آموزش پیشرفته نصب و پیکربندی فایروال iptables/nftables جلد اول

آغاز فایروال‌ها در لینوکس

در ابتدا، لینوکس در اوایل دهه 1990 به‌عنوان یک سیستم‌عامل آزمایشی و متن‌باز معرفی شد و بسیاری از ویژگی‌های امنیتی آن به‌طور دستی پیاده‌سازی می‌شد. در این زمان، فایروال‌ها به‌طور خاص برای محافظت از سیستم در برابر ترافیک‌های ناخواسته طراحی نشده بودند و بیشتر بر روی تأمین امنیت در سطح سیستم‌عامل متمرکز بودند.

تا سال 1993، برای کنترل ترافیک شبکه و محدود کردن دسترسی‌ها به سیستم‌ها، از نرم‌افزارهایی نظیر ipfw در سیستم‌های دیگر استفاده می‌شد. این نرم‌افزارها قادر به مدیریت فیلترینگ بسته‌ها و جلوگیری از ارتباطات غیرمجاز بودند، اما هنوز در لینوکس ابزار واحد و کاملی برای این کار وجود نداشت.

تولد و تکامل iptables

در سال 1999، لینوکس از فایروال جدیدی به نام iptables بهره‌برداری کرد. این فایروال به‌طور مستقیم با هسته لینوکس (Linux Kernel) در ارتباط بود و به‌عنوان جایگزینی برای سیستم‌های قبلی که از ipchains یا ipfw استفاده می‌کردند، شناخته می‌شد. iptables بر پایه جدول‌ها عمل می‌کند و به‌طور خاص برای فیلتر کردن بسته‌های شبکه، مسیریابی و حتی ترجمه آدرس‌های شبکه (NAT) طراحی شده است.

یکی از مهم‌ترین ویژگی‌های iptables این بود که به‌صورت موثری می‌توانست ترافیک‌های ورودی و خروجی را کنترل کرده و تعیین کند که کدام بسته‌ها می‌توانند وارد سیستم شوند و کدام بسته‌ها باید مسدود شوند. این ویژگی باعث شد که iptables به ابزاری استاندارد در سیستم‌های لینوکسی برای اعمال امنیت در شبکه تبدیل شود.

nftables: نسل بعدی فایروال‌ها

در سال 2014، توسعه‌دهندگان لینوکس تصمیم گرفتند که فایروال جدیدی به نام nftables را به سیستم‌عامل لینوکس اضافه کنند. هدف از توسعه nftables جایگزینی iptables با یک ابزار جدیدتر و پیشرفته‌تر بود که از قابلیت‌های بهتری برخوردار باشد و در عین حال سادگی استفاده را حفظ کند.

nftables به‌عنوان نسل جدید فایروال‌ها، سیستم‌هایی که از iptables استفاده می‌کردند را به‌راحتی با سازگاری معکوس به‌روز می‌کند. این فایروال از مجموعه‌ای از ویژگی‌های جدید و پیشرفته پشتیبانی می‌کند که عبارتند از:

• پشتیبانی از فیلترینگ پیچیده‌تر
• بهبود عملکرد و بهینه‌سازی مصرف منابع
• استفاده از زبان‌های اسکریپت‌نویسی برای تنظیمات پیشرفته

در حالی که nftables همچنان پشتیبانی از iptables را فراهم کرده است، هدف اصلی آن فراهم کردن یک پلتفرم جدیدتر و کارآمدتر برای مدیریت ترافیک شبکه است.

فایروال‌های مبتنی بر ufw و firewalld

علاوه بر ابزارهای پایه‌ای مانند iptables و nftables، فایروال‌هایی مانند ufw و firewalld نیز برای آسان‌تر کردن پیکربندی فایروال‌ها در لینوکس معرفی شده‌اند.

• ufw (Uncomplicated Firewall): ابزاری است که با هدف ساده‌سازی استفاده از iptables طراحی شده است. این ابزار به کاربران اجازه می‌دهد تا به‌سادگی قوانین فایروال را با استفاده از دستورات ساده اضافه و مدیریت کنند. ufw به‌ویژه در توزیع‌های لینوکس مانند اوبونتو رایج است.
• firewalld: یک ابزار دیگر برای مدیریت فایروال‌ها است که ابتدا در توزیع‌های لینوکس رده‌دبیان و فدورا گنجانده شد. این ابزار از مفهوم مناطق (Zones) برای مدیریت امنیت شبکه استفاده می‌کند و می‌تواند به‌طور داینامیک قوانین فایروال را برای سرویس‌ها و شبکه‌های مختلف اعمال کند.

نتیجه‌گیری

فایروال‌ها در لینوکس از دوران ابتدایی سیستم‌عامل تاکنون تغییرات زیادی را تجربه کرده‌اند. از ابزارهای اولیه‌ای چون ipfw و ipchains گرفته تا فایروال‌های پیشرفته‌تر مانند iptables و nftables، هر کدام از این ابزارها نقشی مهم در تأمین امنیت شبکه‌های لینوکسی ایفا کرده‌اند. از سوی دیگر، ابزارهای مدیریتی مانند ufw و firewalld نیز به‌طور چشم‌گیری استفاده از فایروال‌ها را برای کاربران ساده‌تر کرده‌اند. با توجه به پیشرفت‌هایی که در این زمینه صورت گرفته است، می‌توان گفت که فایروال‌ها به‌عنوان یکی از ارکان امنیتی در لینوکس، به ابزارهای پیچیده و قدرتمندتری تبدیل شده‌اند که امروزه به‌طور گسترده در دنیای تکنولوژی و شبکه‌های کامپیوتری استفاده می‌شوند.

جمع‌بندی

تاریخچه فایروال‌ها در لینوکس از ابزارهای ساده و ابتدایی به فایروال‌های پیچیده و کارآمدتر پیشرفت کرده است. این تغییرات نه‌تنها از جنبه عملکردی اهمیت دارند بلکه به امنیت شبکه‌های لینوکس افزوده و به کاربران امکان می‌دهند تا شبکه‌های خود را به‌طور مؤثرتری مدیریت و محافظت کنند.

معماری و عملکرد iptables

iptables به‌طور مستقیم با هسته لینوکس ارتباط دارد و از سیستم‌های فیلترینگ بسته استفاده می‌کند. این ابزار امکان کنترل دقیق بر روی ترافیک ورودی و خروجی سیستم را فراهم می‌کند. iptables از مجموعه‌ای از جداول (tables) تشکیل شده که هرکدام برای کار خاصی طراحی شده‌اند:

1. جدول filter: این جدول به‌طور اصلی برای فیلتر کردن بسته‌ها استفاده می‌شود. تمامی قوانین فیلتر در این جدول قرار می‌گیرند.
2. جدول nat: برای انجام ترجمه آدرس شبکه (Network Address Translation) و انجام کارهایی مثل پیکربندی NAT و Port Forwarding استفاده می‌شود.
3. جدول mangle: برای اصلاح و تغییر برخی از ویژگی‌های بسته‌ها استفاده می‌شود.
4. جدول raw: این جدول برای انجام برخی تنظیمات اولیه بسته‌ها پیش از پردازش‌های دیگر مورد استفاده قرار می‌گیرد.

تمامی بسته‌ها هنگام عبور از این جداول بررسی و طبق قوانین تعریف‌شده، اجازه عبور یا مسدود شدن را می‌گیرند.

ویژگی‌های اصلی iptables

iptables ویژگی‌های مختلفی را برای فیلتر کردن و مدیریت ترافیک شبکه فراهم می‌کند که مهم‌ترین آن‌ها عبارتند از:

1. فیلتر کردن بسته‌ها: iptables قادر است که بسته‌ها را بر اساس قوانین خاصی مثل آدرس IP، شماره پورت، پروتکل، و سایر ویژگی‌ها فیلتر کند. این ویژگی به‌طور گسترده برای جلوگیری از دسترسی‌های غیرمجاز و جلوگیری از حملات استفاده می‌شود.
2. پشتیبانی از NAT: یکی از ویژگی‌های مهم iptables پشتیبانی از NAT است که برای تغییر آدرس‌های IP بسته‌ها در مسیر عبور آن‌ها مورد استفاده قرار می‌گیرد. این ویژگی در مواردی مانند اشتراک‌گذاری اینترنت (Internet Sharing) و Port Forwarding به کار می‌رود.
3. کنترل اتصال‌ها: iptables این امکان را می‌دهد که بر اساس وضعیت اتصال، بسته‌ها را فیلتر کند. به‌عنوان مثال، می‌توان تنها بسته‌هایی را که به‌صورت قانونی از یک اتصال باز وارد شده‌اند، اجازه عبور داد و بسته‌هایی که به‌صورت غیرقانونی و بدون ارتباط قبلی وارد می‌شوند را مسدود کرد.
4. پشتیبانی از log: iptables قابلیت ثبت و گزارش‌گیری از بسته‌ها را فراهم می‌آورد. این ویژگی به مدیران سیستم این امکان را می‌دهد که فعالیت‌های شبکه را نظارت کرده و موارد مشکوک را شناسایی کنند.
5. مقیاس‌پذیری و انعطاف‌پذیری: iptables به‌صورت بسیار انعطاف‌پذیر قابل تنظیم است و می‌تواند به‌راحتی برای محیط‌های کوچک یا بزرگ پیاده‌سازی شود. این ویژگی به ویژه در سازمان‌ها و شبکه‌های پیچیده مفید است.

