ดาวน์โหลดงานนำเสนอ
งานนำเสนอกำลังจะดาวน์โหลด โปรดรอ
1
IP TABLES เรียนรู้และทำความเข้าใจการทำงานของ iptables และสามารถนำไปประยุกต์ใช้กับ Firewall ได้
2
IP TABLES IP Table คือชื่อของ freeware ตัวหนึ่งซึ่งทำงานอยู่บน Linux มีหน้าที่ในการตรวจสอบ package ต่างๆ ที่เข้ามายังเครื่อง Linux รวมทั้งสามารถทำหน้าที่ในการส่งต่อ เปลี่ยนแปลง package ใดๆ ก็ตามที่เข้ามาได้ คือการทำ Firewall นั่นเอง
3
หลักการทำงานของIP TABLES
ในการทำ Firewall นั้น เราจะต้องทราบข้อมูลเข้าและข้อมูลออกทั้งหมดของServerโดยจะต้องระบุ IP ต้นทาง, IP ปลายทาง, Port และ Protocol เป็นอย่างน้อย ดังนั้น กฎที่เราต้องสร้างขึ้นจะมี 2 รูปแบบ ก็กำหนดได้โดย
4
หลักการทำงานของIP TABLES(ต่อ)
1. กำหนดข้อมูลที่วิ่งเข้ามายัง Server - สามารถเชื่อมต่อมายัง Server ต้นทาง IP /24 ด้วย Protocol - นอกเหนือจากกฎเหล่านี้ให้ DROP 2. กำหนดข้อมูลที่วิ่งออกจาก Server - สามารถออกได้หมดทุก ip/port/protocol
5
อุปกรณ์และ Softward ที่ใช้
เครื่อง PC ที่เป็น Client (วงนอก) เครื่อง PC ที่เป็น Client (วงใน) เครื่อง Server ติดตั้ง Ubuntu Hub สำหรับกระจายเน็ต
6
การใช้งานเบื้องต้น Iptables เป็นโปรแกรมที่ติดตั้งมากับ เคอร์เนล ตั้งแต่ เป็นต้นไป ในที่นี้ทางผู้จัดทำใช้ Ubuntu ที่มี kernel 3.0 มาให้แล้วจึงมี Iptables มาให้แล้ว
7
การใช้งานเบื้องต้น iptables [table]<command><match><target/jump> [table] หมายถึง ตารางหรือ table ที่ต้องการระบุ เช่น iptables -t nat หมายถึงให้ทำงานกับ nat table ในกรณีที่ไม่ได้ระบุตาราง iptables จะถือว่างดังกล่าวระบุถึง filter table
![การใช้งานเบื้องต้น iptables [table]<command><match><target/jump>](http://slideplayer.in.th/slide/2114850/8/images/7/%E0%B8%81%E0%B8%B2%E0%B8%A3%E0%B9%83%E0%B8%8A%E0%B9%89%E0%B8%87%E0%B8%B2%E0%B8%99%E0%B9%80%E0%B8%9A%E0%B8%B7%E0%B9%89%E0%B8%AD%E0%B8%87%E0%B8%95%E0%B9%89%E0%B8%99+iptables+%5Btable%5D%3Ccommand%3E%3Cmatch%3E%3Ctarget%2Fjump%3E.jpg "[table] หมายถึง ตารางหรือ table ที่ต้องการระบุ เช่น iptables -t nat หมายถึงให้ทำงานกับ. nat table ในกรณีที่ไม่ได้ระบุตาราง iptables จะถือว่างดังกล่าวระบุถึง filter table.")
