নেটফিল্টার / iptables: কাঁচা টেবিল ব্যবহার করছেন না কেন?

লিনাক্সের অধীনে, আমরা সাধারণ ফিল্টারিং করতে সাধারণত "ফিল্টার" টেবিল ব্যবহার করি:

iptables --table filter --append INPUT --source 1.2.3.4 --jump DROP
iptables --table filter --append INPUT --in-interface lo --jump ACCEPT

নীচের নেটফিল্টার ফ্লো চার্ট অনুযায়ী প্যাকেটগুলি প্রথমে "কাঁচা" টেবিলের মাধ্যমে ভ্রমণ করে:

সুতরাং আমরা লিখতে পারি:

iptables --table raw --append PREROUTING --source 1.2.3.4 --jump DROP
iptables --table raw --append PREROUTING --in-interface lo --jump ACCEPT

• প্যাকেটগুলি শীঘ্রই পরিচালনা করা হয়, কনট্র্যাক + ম্যাঙ্গেল + ন্যাট + রাউটিংয়ের পরেও প্রয়োজন নেই। সুতরাং হালকা কম সিপিইউ / মেমরি ব্যবহার করা হয়েছে (এবং এর পরিবর্তে হালকাভাবে iptable_raw মডিউলটি লোড করতে হবে তার ক্ষতিপূরণ দিয়ে)
• বাক্সটি রাউটারের ক্ষেত্রে কেবল একটি নিয়ম (প্রতিটি নিয়মের পক্ষে ঠিক হবে না, স্পষ্টতই) কারণ ফিল্টার / ফরোয়ার্ডের জন্য একই নিয়ম যুক্ত করার দরকার নেই

আমি কেবল দ্রুত পরীক্ষা করেছি এবং এটি পুরোপুরি ভালভাবে কাজ করে।
আমি যে নথিগুলি পেয়েছি তা সর্বদা কঠোর ক্ষেত্রে ব্যবহৃত কাঁচা টেবিলের বর্ণনা করে। কিন্তু কেউ এমনকি ক্ষুদ্রতম ন্যায়সঙ্গততাও দেয় না।

প্রশ্ন: কাঁচা টেবিল ব্যবহার না করার কোনও কারণ কি গোড়ালি?

ম্যান আইপটেবল থেকে :

raw: This table is used mainly for configuring exemptions from connection
     tracking in combination with the NOTRACK target. It registers at the
     netfilter hooks with higher priority and is thus called before
     ip_conntrack, or any other IP tables.
     It  provides the following built-in chains:

     - PREROUTING (for packets arriving via any network interface)
     - OUTPUT (for packets generated by local processes)

বিশ্লেষণ :

সুতরাং, RAW টেবিলটি কনট্র্যাকের আগে এবং এটি নেটফিল্টারে ট্র্যাক করতে চান না এমন প্যাকেটে নোট্রাক চিহ্ন স্থাপন করার উদ্দেশ্যে তৈরি করা হয়েছিল।

-J লক্ষ্যমাত্রাগুলি কেবল নট্র্যাকের মধ্যেই সীমাবদ্ধ নয়, তাই হ্যাঁ, আপনি কম সিপিইউ / মেমরির ব্যবহারের সুবিধাগুলি সহ কাঁচা টেবিলের মধ্যে প্যাকেটগুলি কনট করেন।

প্রায়শই সার্ভারগুলিকে সমস্ত সংযোগের উপর নজর রাখতে হয় না। আপনি কেবল পূর্ববর্তী প্রতিষ্ঠিত সংযোগের উপর ভিত্তি করে iptables এ প্যাকেট ফিল্টার করতে হলে আপনার কেবল ট্র্যাকিংয়ের প্রয়োজন। যে সার্ভারগুলিতে কেবল একটি সাধারণ উদ্দেশ্য পরিবেশন করা হয় কেবলমাত্র 80 বন্দর (এবং 21) খোলা রয়েছে তার প্রয়োজন নেই। এই পরিস্থিতিতে, আপনি সংযোগ ট্র্যাকিং অক্ষম করতে পারেন।

তবে, আপনি যদি একটি NAT রাউটার চালানোর চেষ্টা করছেন তবে জিনিসগুলি কিছুটা জটিল হয়ে যায়। কিছু কিছু করার জন্য, আপনাকে সেই সংযোগগুলি নজর রাখতে হবে যাতে আপনি প্যাকেটগুলি বাইরের নেটওয়ার্ক থেকে অভ্যন্তরীণ নেটওয়ার্কে সরবরাহ করতে পারেন।

যদি একটি সম্পূর্ণ সংযোগ নটর্যাকের সাথে সেট করা থাকে, তবে আপনি সম্পর্কিত সংযোগগুলি ট্র্যাক করতে সক্ষম হবেন না, কনট্র্যাক এবং ন্যাট সহায়করা কেবল অচিহ্নযুক্ত সংযোগগুলির জন্য কাজ করবে না, বা সম্পর্কিত আইসিএমপি ত্রুটিগুলি করবে না। আপনাকে অন্য কথায় এটি ম্যানুয়ালি খুলতে হবে। জটিল প্রোটোকল যেমন এফটিপি এবং এসসিটিপি এবং অন্যদের ক্ষেত্রে এটি আসে, এটি পরিচালনা করা খুব কঠিন হতে পারে।

মামলাগুলি ব্যবহার করুন :

একটি উদাহরণ হ'ল যদি আপনার কাছে প্রচুর পাচার হওয়া রাউটার থাকে যা আপনি আগত এবং বহির্গামী ট্র্যাফিক চালু করতে চান তবে রাউটেড ট্র্যাফিক নয়। তারপরে, প্রসেসিং শক্তি বাঁচাতে আপনি ফরওয়ার্ড ট্র্যাফিক উপেক্ষা করার জন্য NOTRACK চিহ্ন সেট করতে পারেন।

নটরাক ব্যবহার করা যেতে পারে এমন আরেকটি উদাহরণ হ'ল যদি আপনার খুব বেশি পাচার হওয়া ওয়েব-সার্ভার থাকে, তবে আপনি একটি নিয়ম সেট করতে পারেন যা স্থানীয়ভাবে মালিকানাধীন সমস্ত আইপি ঠিকানাগুলিতে 80 পোর্টের জন্য ট্র্যাকিং ঘুরিয়ে দেয় বা প্রকৃতপক্ষে ওয়েব ট্র্যাফিক সরবরাহ করে। এরপরে আপনি ওয়েব ট্র্যাফিক ব্যতীত অন্য সমস্ত পরিষেবাগুলিতে স্থিতিশীল ট্র্যাকিং উপভোগ করতে পারবেন যা ইতিমধ্যে ওভারলোডেড সিস্টেমে কিছু প্রক্রিয়াকরণ শক্তি সঞ্চয় করতে পারে।

উদাহরণ -> প্রাইভেট-নেটওয়ার্কের জন্য-আধা-স্টেটহীন-লিনাক্স-রাউটার-চলমান

উপসংহার : কাঁচা টেবিলটি ব্যবহার না করার দৃ strong় কারণ নেই, তবে কাঁচা টেবিলের নট্র্যাক লক্ষ্য ব্যবহার করার সময় যত্ন নেওয়ার কিছু কারণ রয়েছে।