دستورالعمل‌های iptables

در اینجا به چند دستورالعمل ابتدایی iptables برای پیکربندی فایروال می‌پردازیم:

1. نمایش قوانین فعلی فایروال: برای مشاهده قوانین فعلی فایروال در سیستم لینوکس، از دستور زیر استفاده می‌کنیم:

   sudo iptables -L
   

2. اضافه کردن یک قانون برای مسدود کردن ترافیک ورودی از یک آدرس IP خاص: برای مسدود کردن ترافیک ورودی از آدرس IP خاص، از دستور زیر استفاده می‌کنیم:

   sudo iptables -A INPUT -s 192.168.1.100 -j DROP
   

3. اضافه کردن یک قانون برای اجازه دادن به دسترسی به پورت 80 (HTTP): برای اجازه دادن به ترافیک ورودی بر روی پورت 80، دستور زیر را وارد می‌کنیم:

   sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
   

4. حذف یک قانون خاص: برای حذف یک قانون خاص از لیست قوانین، ابتدا باید شماره خط قانون را پیدا کرده و سپس آن را حذف کنیم:

   sudo iptables -D INPUT 1
   

5. ذخیره قوانین به‌طور دائمی: برای ذخیره تغییرات به‌طور دائمی و جلوگیری از از دست رفتن آن‌ها بعد از راه‌اندازی مجدد سیستم، باید دستور زیر را وارد کنیم:

   sudo iptables-save > /etc/iptables/rules.v4
   

مسیر فایل‌ها و پیکربندی‌های iptables

فایل پیکربندی قوانین iptables در لینوکس معمولاً در مسیر زیر قرار دارد:

/etc/iptables/rules.v4

این فایل شامل تمامی قوانین iptables است که پس از راه‌اندازی مجدد سیستم بارگذاری می‌شود. برای ذخیره کردن قوانین جدید در این فایل، از دستور iptables-save استفاده می‌کنیم.

جمع‌بندی

iptables یکی از ابزارهای قدیمی و قدرتمند فایروال در لینوکس است که در طول سال‌ها به‌عنوان یک ابزار استاندارد برای مدیریت ترافیک شبکه و حفاظت از سیستم‌های لینوکسی شناخته شده است. با استفاده از این ابزار، می‌توان قوانین مختلفی را برای کنترل ترافیک شبکه ایجاد کرد، از جمله فیلتر کردن بسته‌ها، انجام NAT و نظارت بر ترافیک شبکه. در حالی که iptables هنوز یکی از ابزارهای اصلی برای فایروال در لینوکس است، ابزارهای جدیدتری مانند nftables نیز برای جایگزینی آن در حال معرفی و توسعه هستند.

جمع‌بندی

iptables همچنان یکی از ابزارهای حیاتی در سیستم‌های لینوکسی برای کنترل امنیت شبکه است. این ابزار با ویژگی‌های قدرتمند خود مانند فیلتر کردن بسته‌ها، پشتیبانی از NAT و انعطاف‌پذیری بالا، همچنان در دنیای لینوکس برای محافظت از سیستم‌ها و شبکه‌ها استفاده می‌شود.

معماری و عملکرد nftables

nftables بر اساس یک معماری جدید و قدرتمند ساخته شده است که با استفاده از یک فریم‌ورک واحد برای فیلترینگ بسته‌ها، NAT، و سایر عملیات امنیتی، عملکرد بالاتری نسبت به iptables دارد. از مهم‌ترین ویژگی‌های معماری nftables می‌توان به موارد زیر اشاره کرد:

1. یک فریم‌ورک واحد: برخلاف iptables که برای هر نوع فیلتر (مثل فیلتر کردن بسته‌ها، ترجمه آدرس‌ها و …) نیاز به استفاده از جداول مختلف داشت، nftables از یک فریم‌ورک واحد برای انجام تمام این وظایف استفاده می‌کند.
2. زبان مبتنی بر قانون (Rule-based language): nftables از یک زبان قوی برای تعریف قوانین استفاده می‌کند که اجازه می‌دهد قوانین به‌طور بسیار انعطاف‌پذیر و کارآمدی نوشته شوند. این زبان قابل فهم‌تر و از نظر عملکرد بهینه‌تر از iptables است.
3. سینتکس ساده‌تر و بهتر: دستورهای nftables نسبت به iptables کوتاه‌تر و خواناتر هستند. این امر باعث می‌شود که مدیریت قوانین فایروال به‌سادگی صورت گیرد و خطای کمتری در پیکربندی‌ها پیش آید.
4. پشتیبانی از مجموعه‌های داده (Set): nftables این امکان را می‌دهد که مجموعه‌ای از مقادیر (مثل IPها، پورت‌ها و …) را در یک مجموعه (Set) ذخیره کرده و برای اعمال قوانین به‌طور موثرتری از آن‌ها استفاده کرد. این ویژگی می‌تواند به‌ویژه در شبکه‌های بزرگ که نیاز به فیلتر کردن مقادیر مشابه دارند، مفید باشد.

مزایای nftables نسبت به iptables

1. عملکرد بهتر: nftables با استفاده از یک معماری جدید و بهینه، عملکرد بالاتری نسبت به iptables دارد. در nftables، عملیات فیلترینگ بسته‌ها و پردازش‌ها سریع‌تر انجام می‌شود و مصرف منابع کمتر است.
2. سادگی در مدیریت قوانین: دستورها و قوانین در nftables ساده‌تر و کوتاه‌تر از iptables هستند. برای مثال، اضافه کردن یا حذف قوانین در nftables سریع‌تر و با خطای کمتری انجام می‌شود.
3. پشتیبانی از IPv6 به‌طور پیش‌فرض: برخلاف iptables که برای استفاده از IPv6 نیاز به یک ابزار جداگانه داشت، nftables به‌طور پیش‌فرض از IPv6 پشتیبانی می‌کند.
4. ساختار تطبیق‌پذیر: با استفاده از nftables، امکان تعریف و استفاده از مجموعه‌های داده (sets) فراهم شده که به‌طور چشمگیری به سادگی مدیریت قوانین در شبکه‌های پیچیده کمک می‌کند.
5. پشتیبانی از حالت‌ها و شمارش: nftables به‌طور پیش‌فرض از ویژگی‌هایی مثل شمارش بسته‌ها و وضعیت (stateful) برای پردازش بسته‌ها و قوانین فایروال پشتیبانی می‌کند.
6. پشتیبانی از NAT و IP Filtering در یک فریم‌ورک: در nftables، تمامی عملیات NAT، فیلترینگ بسته‌ها و ترجمه آدرس‌ها در یک سیستم واحد انجام می‌شود که کار را برای مدیریت آسان‌تر و پیچیدگی را کاهش می‌دهد.

دستورالعمل‌های nftables

در اینجا به چند دستور ابتدایی برای پیکربندی nftables اشاره می‌کنیم:

1. نمایش تمامی جداول و قوانین موجود: برای مشاهده قوانین و جداول فعلی در nftables، از دستور زیر استفاده می‌کنیم:

   sudo nft list ruleset
   

2. ایجاد یک جدول جدید: برای ایجاد یک جدول جدید در nftables، می‌توان از دستور زیر استفاده کرد:

   sudo nft add table ip filter
   

3. اضافه کردن یک زنجیره به جدول: برای اضافه کردن یک زنجیره جدید به جدول filter، دستور زیر را اجرا می‌کنیم:

   sudo nft add chain ip filter input { type filter hook input priority 0 \; }
   

4. افزودن قانون برای اجازه دادن به ترافیک ورودی بر روی پورت 80: برای اجازه دادن به ترافیک HTTP (پورت 80)، از دستور زیر استفاده می‌کنیم:

   sudo nft add rule ip filter input tcp dport 80 accept
   

5. حذف یک قانون خاص: برای حذف یک قانون خاص، ابتدا شماره خط یا ویژگی‌های قانون را پیدا کرده و سپس آن را حذف می‌کنیم:

   sudo nft delete rule ip filter input handle 4
   

6. ذخیره تغییرات nftables: برای ذخیره تغییرات nftables، از دستور زیر استفاده می‌کنیم:

   sudo nft list ruleset > /etc/nftables.conf
   

مسیر فایل‌ها و پیکربندی‌های nftables

فایل پیکربندی nftables معمولاً در مسیر زیر قرار دارد:

/etc/nftables.conf

این فایل شامل قوانین و تنظیمات nftables است که در زمان راه‌اندازی مجدد سیستم، بارگذاری می‌شود. برای ذخیره قوانین جدید، از دستور nft list ruleset > /etc/nftables.conf استفاده می‌کنیم.

