввода/вывода, имеющееся в вашей командной оболочке. Это символическая ссылка наiptables-multi.
iptables-save	используется для выдачи в стандартный поток вывода STDOUT дампа содержимого таблицы IP в удобном для анализа формате. Чтобы записать данные в файл, используйте перенаправление ввода/вывода, имеющееся в вашей командной оболочке. Это символическая ссылка на iptables-multi.
iptables-xml	используется для преобразования выходных данных iptables-save в формат XML. Используйте стилевую страницу `iptables.xslt` для того, чтобы преобразовать файл XML обратно в формат команды iptables-restore. Это символическая ссылка на iptables-multi.
ip6tables*	набор команд для IPV6 , который точно такой же, как команды iptables, перечисленные выше. Все эти команды являются символическими ссылками на ip6tables-multi.

Перевод сделан с варианта оригинала, датированного 2011-12-06 23:38:54 +0000

Предыдущий раздел:	Оглавление	Следующий раздел:
Пакет Cyrus Cyrus SASL-2.1.23		Настройка брандмауэра