8
การใช้งานเบื้องต้น iptables [table]<command><match><target/jump> <command> จะเป็นตัวสั่งให้ iptables ทำในสิ่งที่ต้องการ เช่น iptables –A INPUT ซึ่งหมายถึงให้สร้าง rule ต่อท้าย INPUT chain ใน filter table
![การใช้งานเบื้องต้น iptables [table]<command><match><target/jump>](http://slideplayer.in.th/slide/2114850/8/images/8/%E0%B8%81%E0%B8%B2%E0%B8%A3%E0%B9%83%E0%B8%8A%E0%B9%89%E0%B8%87%E0%B8%B2%E0%B8%99%E0%B9%80%E0%B8%9A%E0%B8%B7%E0%B9%89%E0%B8%AD%E0%B8%87%E0%B8%95%E0%B9%89%E0%B8%99+iptables+%5Btable%5D%3Ccommand%3E%3Cmatch%3E%3Ctarget%2Fjump%3E.jpg "<command> จะเป็นตัวสั่งให้ iptables ทำในสิ่งที่ต้องการ เช่น iptables –A INPUT ซึ่งหมายถึงให้สร้าง rule ต่อท้าย INPUT chain ใน filter table.")
9
การใช้งานเบื้องต้น iptables [table]<command><match><target/jump> <match> เป็นส่วนที่ใช้ตรวจสอบว่า packet มีข้อมูลตรง (match) กับที่ระบุไว้หรือไม่ เช่น มี source ip address เป็น
![การใช้งานเบื้องต้น iptables [table]<command><match><target/jump>](http://slideplayer.in.th/slide/2114850/8/images/9/%E0%B8%81%E0%B8%B2%E0%B8%A3%E0%B9%83%E0%B8%8A%E0%B9%89%E0%B8%87%E0%B8%B2%E0%B8%99%E0%B9%80%E0%B8%9A%E0%B8%B7%E0%B9%89%E0%B8%AD%E0%B8%87%E0%B8%95%E0%B9%89%E0%B8%99+iptables+%5Btable%5D%3Ccommand%3E%3Cmatch%3E%3Ctarget%2Fjump%3E.jpg "<match> เป็นส่วนที่ใช้ตรวจสอบว่า packet มีข้อมูลตรง (match) กับที่ระบุไว้หรือไม่ เช่น มี source ip address เป็น")
10
การใช้งานเบื้องต้น iptables [table]<command><match><target/jump> <target/jump> เป็นตัวระบุว่าเมื่อเจอ packet ที่ match ก็จะกระทำ (action) ตามที่ระบุไว้ เช่น ถ้า packet ใดมี source ip address เป็น ให้ DROP packet นั้นทิ้งไป
![การใช้งานเบื้องต้น iptables [table]<command><match><target/jump> <target/jump> เป็นตัวระบุว่าเมื่อเจอ packet ที่ match ก็จะกระทำ.](http://slideplayer.in.th/slide/2114850/8/images/10/%E0%B8%81%E0%B8%B2%E0%B8%A3%E0%B9%83%E0%B8%8A%E0%B9%89%E0%B8%87%E0%B8%B2%E0%B8%99%E0%B9%80%E0%B8%9A%E0%B8%B7%E0%B9%89%E0%B8%AD%E0%B8%87%E0%B8%95%E0%B9%89%E0%B8%99+iptables+%5Btable%5D%3Ccommand%3E%3Cmatch%3E%3Ctarget%2Fjump%3E+%3Ctarget%2Fjump%3E+%E0%B9%80%E0%B8%9B%E0%B9%87%E0%B8%99%E0%B8%95%E0%B8%B1%E0%B8%A7%E0%B8%A3%E0%B8%B0%E0%B8%9A%E0%B8%B8%E0%B8%A7%E0%B9%88%E0%B8%B2%E0%B9%80%E0%B8%A1%E0%B8%B7%E0%B9%88%E0%B8%AD%E0%B9%80%E0%B8%88%E0%B8%AD+packet+%E0%B8%97%E0%B8%B5%E0%B9%88+match+%E0%B8%81%E0%B9%87%E0%B8%88%E0%B8%B0%E0%B8%81%E0%B8%A3%E0%B8%B0%E0%B8%97%E0%B8%B3..jpg "(action) ตามที่ระบุไว้ เช่น ถ้า packet ใดมี source ip address เป็น ให้ DROP packet นั้นทิ้งไป.")