جمع‌بندی

nftables نسل جدید فایروال در لینوکس است که با قابلیت‌های پیشرفته‌تر و عملکرد بهتر نسبت به iptables ارائه شده است. این ابزار به‌طور مؤثر، امکان فیلترینگ بسته‌ها، انجام NAT، و تنظیمات فایروال را در یک فریم‌ورک واحد فراهم می‌آورد. با استفاده از nftables، مدیران سیستم می‌توانند قوانین ساده‌تر و کارآمدتری ایجاد کنند که انعطاف‌پذیری بالایی دارند. این ابزار از عملکرد بهینه، پشتیبانی پیشرفته از IPv6، و امکان مدیریت مجموعه‌های داده پشتیبانی می‌کند و به همین دلیل به‌عنوان گزینه‌ای مناسب برای شبکه‌های پیچیده و بزرگ پیشنهاد می‌شود.

جمع‌بندی

nftables ابزار جدید و پیشرفته‌تری نسبت به iptables است که قابلیت‌های قدرتمندتری در فیلتر کردن بسته‌ها، پشتیبانی از IPv6، و انجام NAT دارد. این ابزار طراحی‌شده تا به‌سادگی بتوان مدیریت قوانین فایروال را انجام داد و عملکرد بهتری ارائه دهد. با استفاده از nftables، کارایی شبکه به‌طور قابل‌توجهی افزایش یافته و مدیریت فایروال ساده‌تر و سریع‌تر می‌شود.

iptables: ابزار قدیمی و شناخته‌شده

iptables یکی از ابزارهای قدیمی و معتبر برای مدیریت فایروال در سیستم‌عامل لینوکس است. این ابزار برای مدت طولانی به‌عنوان راه‌حل اصلی برای فیلتر کردن بسته‌ها، انجام NAT (ترجمه آدرس شبکه)، و تنظیمات فایروال در لینوکس شناخته می‌شد. هرچند که به‌تدریج ابزارهای جدیدتری مثل nftables معرفی شده‌اند، اما iptables هنوز هم در بسیاری از سرورها و سیستم‌ها استفاده می‌شود.

ویژگی‌های کلیدی iptables در امنیت شبکه

1. فیلترینگ بسته‌ها: iptables به مدیران شبکه این امکان را می‌دهد که بسته‌های ورودی و خروجی را بر اساس پروتکل‌ها، آدرس‌های IP، پورت‌ها، و سایر ویژگی‌های بسته فیلتر کنند. این ویژگی مهم باعث می‌شود که شبکه‌ها در برابر حملات مختلف مانند حملات DDoS، نفوذ، و دسترسی‌های غیرمجاز ایمن شوند.
2. پشتیبانی از NAT: با استفاده از iptables، می‌توان عملیات NAT را برای ترجمه آدرس‌های IP و پورت‌ها انجام داد که این امر در شبکه‌های خصوصی و زمانی که نیاز به اشتراک‌گذاری اینترنت با چندین دستگاه داریم، ضروری است.
3. پشتیبانی از وضعیت (Stateful): iptables می‌تواند وضعیت ارتباطات شبکه را ردیابی کند و بر اساس آن تصمیم‌گیری کند. این ویژگی به فایروال اجازه می‌دهد که بسته‌هایی که بخشی از یک اتصال باز هستند را رد نکند و فقط بسته‌های جدید یا غیرمجاز را مسدود کند.
4. سادگی و استفاده گسترده: iptables ابزاری شناخته‌شده است که مستندات و منابع آموزشی زیادی برای آن وجود دارد. بنابراین، مدیران سیستم با استفاده از iptables می‌توانند به راحتی قوانین فایروال را پیاده‌سازی کنند.

nftables: نسل جدید فایروال

nftables نسل جدید ابزارهای فایروال در لینوکس است که جایگزین iptables شده و به‌طور پیش‌فرض از نسخه 3.13 هسته لینوکس به بعد در دسترس قرار دارد. این ابزار بر اساس معماری جدید و بهینه‌تری ساخته شده است که عملکرد بالاتر و انعطاف‌پذیری بیشتری را فراهم می‌کند.

ویژگی‌های کلیدی nftables در امنیت شبکه

1. عملکرد بهتر و استفاده از منابع کمتر: nftables نسبت به iptables کارایی بالاتری دارد و به‌طور مؤثر از منابع سیستم استفاده می‌کند. این ویژگی به‌ویژه در شبکه‌های با ترافیک بالا یا سرورهای با منابع محدود اهمیت پیدا می‌کند.
2. پشتیبانی یکپارچه از IPv4 و IPv6: یکی از ویژگی‌های برجسته nftables پشتیبانی یکپارچه از IPv4 و IPv6 است. این ابزار به‌طور پیش‌فرض از هر دو پروتکل پشتیبانی می‌کند و نیاز به ابزارهای جداگانه برای مدیریت IPv6 را از بین می‌برد.
3. زبان قوی و انعطاف‌پذیر: nftables از زبان قوی و انعطاف‌پذیر برای نوشتن قوانین فایروال استفاده می‌کند. این زبان به کاربران این امکان را می‌دهد که قوانین پیچیده‌تری را با سادگی بیشتری پیاده‌سازی کنند.
4. مجموعه‌های داده (Sets): یکی از قابلیت‌های مفید nftables این است که از مجموعه‌های داده (sets) برای ذخیره و مدیریت مقادیر مختلف (مثل آدرس‌های IP یا پورت‌ها) پشتیبانی می‌کند. این ویژگی کمک می‌کند که قوانین فایروال در شبکه‌های پیچیده و بزرگ به‌راحتی و با کارایی بالا پیاده‌سازی شوند.
5. سادگی در مدیریت قوانین: nftables دستورات ساده‌تری دارد و قوانین به‌راحتی قابل مدیریت هستند. این ویژگی باعث می‌شود که برای مدیران شبکه نوشتن و نگهداری قوانین فایروال راحت‌تر باشد.

اهمیت این ابزارها در مدیریت امنیت شبکه

1. مقابله با تهدیدات مختلف: فایروال‌ها مانند iptables و nftables به‌عنوان اولین خط دفاعی در برابر تهدیدات شبکه عمل می‌کنند. این ابزارها با فیلتر کردن ترافیک ورودی و خروجی، دسترسی‌های غیرمجاز را محدود کرده و از نفوذ به سیستم جلوگیری می‌کنند.
2. بهبود عملکرد شبکه: nftables با بهینه‌سازی عملکرد و استفاده بهتر از منابع سیستم، می‌تواند در شبکه‌های با ترافیک بالا عملکرد بهتری نسبت به iptables داشته باشد. این ویژگی به‌ویژه در شبکه‌های با بار زیاد بسیار حیاتی است.
3. پشتیبانی از قوانین پیچیده: با استفاده از nftables می‌توان قوانین پیچیده‌تری را پیاده‌سازی کرد که انعطاف‌پذیری بیشتری در مدیریت ترافیک شبکه و امنیت فراهم می‌کند.
4. سازگاری با استانداردهای جدید: nftables با پشتیبانی از IPv6 و ارائه امکانات جدیدتر، سازگاری بهتری با استانداردهای جدید شبکه و اینترنت دارد.
5. سادگی در مدیریت: هر دو ابزار iptables و nftables ابزارهای قوی و ساده‌ای برای مدیریت امنیت شبکه هستند که به مدیران سیستم امکان می‌دهند به‌راحتی ترافیک شبکه را کنترل کنند و از دسترسی‌های غیرمجاز جلوگیری کنند.

جمع‌بندی

ابزارهای فایروال مانند iptables و nftables بخش اساسی از استراتژی‌های امنیتی شبکه‌ها هستند که به مدیران سیستم این امکان را می‌دهند که ترافیک ورودی و خروجی را فیلتر کرده و از شبکه در برابر تهدیدات مختلف محافظت کنند. iptables با ویژگی‌های پیشرفته و استفاده گسترده در شبکه‌ها، همچنان ابزار پرکاربردی است. اما nftables به‌عنوان نسل جدید، با قابلیت‌های بهینه‌تر، عملکرد بهتر، و انعطاف‌پذیری بیشتر در مدیریت قوانین، به‌طور مؤثری جایگزین iptables شده است. انتخاب بین این دو ابزار بستگی به نیازهای خاص هر شبکه و اولویت‌های عملکردی آن دارد.

