Kümeler

|======================================================================|
|                               IPCHAINS                               |
|======================================================================|
|     |                                                                |
|     +---------------+--------------+-----------------+               |
|     |               |              |                 |               |
|  =============   =============  ============  =====================  |
|  |   input   |   |   output  |  |  forward |  | kullanıcı tanımlı |  |
|  =============   =============  ============  =====================  |
|  | sorgu 1   |   |  sorgu 1  |  | sorgu 1  |  |                   |  |
|  | sorgu 2   |   |  sorgu 2  |  | sorgu 2  |  |  sorgulamalar     |  |
|  | sorgu 3   |   |  sorgu 3  |  | sorgu 3  |  |                   |  |
|  |  ...      |   |   ...     |  |  ...     |  |                   |  |
|  =============   =============  ============  =====================  |
|======================================================================|

Ipchains ile sorgulanacak kurallar birbirinden farklı 4 tip küme içinde bulunabilirler. Kullanıcı tanımlı bir küme olması zorunlu değildir ama kullanıldığında hiyerarşik bir yapı oluşturulup daha sonraki incelemelerde kolaylık sağlanabilir.

Küme işlemleri

Şimdi ağ üzerinden ethernet kartı ile gelen bir paket için olası bir senaryo düzenleyelim:

Ulaşan paket önce input kümesi tarafından sorgulanacaktır. Sorgulamalar içinde kullanıcı tanımlı bir kümeye bağ varsa; bağ üzerinden kullanıcı tanımlı küme de işlenir, bu küme sonlandığında (RETURN veya kural sonu) kümeyi çağıran sorguya geri dönüp bir sonraki input kümesi sorgusuyla devam edecektir (bir program kodunda alt yordam çağrılması gibi). Eğer paket hiçbir sorguyla uyuşmadı ise o zaman input kümesinin genel yaptırımıyla işlenecektir (input chain policy). Paket ise iki türlü yakalanabilir:

Küme sorgusu ile
Kullanıcı tanımlı bir küme sorgusuna bağ ile

1. durumda koşulun içeriğinde belirtilen, paketin yakalanması sonucu uygulanacak yaptırım işlenir. (paketi kabulet, redddet, yönlendir gibi). 2. durumda ise koşulun bulunduğu kümeyi çağıran 1. türde bir yakalama söz konusu olur ve çağıran koşulun yaptırımı uygulanır.

Kümeler üzerinde işlem yapan komutlar

Görüldüğü gibi kullanıcı kendisi bir kural kümesi tanımlayabilir. Bu tanımlarda ise şu komutlar geçerlidir:

-N [küme ismi]

Yeni bir küme tanımlamak için kullanılır.Yalnız küme isminin 8 karakteri geçmemesi gerekir. Örneğin:

# ipchains -N input_eth0
# ipchains -N input_eth1

komutları input_et adlı bir tane küme açarlar.

-L [küme ismi]

Verilen kümenin içerdiği koşulları listeler. Eğer parametresiz kullanılırsa tüm tanımlı kümeleri gösterir.

# ipchains -L input
# ipchains -L eth0-in

-F [küme ismi]

Verilen kümenin kurallarını iptal eder. Tüm kümenin kurallarını tek tek silmek gibidir. Parametresiz kullanılırsa öntanımlı ve kullanıcı tanımlı tüm kümeleri / kuralları iptal eder. Eğer bir betik yazılacaksa en başta kuralları sıfırlamak için bulunması çok mantıklı olacaktır.

-Z [küme ismi]

Her koşulun çekirdekte tutulan iki adet sayacı vardır. Birisi koşulu tutan yani yakalanan paket sayısını, diğeri ise bu şekilde geçen bayt sayısını tutar. -Z (= zero) parametresi ise tutulan sayaçları sıfırlamaya yarar.

-X [küme ismi]

Bir kümenin tamamını silmeye yarar. Parametre girilmezse kullanıcı tanımlı bütün kümeleri siler. Yalnız bir kümenin silinebilmesi için içinin boş olması yani kural içermemesi gerekir (rm komutuyla dizin silmek gibi).