Маршрутизация IP в ОС Linux

Применение утилиты ipchains

В ядре ОС Linux версии 2.1 таблица NAT была расширена и наделена дополнительными функциями. Так как в ней обеспечена обратная совместимость, то для внесения изменений в таблицу NAT вы можете использовать программу ipfwadm. Однако для работы с новыми функциями, доступными в этой версии ядра, была разработана другая программа. Для работы с таблицей NAT в ядрах ОС Linux была создана программа ipchains. Программа была написана Расти Расселом (Rusty Russel) и поддерживается им и сегодня. Основной Web-сервер по поддержке программы ipchains находится по адресу:

http://www.rustcorp.com/linux/ipchains

С целью облегчения администрирования совместно с программой ipchains можно использовать три сценария: ipchains-save, ipchains-restore и ipchains-wrapper. Сценарий ipchains-wrapper может использоваться, если в системе уже задействован сценарий ipfwadm и вы хотите, модернизировав ядро ОС Linux, перейти к работе с ipchains. Если же вы настраиваете преобразование адресов и брандмауэр впервые, то вам этот сценарий не понадобится.

Работу сценариев мы обсудим позже в разделе "Сохранение конфигурации NAT".

Программа ipchains, как и ipfwadm, манипулирует в таблице NAT правилами четырех категорий. Эти категории:

• входящая цепочка IP;
• исходящая цепочка IP;
• цепочка для пересылки пакетов IP;
• цепочки, определяемые пользователем.

В программе ipchains используется принцип формирования цепочек правил, которые совместно регулируют процесс фильтрации пакетов по мере их прохождения через сервер на базе ОС Linux. Помните о том, что правила создаются для облегчения системному администратору управления таблицей NAT. На рис.19.3 представлена графическая схема цепочки правил. Все правила хранятся в виде пар IP-адресов в таблице NAT.

увеличить изображение
Рис. 19.3. Работа правил в программе ipchains

Рис.19.3 демонстрирует процессы обработки пакетов на сервере под управлением ОС Linux. В табл.19.5 дается подробное описание этих процессов.

Прежде чем пакет будет принят и обработан на локальном хосте либо переслан на другой хост, он должен пройти все необходимые стадии обработки, представленные в табл.19.5.

С помощью программы ipchains для входных, выходных цепочек и цепочек пересылки используются правила, устанавливаемые в таблице NAT. Формат команды ipchains варьируется в зависимости от используемой категории. Ниже приведены несколько наиболее распространенных форматов ipchains:

ipchains -[ADC] chain rule-specification [options]
ipchains -[RI] chain rulenum rule-specification [options]
ipchains -D chain rulenum [options]
ipchains -[LFZNX] [chain] [options]
ipchains -P chain target [options]
ipchains -M [-L | -S ] [options]

Первый параметр в команде задает функции, выполняемые ipchains. В табл.19.6 представлены команды для управления работой ipchains.

Далее следует имя цепочки. Это может быть либо одна из системных цепочек (входная, выходная или цепочка пересылки), либо имя цепочки, заданное пользователем с помощью команды -N. Цепочки, определяемые пользователем, часто применяются для упрощения сложных правил.