1. عملکرد بهینه‌تر و مصرف منابع کمتر

یکی از مهم‌ترین دلایلی که توزیع‌های جدید لینوکس از nftables به‌جای iptables استفاده می‌کنند، بهبود عملکرد و کاهش مصرف منابع است.

nftables به‌گونه‌ای طراحی شده که از منابع سیستم به‌طور مؤثرتری استفاده می‌کند. در مقایسه با iptables، nftables می‌تواند تعداد بیشتری از بسته‌ها را با کمترین تأثیر بر عملکرد سیستم پردازش کند. این امر باعث می‌شود که nftables انتخاب بهتری برای سرورهای با بار کاری زیاد و شبکه‌های با ترافیک بالا باشد.

مثال عملی:

در زمان پردازش تعداد زیادی از بسته‌ها در شبکه‌های پر ترافیک، nftables به‌دلیل استفاده بهینه‌تر از حافظه و CPU، به‌طور مؤثری عملکرد بهتری نسبت به iptables دارد.

2. سادگی در مدیریت و نوشتن قوانین فایروال

nftables یک زبان قوی و انعطاف‌پذیر برای نوشتن قوانین فایروال فراهم می‌کند که نسبت به زبان پیچیده‌تر iptables، بسیار ساده‌تر است. این زبان جدید به‌مدیران سیستم این امکان را می‌دهد که قوانین پیچیده را به‌راحتی پیاده‌سازی کرده و مدیریت کنند.

در nftables می‌توان قوانین را در یک ساختار واحد و یکپارچه نوشته و نگهداری کرد. این ویژگی موجب کاهش پیچیدگی در نوشتن و مدیریت قوانین فایروال می‌شود و از پراکندگی و نیاز به استفاده از چندین جدول مختلف جلوگیری می‌کند.

مثال عملی:

در nftables می‌توان یک قانون ساده مانند زیر را برای فیلتر کردن ترافیک ورودی از یک آدرس IP خاص به‌صورت زیر نوشت:

nft add rule inet filter input ip saddr 192.168.1.100 drop

در حالی که در iptables، این قانون باید در چندین جدول مختلف و به‌صورت جداگانه پیاده‌سازی می‌شد.

3. پشتیبانی یکپارچه از IPv4 و IPv6

یکی از تفاوت‌های برجسته nftables نسبت به iptables، پشتیبانی یکپارچه از پروتکل‌های IPv4 و IPv6 است. در iptables، برای مدیریت هر دو پروتکل باید از دو ابزار جداگانه استفاده می‌شد: iptables برای IPv4 و ip6tables برای IPv6. این باعث پیچیدگی بیشتر در مدیریت فایروال می‌شد.

در nftables، همه تنظیمات مربوط به IPv4 و IPv6 در یک ابزار یکپارچه قابل مدیریت است. این ویژگی نه‌تنها مدیریت قوانین را ساده‌تر می‌کند، بلکه از بروز خطاهای احتمالی نیز جلوگیری می‌کند.

مثال عملی:

در nftables می‌توان هم‌زمان قوانین فایروال برای IPv4 و IPv6 را به‌صورت زیر مدیریت کرد:

nft add rule inet filter input ip saddr 192.168.1.100 drop
nft add rule inet filter input ip6 saddr 2001:0db8::1 drop

4. قابلیت استفاده از مجموعه‌های داده (Sets) برای مدیریت مقادیر مختلف

یکی دیگر از ویژگی‌های برجسته nftables، پشتیبانی از مجموعه‌های داده (sets) است که می‌توانند به‌طور کارآمد مقادیر مختلف مانند آدرس‌های IP یا پورت‌ها را ذخیره و مدیریت کنند. این ویژگی در شبکه‌های بزرگ و پیچیده که نیاز به مدیریت تعداد زیادی از مقادیر دارند، بسیار مفید است.

به‌طور مثال، در یک شبکه با صدها آدرس IP مختلف، می‌توان از مجموعه‌های داده برای ذخیره و مدیریت آن‌ها به‌طور مرکزی استفاده کرد، بدون اینکه هر بار نیاز به نوشتن یک قانون جداگانه باشد.

مثال عملی:

ساخت مجموعه‌ای از آدرس‌های IP در nftables به این صورت است:

nft add set inet filter allowed_ips { type ipv4_addr\; }
nft add element inet filter allowed_ips { 192.168.1.100, 192.168.1.101 }
nft add rule inet filter input ip saddr @allowed_ips accept

5. آینده‌نگری و بهبود امنیت

nftables طراحی شده است تا به‌طور مؤثر از استانداردهای جدید و تهدیدات آینده پشتیبانی کند. این ابزار از ویژگی‌های امنیتی پیشرفته‌تری برخوردار است که به‌طور مؤثری می‌تواند تهدیدات جدید را شناسایی و مدیریت کند. از طرفی، چون nftables به‌طور فعال توسعه می‌یابد، به‌طور طبیعی به‌روزرسانی‌ها و بهبودهایی در زمینه امنیت و عملکرد دریافت می‌کند.

6. سازگاری با هسته لینوکس و ابزارهای دیگر

nftables به‌طور مستقیم در هسته لینوکس از نسخه 3.13 به بعد پشتیبانی می‌شود و یکپارچگی بالایی با سایر ابزارهای لینوکس دارد. این ابزار همچنین به‌طور پیش‌فرض با بسیاری از توزیع‌های جدید لینوکس مانند Ubuntu و CentOS همراه است و نصب و استفاده از آن ساده‌تر است.

جمع‌بندی

انتقال از iptables به nftables در توزیع‌های جدید لینوکس به‌دلایل متعددی از جمله بهبود عملکرد، سادگی در مدیریت، پشتیبانی یکپارچه از IPv4 و IPv6، و امکانات پیشرفته برای مدیریت قوانین صورت گرفته است. nftables به‌عنوان ابزار جدید فایروال در لینوکس، با ارائه ویژگی‌های به‌روزتر و بهینه‌تر، به مدیران شبکه این امکان را می‌دهد که شبکه‌ها را با کارایی بهتر و امنیت بالاتر مدیریت کنند.

تفاوت در معماری: iptables vs nftables

یکی از مهم‌ترین تفاوت‌ها بین iptables و nftables در معماری آن‌ها است. iptables به‌طور جداگانه برای هر پروتکل شبکه (مانند IPv4 و IPv6) از جدول‌های مختلف استفاده می‌کند. این امر باعث می‌شود که برای هر پروتکل باید قوانین جداگانه‌ای نوشته و مدیریت شوند، که می‌تواند پیچیدگی‌هایی در سیستم‌های بزرگ به‌وجود آورد.

در مقابل، nftables از معماری جدیدی استفاده می‌کند که تمامی پروتکل‌ها، از جمله IPv4 و IPv6، را در یک ساختار واحد و یکپارچه مدیریت می‌کند. این ویژگی باعث ساده‌تر شدن نوشتن قوانین و کاهش تعداد جداول و زحمات مدیریتی می‌شود.

مثال عملی:

در iptables برای نوشتن قوانین برای IPv4 و IPv6 باید از دستورهای جداگانه استفاده می‌کردید:

iptables -A INPUT -p tcp --dport 80 -j ACCEPT  # برای IPv4
ip6tables -A INPUT -p tcp --dport 80 -j ACCEPT  # برای IPv6

در حالی که در nftables تنها یک دستور کلی برای هر دو پروتکل می‌توانید بنویسید:

nft add rule inet filter input tcp dport 80 accept

سازگاری با IPv6

یکی از مهم‌ترین مزایای nftables نسبت به iptables، پشتیبانی یکپارچه از پروتکل‌های IPv4 و IPv6 است. در iptables، برای مدیریت IPv4 و IPv6 باید از دو ابزار مختلف (iptables برای IPv4 و ip6tables برای IPv6) استفاده می‌شد که این باعث پیچیدگی بیشتر در پیکربندی‌ها و نگهداری قوانین می‌شد.

در nftables، این دو پروتکل در یک ابزار یکپارچه با نام inet مدیریت می‌شوند. این ویژگی نه‌تنها مدیریت قوانین را ساده‌تر می‌کند بلکه از بروز خطاهای احتمالی نیز جلوگیری می‌کند.

مثال عملی:

برای نوشتن یک قانون در nftables که هم IPv4 و هم IPv6 را شامل شود، می‌توانید از دستور زیر استفاده کنید:

nft add rule inet filter input ip saddr 192.168.1.100 accept
nft add rule inet filter input ip6 saddr 2001:0db8::1 accept

عملکرد بهتر nftables در پردازش قوانین و کارایی بیشتر

یکی از دلایل عمده انتخاب nftables به‌جای iptables در سیستم‌های مدرن، عملکرد بهینه‌تر و مصرف منابع کمتر است. nftables از یک معماری مبتنی بر شبیه‌سازی جدول‌های پیچیده استفاده می‌کند که باعث پردازش سریع‌تر و کارآمدتر قوانین می‌شود. این امر به‌ویژه در سیستم‌های با ترافیک بالا یا پردازش تعداد زیادی از بسته‌ها مهم است.

