Перейти к основному содержанию
Рецепты Linux

Main navigation

  • Основы
  • Система
  • Команды
  • Программы
  • Дистро
  • Интерфейсы
  • Устройства
  • Доки
User account menu
  • Войти

Строка навигации

  1. Главная
  2. Red Hat Enterprise Linux: Руководство по безопасности
  3. II. Настройка безопасности Red Hat Enterprise Linux
  4. Глава 7. Брандмауэры

7.6. iptables и отслеживание соединений

В состав iptables включён модуль, позволяющий администраторам наблюдать и ограничивать подключения к службам, работающим во внутренней сети, с помощью так называемого отслеживания соединений. Подсистема отслеживания соединений запоминает соединения в таблице, благодаря чему администраторы могут разрешать или запрещать доступ, исходя из следующих состояний соединения:

  • NEW (Новое) — Пакет запрашивает новое соединение, как, например, HTTP-запрос.

  • ESTABLISHED (Установлено) — пакет относится к существующему соединению.

  • RELATED (Связанный) — Пакет запрашивает новое подключение, но оно является частью существующего, как в случае с активными FTP-соединениями, когда подключение идёт к порту 20, а передача выполняется через любой неиспользуемый порт выше 1023.

  • INVALID (Неверный) — Пакет не является частью ни одного из соединения в таблице отслеживания соединений.

Вы можете использовать функциональность сохранения состояния, предлагаемую средством отслеживания соединений iptables с любым сетевым протоколом, даже если сам протокол состояние не поддерживает (как, например, UDP). Ниже показано правило, в котором отслеживание соединения используется для пересылки только пакетов, связанных с внешним соединением:

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ALLOW

Перекрёстные ссылки книги для 7.6. iptables и отслеживание соединений

  • 7.5. Вирусы и поддельные IP-адреса
  • Вверх
  • 7.7. ip6tables

Book navigation

  • Введение
  • I. Общее введение в безопасность
  • II. Настройка безопасности Red Hat Enterprise Linux
    • Глава 3. Обновления системы безопасности
    • Глава 4. Безопасность рабочей станции
    • Глава 5. Безопасность сервера
    • Глава 6. Виртуальные частные сети
    • Глава 7. Брандмауэры
      • 7.2. Использование iptables
      • 7.3. Типичные фильтры iptables
      • 7.4. Политика FORWARD и правила NAT
      • 7.5. Вирусы и поддельные IP-адреса
      • 7.6. iptables и отслеживание соединений
      • 7.7. ip6tables
      • 7.8. Дополнительные ресурсы
  • III. Оценка собственной защиты
  • IV. Реакция на вторжения и инциденты
  • V. Приложения

Последние материалы

  • Команда restore
    1 day ago
  • Файл sudoers
    1 week 1 day ago
  • Утилита visudo
    1 week 3 days ago
  • Файловый менеджер Thunar
    2 weeks 5 days ago
  • Эмулятор терминала Terminator
    3 weeks 3 days ago
RSS feed

Secondary menu

  • О проекте

© 2008–2025 Олег Меньшенин mensh@yandex.ru