- •Реферат
- •Содержание
- •1 Конструкторский раздел 7
- •2 Технологический раздел 48
- •3 Технико-экономический раздел 71
- •4 Раздел охраны труда и окружающей среды 84
- •Определения, обозначения и сокращения
- •Введение
- •1 Конструкторский раздел
- •1.1 Анализ предметной области и постановка задачи
- •1.2 Проектирование структуры комплекса
- •1.3 Проектирование пользовательского интерфейса
- •1.4 Реализация программного комплекса
- •1.4.2.1 Стандарт кодирования для языка Python
- •1.4.2.2 Стандарт кодирования для языка php
- •1.4.2.3 Результаты сверки стандартов кодирования
- •2 Технологический раздел
- •2.1 Выбор и обоснование средств разработки
- •2.2 Разработка эксплуатационной документации
- •3 Технико-экономический раздел
- •3.1 Расчёт трудоёмкости и себестоимости комплекса
- •3.1.2.1 Расчёт затрат на материалы и комплектующие изделия
- •3.1.2.2 Расчет заработной платы на создание программного средства
- •3.1.2.3 Расчет единого социального налога
- •3.1.2.4 Расчет накладных расходов
- •3.1.2.5 Расчет затрат на содержание и эксплуатацию вычислительных средств
- •3.1.2.6 Расчёт удельного веса видов затрат
- •3.1.2.7 Себестоимость разработки программного средства
- •4 Раздел охраны труда и окружающей среды
- •4.1 Анализ и нормирование овпф, их воздействие на пользователя
- •4.2 Расчёт заземления
- •Расстояние между стержнями:
- •4.3 Пожарная безопасность
- •4.4 Экологическая безопасность
- •4.4.1. Утилизация компьютерной техники.
- •Заключение
- •Список использованных источников
- •Приложение а. Исходный код программного комплекса Webipt
- •Приложение в. Возможности утилиты iptables
- •В.1 Принцип работы шлюза
- •В.2 Обрабатываемые параметры
- •В.3 Действия netfilter
- •В.4 Синтаксис команд iptables
- •В.5 Сохранение и восстановление конфигурации.
- •В.6 Установка дополнительных модулей
В.2 Обрабатываемые параметры
При своей работе по анализу пакета в целях принятия решений шлюз может оперировать следующими параметрами [2]:
IP-адрес и порт отправителя
IP-адрес и порт получателя;
MAC-адрес отправителя;
Сетевой интерфейс, с которого пришёл пакет;
Сетевой интерфейс, на который направляется пакет;
Состояние пакета (NEW, ESTABLISHED, RELATED, INVALID);
Тип протокола (TCP,UDP,ICMP);
Признак фрагментации пакета (для всех фрагментов, кроме первого);
Флаги TCP (SYN, ACK, FIN, RST, URG, PSH);
Опции TCP (числовые значения);
Критерии ICMP(числовые значения);
Количество пакетов в единицу времени (ограничение);
Количество одновременных соединений (ограничение) [5];
Метки, установленные другими цепочками;
IDпользователя, группы, процесса или сеанса в системе брандмауэра для исходящих пакетов [3];
Ключи TOSиTTL;
Признак повреждения пакета (несоответствие контрольной суммы или повреждение заголовка);
Анализ содержимого пакета [4];
Момент времени прохождения пакета [4];
Элемент вероятности (генерация случайных событий) [4].
Возможность использования тех или иных параметров зависит от места применения и от других параметров. Например, флаги и опции TCPможно анализировать только в случае использования протокола транспортного уровняTCP.
В.3 Действия netfilter
В результате срабатывания того или иного правила шлюзом могут быть предприняты следующие действия:
Пропуск пакета (ACCEPT);
Отклонение пакета с закрытием сокетов (REJECT);
Немедленное уничтожение пакета (DROP);
Изменение адреса (DNAT,SNAT, MASQUERADE);
Изменение параметров заголовка пакета (TTL,TOS,MARK);
Перенаправление на другой порт (REDIRECT);
Ловушка для соединения (TARPIT)[4];
Журналирование (LOG, ULOG);
Отражение пакета (MIRROR);
Дополнительная обработка пользовательским пакетом, не входящим в состав шлюза (QUEUE);
Прохождение через дополнительную цепочку;
Возврат из дополнительной цепочки (RETURN).