در iptables، هر قانون به‌صورت جداگانه پردازش می‌شود و این می‌تواند زمان پردازش را افزایش دهد. اما در nftables، قوانین به‌صورت منظم‌تری پردازش شده و این باعث بهبود کارایی سیستم می‌شود.

مثال عملی:

اگر در سیستم خود از iptables برای پردازش 1000 قانون استفاده کنید، ممکن است این کار منجر به افزایش زمان پردازش شود. در حالی که در nftables، زمان پردازش به‌دلیل استفاده از ساختار بهینه‌شده و کاهش پیچیدگی قوانین، به طور قابل توجهی کاهش می‌یابد.

یکپارچگی بهتر با سایر ابزارهای فایروال (مانند Firewalld)

یکی از ویژگی‌های مهم nftables، یکپارچگی بهتر آن با ابزارهای دیگر مانند Firewalld است. Firewalld یک ابزار مدیریت فایروال است که به‌ویژه در توزیع‌های لینوکسی مانند CentOS و RHEL مورد استفاده قرار می‌گیرد.

nftables به‌طور کامل با Firewalld سازگار است و این امکان را فراهم می‌کند که مدیران سیستم بتوانند فایروال‌ها را به‌صورت داینامیک و با استفاده از فریم‌ورک‌های مدرن مانند Firewalld مدیریت کنند. این یکپارچگی، فرآیند پیکربندی و مدیریت فایروال‌ها را برای مدیران سیستم بسیار ساده‌تر می‌کند.

مثال عملی:

برای اضافه کردن یک قانون به فایروال با استفاده از Firewalld که از nftables استفاده می‌کند، می‌توانید از دستور زیر استفاده کنید:

firewall-cmd --add-rule family=ipv4 source=192.168.1.100 service=http

سهولت در نوشتن قوانین پیچیده با nftables

یکی از مزایای بزرگ nftables نسبت به iptables، قابلیت نوشتن قوانین پیچیده به‌صورت ساده‌تر و کاربرپسندتر است. nftables از زبان جدید و ساده‌تری برای نوشتن قوانین استفاده می‌کند که قابلیت تعریف انواع مختلفی از قوانین و فیلترها را به‌راحتی فراهم می‌آورد.

در iptables برای نوشتن قوانین پیچیده، باید از چندین دستور و ساختار مختلف استفاده کرد. اما در nftables، این قوانین می‌توانند در یک دستور واحد و ساده نوشته شوند.

مثال عملی:

برای ایجاد یک قانون پیچیده در iptables برای فیلتر کردن ترافیک از چندین آدرس IP مختلف، باید قوانین مختلفی نوشته شوند. اما در nftables می‌توان از مجموعه‌های داده برای ذخیره و اعمال قوانین به‌صورت یکپارچه استفاده کرد.

nft add set inet filter allowed_ips { type ipv4_addr\; }
nft add element inet filter allowed_ips { 192.168.1.100, 192.168.1.101 }
nft add rule inet filter input ip saddr @allowed_ips accept

پیشرفت‌های امنیتی و انعطاف‌پذیری بیشتر در nftables

nftables نسبت به iptables مزایای امنیتی بیشتری را در اختیار مدیران سیستم قرار می‌دهد. این ابزار جدید از تکنیک‌های امنیتی پیشرفته‌تری مانند فیلتر کردن بسته‌ها بر اساس فیلدهای خاص و انجام اقدامات متنوع بر روی بسته‌ها، پشتیبانی می‌کند. علاوه بر این، nftables به‌خوبی با ویژگی‌های امنیتی جدید در هسته لینوکس سازگار است.

این انعطاف‌پذیری بیشتر به مدیران سیستم این امکان را می‌دهد که فایروال‌ها را بر اساس نیازهای خاص خود پیکربندی کنند و به‌طور مؤثری از سیستم در برابر تهدیدات جدید محافظت کنند.

مثال عملی:

در nftables می‌توان قوانینی نوشت که بسته‌ها را بر اساس پروتکل‌های مختلف (مانند TCP و UDP) فیلتر کنند یا اقدامات خاصی را برای بسته‌هایی با ویژگی‌های خاص انجام دهند.

جمع‌بندی

تفاوت‌ها و مزایای nftables نسبت به iptables شامل بهبود عملکرد، سادگی در نوشتن قوانین پیچیده، یکپارچگی بهتر با ابزارهای فایروال دیگر، و پیشرفت‌های امنیتی است. nftables ابزار جدید و بهینه‌تری برای مدیریت فایروال‌ها در لینوکس است که به‌طور مؤثری نیازهای شبکه‌های مدرن و پیچیده را برطرف می‌کند.

در این بخش، به معرفی ویژگی‌ها و کاربردهای PF می‌پردازیم.

ویژگی‌های اصلی PF

1. فیلتر کردن بسته‌ها:
   • PF برای فیلتر کردن بسته‌های داده‌ای که به شبکه وارد یا از آن خارج می‌شوند، از قوانین خاص استفاده می‌کند.
   • این قوانین بر اساس IP، پروتکل‌ها، پورت‌ها و ویژگی‌های دیگر بسته‌ها قابل تنظیم هستند.
2. شبکه‌بندی NAT (Network Address Translation):
   • یکی از ویژگی‌های کلیدی PF امکان انجام NAT برای ترجمه آدرس‌های IP است. این ویژگی به‌ویژه برای اتصال شبکه‌های محلی به اینترنت و یا برای پنهان کردن آدرس‌های IP در داخل شبکه‌های خصوصی مفید است.
   • PF از PAT (Port Address Translation) نیز پشتیبانی می‌کند.
3. **مدیریت ترافیک و Traffic Shaping:
   • PF به‌راحتی می‌تواند پهنای باند ترافیک را محدود کند یا ترافیک را بر اساس نوع داده‌ها، پروتکل‌ها و مقاصد مختلف تنظیم کند.
   • این قابلیت در مواردی مانند Quality of Service (QoS) یا traffic shaping به کار می‌آید.
4. Load Balancing و Failover:
   • PF می‌تواند برای توزیع ترافیک به چندین سرور و همچنین فراهم کردن قابلیت failover (انتقال ترافیک به سرورهای دیگر در صورت خرابی) استفاده شود.
   • این ویژگی به‌ویژه در شبکه‌هایی با نیاز به دسترس‌پذیری بالا و مقاوم در برابر خرابی‌ها کاربرد دارد.
5. VPN:
   • PF از پروتکل‌های IPsec و OpenVPN پشتیبانی می‌کند و می‌تواند به‌عنوان یک فایروال VPN عمل کند.
6. Antispoofing:
   • PF قابلیت‌های پیشرفته‌ای برای جلوگیری از حملات spoofing (جعل آدرس‌های IP) دارد.
7. سایر ویژگی‌ها:
   • پشتیبانی از IPv4 و IPv6.
   • استفاده از tables برای مدیریت بهتر مجموعه‌ای از بسته‌ها.
   • پشتیبانی از anchors برای تعریف قوانین پیچیده‌تر و جداگانه.

کاربردهای PF

1. امنیت شبکه:
   • PF به‌عنوان یک فایروال امنیتی در سیستم‌های OpenBSD و دیگر سیستم‌عامل‌های BSD استفاده می‌شود.
   • با استفاده از قوانین پیچیده و تنظیمات مناسب، می‌توان از ورود ترافیک غیرمجاز و حملات شبکه جلوگیری کرد.
2. VPN:
   • یکی از کاربردهای محبوب PF، استفاده به‌عنوان یک فایروال VPN است که می‌تواند ارتباطات امن را از طریق IPsec یا OpenVPN فراهم کند.
3. مدیریت ترافیک و Bandwidth Management:
   • در شبکه‌های بزرگ، PF می‌تواند برای کنترل پهنای باند استفاده شود. با استفاده از traffic shaping، می‌توان پهنای باند را محدود کرده و تضمین کرد که خدمات حیاتی در شبکه از ترافیک بیشتر برخوردار شوند.
4. Load Balancing و High Availability:
   • PF برای توزیع ترافیک به چندین سرور و فراهم آوردن High Availability استفاده می‌شود. این ویژگی به‌ویژه برای سرویس‌دهنده‌های وب و دیگر برنامه‌های سرور که نیاز به قابلیت اطمینان بالا دارند، ضروری است.
5. حفاظت در برابر حملات DDoS:
   • PF قادر است که برخی از حملات توزیع‌شده سرویس (DDoS) را شناسایی کرده و از طریق تنظیمات مناسب از بروز آنها جلوگیری کند.