11
การใช้งานเบื้องต้น iptables สามารถทำงานได้กับตาราง(table) 3 ตารางหลัก สามารถระบุตารางได้โดยใช้ ออปชัน -t ตามด้วยชื่อ table คือ 1. Filter table ใช้สำหรับกรอง packet มี 3 built-in chain คือ INPUT,OUTPUT, FORWARD ซึ่งจะได-อธิบายรายละเอียดต่อไป 2. Nat table ใช้สำหรับการแปลงแอดเดรส (Network Address Translation) มี 3 built-in chain คือ PREROUTING, POSTROUTING, OUTPUT ซึ่ง รายละเอียดจะได้อธิบายต่อไป 3. Mangle table เป็นตารางที่ใช้เปลี่ยนแปลงหรือแก้ไข packet เช่น เปลี่ยนค่า TTL, MARK ซึ่งปกติจะใช้ในการทำ routing ที่มีความซับซ้อนสูง
12
การใช้งานเบื้องต้น • -A เพิ่ม rule ใหม่ต่อท้าย chain (Append rule) เช่น # iptables -A INPUT -p ALL -i eth0 -j ACCEPT • -D ลบ rule (Delete rule) เช่น # iptables -D INPUT --dport 80 -j DROP • -I เพิ่ม rule ใหม่ ใน chain (Insert rule) เช่น # iptables -I OUTPUT -p ALL -s /32 -j ACCEPT • -R แทนที่ rule เดิม ด้วย rule ใหม่ (Replace rule)
13
การใช้งานเบื้องต้น • -L แสดง rule ทั้งหมดใน chain (ถ้าไม่ระบุ chain จะแสดง rule ทั้งหมดใน filter table ทั้งสาม built-in chain) เช่น # iptables -L # iptables -L -t nat # iptables -L INPUT • -F ลบ rule ทั้งหมดใน chain ทิ้ง เช่น # iptables -F INPUT # iptables -F mychain
14
การใช้งานเบื้องต้น สามารถระบุ source ip address ของ packet โดยใช้ -s หรือ --source หรือ -src และสำหรับ destination ip address ก็ใช้ -d หรือ --destination หรือ --dst การระบุไอพีแอดเดรสนั้นสามารถทำได้ 4 แบบด้วยกันคือ 1. ใช้ชื่อเต็มแทน เช่น localhost หรือ 2. ระบุไอพีแอดเดรสโดยตรง เช่น หรือ 3. ระบุเป็น group ของไอพีแอดเดรส เช่น /24 ซึ่งหมายถึง ไอพีแอดเดรสตั้งแต่ 4. หรืออาจจะใช้ / แทน /24 ได้
15
การใช้งานเบื้องต้น การระบุโพรโตคอล
สามารถระบุโพรโตคอลที่ต้องการได้ดังนี้คือ TCP, UDP, ICMP หรือสามารถใช้ ตัวเลขแทนได้ และยังสามารถ ใช้ได้ทั้งตัวอักษรเล็กหรือใหญ่ (ใช้ได้ทั้ง tcp และ TCP) เช่น -p TCP หรือ -p
16
การใช้งานเบื้องต้น การระบุ interface
-i หรือ --in-interface ตามด้วยชื่อ interface ใช้เพื่อระบุ incoming interface ซึ่งหมายถึงว่า packet ที่จะ match กับ rule นี้ต-องเข-ามาจาก interface ที่กำหนด เช่น -i eth0 หมายความว่า ทุก packet ที่เข-ามาทาง eth0 จะ match กับ rule นี้ ทั้งนี้ชื่อ interface ที่สามารถใช้ได้นั้น สามารถตรวจสอบ ได้โดยใช้คำสั่ง ifconfig และ -o หรือ --out-interface ตามด้วยชื่อของ interface ใช้เพื่อระบุ outgoing interface ซึ่งหมายถึงว่า packet ที่จะ match กับ rule นี้ กำลังจะ เดินทางผ่าน interface ที่ระบุไว- เช่น -o eth1 หรือ -o ! eth1
17
สิ่งที่ทำ 1.ping 2.port 3.ip 4.forward port
18
จัดทำโดย นายนิภัทร์ สุวรรณ รหัส 52530309
นายภัทนกฤษณ์ ราชประโคน รหัส นายชลธวัช ศรีศาลา รหัส นางสาววันทนา คำบุญศรี รหัส นางสาวกิตติพา คลังวิสาร รหัส
งานนำเสนอที่คล้ายกัน