Возможность осуществления тех или иных действий сильно зависит от таблицы и цепочки. Например, изменение адреса производится только в таблице nat, а возврат можно осуществить только из дополнительной цепочки.
Поле MARKсуществует вIP-пакете, но в действительности в самом пакете действиемMARKоно не изменяется. Вместо этого в области памяти ядра заводится структура, которая сопровождает конкретный пакет все время его прохождения через брандмауэр, так что другие правила и приложения на данном брандмауэре (и только на данном брандмауэре) могут использовать это поле в своих целях. Таким образом, исключается передача меток по сети.
Если необходимо как-то пометить пакеты, чтобы использовать маркировку на другой машине, то можно попробовать манипулировать битами поля TOS [2].
В.4 Синтаксис команд iptables
Каждое правило — это строка, содержащая в себе критерии определяющие, подпадает ли пакет под заданное правило, и действие, которое необходимо выполнить в случае выполнения критерия. В общем виде правила записываются примерно так:
iptables [-t table] command [match] [target/jump]
Если в правило не включается спецификатор [-t table], то по умолчанию предполагается использование таблицы filter, если же предполагается использование другой таблицы, то это требуется указать явно. Спецификатор таблицы так же можно указывать в любом месте строки правила, однако более или менее стандартом считается указание таблицы в начале правила.
Далее, непосредственно за именем таблицы, должна стоять команда. Если спецификатора таблицы нет, то команда всегда должна стоять первой. Команда определяет одно из действий iptables:
-A, --append — добавляет новое правило в конец заданной цепочки.
-D, --delete — удаление правила из цепочки по критерию сравнения или номеру правила в цепочке.
-R, --replace — заменяет одно правило другим.
-I, --insert — вставляет новое правило в цепочку. Число, следующее за именем цепочки, указывает номер правила, перед которым нужно вставить новое правило, другими словами число задает номер для вставляемого правила.
-L, --list — вывод списка правил в заданной цепочке.
-F, --flush — сброс (удаление) всех правил из заданной цепочки (таблицы). Если имя цепочки и таблицы не указывается, то удаляются все правила, во всех цепочках таблицы filter.
-Z, --zero — обнуление всех счетчиков пакетов, попавших под действие каждого правила в заданной цепочке.
-N, --new-chain — создается новая цепочка с заданным именем в заданной таблице. Имя цепочки должно быть уникальным и не должно совпадать с зарезервированными именами цепочек и действий.
-X, --delete-chain — удаление заданной цепочки из заданной таблицы. Удаляемая цепочка не должна иметь правил и не должно быть ссылок из других цепочек на удаляемую цепочку. Если имя цепочки не указано, то будут удалены все цепочки заданной таблице кроме встроенных.
-P, --policy — задает политику по-умолчанию для заданной цепочки. Политика по умолчанию определяет действие, применяемое к пакетам, не попавшим под действие ни одного из правил в цепочке. В качестве политики по умолчанию допускается использовать DROP и ACCEPT.
-E, --rename-chain — переименование пользовательской цепочки.
Раздел match задает критерии проверки, по которым определяется, подпадает ли пакет под действие этого правила или нет.
И, наконец, target указывает, какое действие должно быть выполнено при условии выполнения критериев в правиле.[2]
Необходимо различать действие iptablesи действиеnetfilter.Iptablesможет изменять таблицы и цепочки правил, тогда какnetfilterоперирует пакетами, проходящими через брандмауэр.
Вот несколько примеров команд iptablesи их значений:
iptables -D INPUT --dport 80 -j DROP
Удалить правило фильтрации, указывающее отбрасывать все пакеты, входящие на 80 порт брандмауэра.
iptables -A FORWARD -o eth0 -j ACCEPT
Добавить правило фильтрации, позволяющее пересылать все пакеты, направляющиеся по правилам маршрутизации на сетевой интерфейс eth0.
iptables -t mangle -A INPUT -m mark --mark 1
Добавить правило, помечающее все входящие на брандмауэр пакеты.