نحوه پیکربندی PF

برای پیکربندی PF، تنظیمات باید در فایل پیکربندی pf.conf انجام شود. این فایل معمولاً در مسیر /etc/pf.conf قرار دارد. در این فایل، شما می‌توانید قوانین مختلفی برای فیلتر کردن بسته‌ها، انجام NAT، تنظیمات VPN و سایر موارد را مشخص کنید.

یک نمونه ساده از فایل پیکربندی pf.conf:

# تنظیمات پایه PF
# اجازه دسترسی به localhost
set skip on lo0

# تنظیمات فیلتر کردن بسته‌ها
block all
pass in quick on em0 from any to any port 80
pass out quick on em0 from any to any port 443

در این مثال، تمام بسته‌ها به‌طور پیش‌فرض مسدود می‌شوند، مگر بسته‌هایی که به پورت‌های 80 و 443 در رابط em0 وارد یا از آن خارج می‌شوند.

جمع‌بندی

PF یکی از فایروال‌های قدرتمند و قابل اطمینان است که به‌ویژه برای سیستم‌های OpenBSD طراحی شده است، اما در سایر سیستم‌عامل‌های BSD نیز قابل استفاده است. این فایروال از ویژگی‌های مختلفی مانند فیلتر کردن بسته‌ها، NAT، traffic shaping و load balancing پشتیبانی می‌کند. با استفاده از PF می‌توان شبکه‌هایی با امنیت بالا و کارایی بالا طراحی کرد و مدیریت دقیق ترافیک شبکه را به دست گرفت.

در این مقایسه، ویژگی‌های مختلف این دو فایروال از جمله معماری، پیکربندی، قابلیت‌های امنیتی، مدیریت قوانین و عملکرد بررسی می‌شود.

معماری و ساختار

1. PF (Packet Filter):
   • PF از ابتدا برای سیستم‌عامل OpenBSD طراحی شده است و با این سیستم‌عامل کاملاً یکپارچه شده است.
   • پیکربندی قوانین در PF معمولاً از طریق فایل pf.conf انجام می‌شود که شامل قوانین فیلتر کردن بسته‌ها، NAT و سایر تنظیمات شبکه است.
   • PF از رویکرد Stateful Packet Filtering (فیلتر کردن بسته‌ها با پیگیری وضعیت اتصال) استفاده می‌کند و همچنین امکانات پیشرفته‌ای مانند load balancing و traffic shaping را فراهم می‌کند.
2. nftables:
   • nftables فایروال جدیدی است که به‌طور رسمی به‌عنوان جایگزین iptables در توزیع‌های لینوکس معرفی شد.
   • nftables یک معماری یکپارچه دارد که اجازه می‌دهد انواع مختلف فیلترها، NAT و دیگر اقدامات شبکه‌ای در یک سیستم واحد با استفاده از nft (ابزار خط فرمان برای مدیریت nftables) تنظیم شوند.
   • nftables بر مبنای ساختار tables, chains, and rules مشابه با iptables عمل می‌کند، اما قابلیت‌های بهینه‌شده و انعطاف‌پذیری بیشتری دارد.

پیکربندی و نوشتن قوانین

1. PF:
   • نوشتن قوانین در PF به‌صورت مستقیم در فایل پیکربندی pf.conf صورت می‌گیرد.
   • قوانین معمولاً ساده و خوانا هستند. در صورتی که به تنظیمات پیچیده‌تری نیاز باشد، می‌توان از ویژگی‌هایی مانند anchor و tables برای مدیریت بهتر استفاده کرد.
   • ساختار پیکربندی PF به‌طور خاص برای امنیت و سادگی طراحی شده است، اما ممکن است برای کاربران مبتدی کمی پیچیده باشد.
2. nftables:
   • قوانین nftables با استفاده از دستور nft در خط فرمان نوشته و اعمال می‌شوند.
   • ساختار قوانین در nftables از نظر مفهومی مشابه iptables است، اما قوانین پیچیده‌تر و انعطاف‌پذیری بیشتری را امکان‌پذیر می‌سازد.
   • nftables قابلیت‌هایی مانند set management برای مدیریت مجموعه‌ها، stateful filtering و NAT را در یک رابط واحد فراهم می‌کند که می‌تواند از نظر نوشتن قوانین پیچیده بسیار مفید باشد.

سازگاری و پشتیبانی از پروتکل‌ها

1. PF:
   • PF به‌طور پیش‌فرض از پروتکل‌های IPv4 و IPv6 پشتیبانی می‌کند.
   • همچنین، این فایروال از ویژگی‌هایی مانند load balancing، NAT، VPN و proxies پشتیبانی کامل دارد.
2. nftables:
   • nftables به‌طور کامل از پروتکل‌های IPv4 و IPv6 پشتیبانی می‌کند.
   • همچنین، nftables امکان پیکربندی و فیلتر کردن بسته‌ها به‌صورت بسیار دقیق‌تر و انعطاف‌پذیرتر را فراهم می‌آورد.
   • به‌عنوان یک نسل جدید فایروال، nftables برای پشتیبانی از شبکه‌های مدرن به‌ویژه برای انتقال بسته‌های VPN، NAT و فیلتر کردن ترافیک امن بهینه‌شده است.

قابلیت‌های امنیتی و انعطاف‌پذیری

1. PF:
   • PF یک فایروال stateful است و می‌تواند وضعیت هر اتصال شبکه را پیگیری کند.
   • این فایروال به‌طور خاص برای امنیت طراحی شده و ویژگی‌هایی مانند anti-spoofing, DoS protection, traffic shaping و NAT را به‌طور پیشرفته پشتیبانی می‌کند.
   • PF همچنین ابزارهای بسیار قدرتمندی برای محدود کردن پهنای باند و مدیریت ترافیک دارد.
2. nftables:
   • nftables نیز به‌عنوان یک فایروال stateful قابلیت‌های فیلتر کردن پیشرفته را ارائه می‌دهد.
   • با استفاده از nftables، می‌توان قوانین بسیار پیچیده و بهینه‌شده‌ای برای فیلتر کردن بسته‌ها، مدیریت NAT و پشتیبانی از VPN ایجاد کرد.
   • علاوه بر این، nftables از ویژگی‌هایی مانند Dynamic sets و multi-dimensional rules برای مدیریت دقیق ترافیک و سیاست‌های امنیتی استفاده می‌کند.

یکپارچگی با سایر ابزارها

1. PF:
   • PF معمولاً به‌عنوان بخشی از سیستم‌عامل OpenBSD در نظر گرفته می‌شود و یکپارچگی بالایی با سایر ابزارهای امنیتی و شبکه در این سیستم‌عامل دارد.
   • از آنجا که PF بر اساس قوانین ساده و خوانا عمل می‌کند، مدیریت آن آسان است.
2. nftables:
   • nftables از نظر یکپارچگی با سایر ابزارهای لینوکس بسیار انعطاف‌پذیر است.
   • این فایروال به‌طور کامل با ابزارهای مدیریتی پیشرفته لینوکس مانند firewalld، ufw (Uncomplicated Firewall) و systemd یکپارچه شده است.
   • این یکپارچگی‌ها امکان پیکربندی و مدیریت قوانین فایروال را با استفاده از رابط‌های مختلف فراهم می‌کند.

عملکرد و بهینه‌سازی

1. PF:
   • PF یک فایروال بسیار کارآمد است که در سیستم‌عامل‌های BSD به‌طور ویژه بهینه‌شده است.
   • این فایروال قادر است با پردازش سریع و بهینه بسته‌ها، بار ترافیکی را به‌طور مؤثر مدیریت کند.
2. nftables:
   • nftables از نظر عملکرد نسبت به iptables بهینه‌تر است. این فایروال از ساختار جدیدی برای پردازش بسته‌ها استفاده می‌کند که باعث کاهش بار پردازشی و افزایش کارایی می‌شود.
   • با توجه به بهینه‌سازی‌های انجام‌شده، nftables می‌تواند در مقیاس بزرگتری نسبت به iptables و PF عملکرد بهتری داشته باشد.

جمع‌بندی

در نهایت، هر دو فایروال PF و nftables ویژگی‌های منحصر به‌فرد و کاربردهای خاص خود را دارند. PF یک فایروال پیشرفته است که در سیستم‌عامل‌های BSD بسیار محبوب است و به‌دلیل سادگی و قدرت امنیتی بالای خود شناخته می‌شود. از سوی دیگر، nftables به‌عنوان نسل جدید فایروال‌های لینوکس با قابلیت‌های بهینه‌تر و انعطاف‌پذیرتر در پردازش بسته‌ها، نوشتن قوانین پیچیده، و یکپارچگی بهتر با سایر ابزارهای سیستم‌عامل‌های لینوکسی شناخته می‌شود.

