Dalam artikel yang lepas, saya sudah terangkan tentang NAT yang terbahagi kepada 2 iaitu SNAT dan DNAT. Kali ini kita lihat pula extension yang terdapat didalam iptables. Antara yang menarik ialah state extension.
Apa itu extension
--------------------
Extension di sini bermaksud kod2 yang boleh dimasukkan dan ditambah ke dalam iptables supaya features tertentu dapat digunakan.
state extension
-----------------
Ia direka berdasarkan modul connection tracking di dalam kernel. Jadi pastikan anda memasukkan connection tracking module ke dalam kernel untuk membolehkan anda dapat menggunakan state extension.
Terdapat 3 'state' (status) bagi sesatu packet :
1. NEW --> paket dari satu sambungan (connection) baru. Untuk paket yang tidak dibalas oleh server dan dihantar balik juga dianggap sebagai NEW.
2. ESTABLISHED --> paket yang telah datang sebelumnya dan telah dibalas oleh server. Jadi paket yang datang dalam sambungan yang sama, akan dikelaskan sebagai ESTABLISHED.
3. RELATED --> paket yang tidak bersangkutan dengan sambungan tertentu tetapi mempunyai hubungkait dengan sambungan tertentu. Kebanyakannya berkaitan dengan FTP data connections.
4. INVALID --> paket yang bukan sebahagian sambungan tertentu dan tidak boleh dikaitkan dengan sambungan tertentu disebabkan oleh paket yang tidak sah atau tidak cukup memory.
Jadi dengan menggunakan status pada paket yang diklasifikasikan oleh
connection tracking, kita boleh menggunakan peraturan tertentu.
Cuba lihat contoh dibawah :
CODE
#iptables -A FORWARD -o ppp0 -j ACCEPT
Contoh di atas membenarkan (-j ACCEPT) paket dari LAN kita ke luar (internet) melalui interface ppp0 (modem) (-o ppp0).
Lihat pula contoh dibawah :
CODE
#iptables -A FORWARD -i ppp0 -m state --state ESTABLISHED,RELATED -j ACCEPT
Contoh diatas hanya membenarkan paket (-j ACCEPT) masuk melalui interface ppp0.
Kod connection tracking tidak men'drop' paket. Paket yang rosak atau yang tidak difahami akan diklasifikasikan sebagai INVALID. Ianya tugas iptables untuk menentukan nasib paket sebegini , samada nak drop dan sebagainya.
Semoga artikel pendek ini dapat dijadikan panduan untuk kawan2 semua mendalami iptables. Wassalam
[end of Part2]
_____________________________________
thanks to bro zamri
No comments:
Post a Comment