انتخاب بین PF و nftables بستگی به نیازهای شبکه، سیستم‌عامل و میزان پیچیدگی پیکربندی فایروال دارد.

ویژگی‌های اصلی UFW

1. سادگی و کاربرپسند بودن:
   • UFW به‌گونه‌ای طراحی شده است که حتی کاربران مبتدی نیز بتوانند قوانین فایروال را به‌راحتی اعمال کنند. این ابزار به‌ویژه برای افرادی که نیاز به فیلتر کردن ترافیک دارند، بدون نیاز به درک عمیق از iptables، مناسب است.
2. پشتیبانی از IPv4 و IPv6:
   • UFW هم از آدرس‌های IPv4 و هم از آدرس‌های IPv6 پشتیبانی می‌کند، بنابراین می‌توان قوانین فایروال را برای هر دو پروتکل به‌راحتی پیکربندی کرد.
3. ایجاد و مدیریت قوانین ساده:
   • قوانین فایروال می‌توانند برای اجازه دادن یا مسدود کردن ترافیک به و از پورت‌ها یا سرویس‌های خاص نوشته شوند.
   • این قوانین به‌طور پیش‌فرض ساده‌سازی شده‌اند و به‌راحتی می‌توان آنها را فعال یا غیرفعال کرد.
4. پیکربندی سریع:
   • پیکربندی فایروال با UFW به راحتی انجام می‌شود و نیازی به تنظیمات پیچیده ندارد. کاربران تنها با استفاده از دستورات ساده می‌توانند فایروال را فعال یا قوانین را تنظیم کنند.
5. پشتیبانی از پروفایل‌های برنامه‌ها:
   • UFW به کاربران این امکان را می‌دهد که قوانین فایروال را برای برنامه‌های خاص یا سرویس‌های سیستم پیکربندی کنند. این ویژگی می‌تواند به‌ویژه در پیکربندی فایروال برای برنامه‌های مانند SSH، HTTP و FTP مفید باشد.

دستورات رایج UFW

در اینجا برخی از دستورات رایج UFW آورده شده است:

1. فعال کردن UFW: برای فعال کردن UFW و شروع به استفاده از آن برای فیلتر کردن ترافیک:

   sudo ufw enable
   

2. غیرفعال کردن UFW: برای غیرفعال کردن UFW و متوقف کردن فیلتر کردن ترافیک:

   sudo ufw disable
   

3. نمایش وضعیت فایروال: برای بررسی وضعیت فعلی فایروال:

   sudo ufw status
   

4. اجازه دسترسی به پورت خاص: برای اجازه دادن به ترافیک ورودی به پورت خاص (مثلاً پورت 80 برای HTTP):

   sudo ufw allow 80
   

5. مسدود کردن پورت خاص: برای مسدود کردن ترافیک ورودی به یک پورت خاص (مثلاً پورت 22 برای SSH):

   sudo ufw deny 22
   

6. اجازه دسترسی به یک سرویس خاص: UFW می‌تواند به‌صورت پیش‌فرض از پروفایل‌های سرویس‌های شناخته‌شده استفاده کند. به‌عنوان مثال، برای اجازه دادن به SSH:

   sudo ufw allow ssh
   

7. مسدود کردن یک آدرس IP خاص: برای مسدود کردن ترافیک از یک آدرس IP خاص:

   sudo ufw deny from 192.168.1.100
   

8. فعال کردن IPv6: به‌طور پیش‌فرض، UFW از IPv6 پشتیبانی می‌کند. برای فعال کردن آن می‌توان از فایل پیکربندی استفاده کرد:

   sudo ufw enable
   

پیکربندی پیشرفته UFW

اگرچه UFW برای مبتدیان طراحی شده است، اما هنوز هم می‌توان از آن برای پیکربندی‌های پیشرفته‌تر استفاده کرد. این ابزار به‌طور کامل از iptables استفاده می‌کند و کاربران می‌توانند با ویرایش مستقیم فایل پیکربندی، قوانین پیشرفته‌تری تعریف کنند.

• فایل پیکربندی UFW در مسیر /etc/ufw/ قرار دارد.
• برای مشاهده یا ویرایش این فایل می‌توانید از ویرایشگرهایی مانند nano یا vim استفاده کنید:

  sudo nano /etc/ufw/user.rules
  

در این فایل، می‌توانید به‌طور دستی قوانین خاص خود را اضافه یا ویرایش کنید.

مزایای UFW

1. سادگی:
   • برخلاف ابزارهای پیچیده‌تر مانند iptables، UFW به‌طور قابل توجهی ساده‌تر است و نیاز به تنظیمات پیچیده ندارد.
2. پیکربندی سریع:
   • قوانین فایروال را می‌توان به‌سرعت و با استفاده از دستورات ساده پیکربندی کرد.
3. مناسب برای مبتدیان:
   • UFW برای کسانی که نیاز به مدیریت فایروال دارند، اما آشنایی عمیق با نحوه کارکرد فایروال‌ها ندارند، بسیار مناسب است.
4. سازگاری با ابزارهای دیگر:
   • UFW به‌راحتی با ابزارهایی مانند Fail2ban یا Firewalld قابل ترکیب است و می‌تواند برای ایجاد راه‌حل‌های امنیتی کامل‌تر استفاده شود.

جمع‌بندی

UFW (Uncomplicated Firewall) یک ابزار فایروال ساده و کاربرپسند است که برای مدیران سیستم‌های لینوکس طراحی شده است. این ابزار با استفاده از دستورات ساده و پیکربندی‌های سریع، به کاربران این امکان را می‌دهد که به‌راحتی ترافیک شبکه را فیلتر کنند. UFW برای مبتدیان و افرادی که به دنبال راه‌حل‌های سریع و بدون پیچیدگی هستند، انتخابی ایده‌آل است. همچنین، این ابزار برای کاربرانی که نیاز به پیکربندی‌های پیچیده‌تر دارند، امکان ویرایش مستقیم قوانین و استفاده از iptables را فراهم می‌آورد.

ویژگی‌های اصلی Firewalld

1. مبتنی بر Zone:
   • Firewalld از “Zone” استفاده می‌کند که مجموعه‌ای از قوانین برای گروه‌بندی اتصالات شبکه است. هر zone می‌تواند سطح امنیتی متفاوتی داشته باشد و می‌تواند ترافیک خاصی را مسدود یا اجازه دهد.
   • به‌عنوان مثال، برای شبکه داخلی می‌توانید یک Zone با سطح امنیتی پایین‌تر و برای شبکه عمومی یک Zone با امنیت بالاتر تنظیم کنید.
2. مدیریت داینامیک قوانین:
   • برخلاف iptables که نیاز به بارگذاری مجدد برای اعمال تغییرات دارد، Firewalld به‌طور داینامیک قوانین را به‌روزرسانی می‌کند و بدون قطع اتصال، تغییرات را اعمال می‌کند.
3. پشتیبانی از IPv4 و IPv6:
   • Firewalld از هر دو پروتکل IPv4 و IPv6 پشتیبانی می‌کند و به شما این امکان را می‌دهد که قوانین فایروال را برای هر دو پروتکل به‌راحتی پیکربندی کنید.
4. پشتیبانی از خدمات:
   • Firewalld به شما اجازه می‌دهد که قوانین فایروال را بر اساس سرویس‌های خاص مانند HTTP، SSH و FTP تنظیم کنید. این امر فرآیند پیکربندی را بسیار ساده‌تر می‌کند.
5. پیکربندی از طریق فایل و دستورات CLI:
   • شما می‌توانید پیکربندی‌ها را از طریق دستورات CLI یا فایل‌های پیکربندی ویرایش کنید. مسیر فایل‌های پیکربندی به‌طور پیش‌فرض در /etc/firewalld/ قرار دارد.

نصب و راه‌اندازی Firewalld

برای نصب Firewalld روی یک توزیع مبتنی بر Red Hat (مثل CentOS یا Fedora) از دستور زیر استفاده کنید:

sudo yum install firewalld

پس از نصب، برای شروع Firewalld از دستور زیر استفاده کنید:

sudo systemctl start firewalld

برای فعال کردن Firewalld به‌طور خودکار در هنگام بوت سیستم:

sudo systemctl enable firewalld

کار با Zones در Firewalld

در Firewalld، Zones بخش‌های مختلف شبکه شما را از نظر امنیتی مدیریت می‌کنند. هر Zone مجموعه‌ای از قوانین است که به شما این امکان را می‌دهد که دسترسی‌های مختلف به سیستم را بر اساس محل شبکه مدیریت کنید.

1. نمایش Zones فعال: برای نمایش Zones فعال و تنظیمات هر کدام از آن‌ها:

   sudo firewall-cmd --get-active-zones
   

2. مشاهده جزئیات Zone خاص: برای مشاهده جزئیات Zone خاص (مثلاً public):

   sudo firewall-cmd --zone=public --list-all
   

3. تنظیم Zone پیش‌فرض: برای تغییر Zone پیش‌فرض (مثلاً به home):

   sudo firewall-cmd --set-default-zone=home
   

4. اضافه کردن یک سرویس به Zone: برای اجازه دادن به سرویس HTTP (پورت 80) در Zone public:

   sudo firewall-cmd --zone=public --add-service=http --permanent
   

   پس از اضافه کردن سرویس، برای اعمال تغییرات:

   sudo firewall-cmd --reload
   

5. اضافه کردن پورت به Zone: اگر نیاز دارید یک پورت خاص را در Zone خاص باز کنید (مثلاً پورت 8080):

   sudo firewall-cmd --zone=public --add-port=8080/tcp --permanent
   

6. حذف پورت یا سرویس از Zone: برای حذف یک پورت یا سرویس از Zone (مثلاً حذف پورت 8080):

   sudo firewall-cmd --zone=public --remove-port=8080/tcp --permanent
   

پیکربندی پیشرفته با Firewalld

1. تغییر تنظیمات پورت‌های خصوصی: اگر می‌خواهید پورت‌های خاصی را برای همه Zones به‌طور خصوصی تنظیم کنید، می‌توانید از فایل‌های پیکربندی firewalld استفاده کنید.فایل پیکربندی‌های Firewalld در مسیر /etc/firewalld/zones/ قرار دارد. برای ویرایش یک Zone خاص (مثلاً home.xml):

   sudo nano /etc/firewalld/zones/home.xml
   

   در این فایل، می‌توانید پیکربندی‌های پورت و سرویس‌ها را تغییر دهید.

2. تعریف Zone جدید: برای ایجاد Zone جدید در Firewalld می‌توانید فایل جدیدی ایجاد کرده و تنظیمات آن را در آن فایل مشخص کنید. برای اینکار از ساختار XML استفاده می‌شود.به‌عنوان مثال، یک Zone جدید به نام myzone ایجاد می‌کنید:

   sudo nano /etc/firewalld/zones/myzone.xml
   

   و محتویات آن را به‌صورت زیر وارد می‌کنید:

   <zone>
     <short>MyZone</short>
     <description>My custom zone</description>
     <service name="http"/>
     <port port="8080" protocol="tcp"/>
   </zone>
   

   سپس این Zone را بارگذاری کرده و فعال کنید:

   sudo firewall-cmd --zone=myzone --add-service=http --permanent
   sudo firewall-cmd --reload
   

جمع‌بندی

Firewalld یکی از ابزارهای قدرتمند و انعطاف‌پذیر برای مدیریت فایروال در توزیع‌های لینوکس مبتنی بر Red Hat است. این ابزار با استفاده از Zones به شما امکان می‌دهد که قوانین فایروال را به‌راحتی و بر اساس نیازهای مختلف شبکه تنظیم کنید. همچنین، Firewalld با پشتیبانی از سرویس‌ها، پروتکل‌ها و پورت‌های مختلف، راه‌حلی مناسب برای مدیریت امنیت شبکه در سطح داینامیک و انعطاف‌پذیر فراهم می‌آورد. ابزار Firewalld با پیکربندی ساده و دستورات آسان، به‌ویژه برای کاربران مبتدی، بسیار کارآمد است.

1. معماری و ساختار ساده‌تر nftables در مقایسه با iptables

یکی از بزرگترین تفاوت‌های بین nftables و iptables، معماری پیچیده‌تر iptables است. iptables از سه جدول (filter, nat, mangle) و زنجیره‌های مختلف برای مدیریت فیلترها و NAT استفاده می‌کند. این ساختار پیچیده، ممکن است برای مدیریت قوانین فایروال و تنظیمات مختلف پیچیده‌تر باشد.

nftables به‌طور قابل توجهی معماری ساده‌تر و منسجم‌تری دارد. در این ابزار، تنها یک جدول اصلی به نام nft وجود دارد که تمامی قوانین فایروال را مدیریت می‌کند. علاوه بر این، nftables از “سلسله‌مراتب قوانین” استفاده می‌کند که به کاربران این امکان را می‌دهد که با دستورات کمتری قوانین خود را پیاده‌سازی کنند.

مزایای کاربردی nftables:

• سادگی در مدیریت قوانین
• حذف پیچیدگی‌های موجود در معماری iptables
• مدیریت یکپارچه تمامی قوانین فایروال در یک جدول

2. عملکرد بهتر nftables در پردازش قوانین و کارایی بیشتر

nftables با استفاده از یک مکانیزم جدید و بهینه‌تر برای پردازش قوانین، عملکرد بهتری نسبت به iptables دارد. این ابزار از bytecode استفاده می‌کند که قوانین فایروال را به کدهای ماشین ترجمه کرده و در نتیجه سرعت پردازش آن‌ها به‌طور قابل توجهی افزایش می‌یابد.

مزایای کاربردی nftables:

• پردازش سریع‌تر قوانین فایروال
• کاهش بار پردازشی در مقایسه با iptables
• استفاده بهینه از منابع سیستم

3. یکپارچگی بهتر با سایر ابزارها (مانند Firewalld)

nftables به طور پیش‌فرض با ابزارهایی مانند Firewalld یکپارچه شده است. به همین دلیل، می‌توان قوانین فایروال را از طریق Firewalld نیز با استفاده از nftables مدیریت کرد. این یکپارچگی باعث می‌شود که کاربران مبتدی‌تر نیز بتوانند به‌راحتی فایروال خود را مدیریت کنند، بدون اینکه نیاز به دستورات پیچیده nftables داشته باشند.

مزایای کاربردی nftables:

• یکپارچگی با Firewalld و سایر ابزارها
• سهولت در پیکربندی و مدیریت فایروال
• امکان استفاده از Firewalld با زیرساخت nftables

4. سهولت در نوشتن قوانین پیچیده با nftables

nftables به‌طور قابل توجهی نوشتن قوانین پیچیده را ساده‌تر می‌کند. این ابزار از یک زبان جدید به نام nft برای تعریف قوانین استفاده می‌کند که نوشتن و درک آن‌ها را راحت‌تر می‌سازد. برخلاف iptables که نیاز به استفاده از دستورات پیچیده و متعدد برای هر نوع قانون داشت، nftables از یک ساختار ساده و قابل فهم برای نوشتن قوانین استفاده می‌کند.

مزایای کاربردی nftables:

• نوشتن آسان‌تر قوانین پیچیده
• استفاده از زبان ساده‌تر و انعطاف‌پذیر
• کدهای قابل درک‌تر و مقیاس‌پذیرتر

5. پیشرفت‌های امنیتی و انعطاف‌پذیری بیشتر در nftables

nftables امنیت بیشتری را نسبت به iptables و حتی PF ارائه می‌دهد. یکی از ویژگی‌های امنیتی برجسته nftables، توانایی استفاده از stateful filtering در قوانین پیچیده است. این ویژگی به شما این امکان را می‌دهد که اتصالات و بسته‌های شبکه را بر اساس وضعیت آن‌ها (مثلاً باز یا بسته بودن اتصال) فیلتر کنید.

علاوه بر این، nftables از ویژگی‌هایی مانند sets، maps، و counters برای پردازش مقادیر مختلف و انجام فیلترینگ پیچیده‌تر استفاده می‌کند. این ویژگی‌ها به مدیران سیستم این امکان را می‌دهند که قوانین خود را دقیق‌تر و با انعطاف‌پذیری بیشتر پیاده‌سازی کنند.

مزایای کاربردی nftables:

• امنیت بیشتر در مقایسه با iptables و PF
• انعطاف‌پذیری بیشتر در نوشتن قوانین پیچیده
• استفاده از ویژگی‌های پیشرفته مانند sets و maps برای فیلترینگ بهتر

6. پشتیبانی بهتر از IPv6 و شبکه‌های مدرن

nftables از ابتدا با هدف پشتیبانی بهتر از IPv6 طراحی شده است. این ابزار به‌طور کامل از پروتکل IPv6 پشتیبانی می‌کند و به‌طور همزمان می‌تواند قوانین را برای IPv4 و IPv6 مدیریت کند. در مقابل، iptables نیاز به ip6tables برای مدیریت قوانین IPv6 دارد که می‌تواند پیچیدگی‌های اضافی را ایجاد کند.

مزایای کاربردی nftables:

• پشتیبانی یکپارچه از IPv6 و IPv4
• مدیریت راحت‌تر قوانین برای شبکه‌های مدرن

جمع‌بندی

در نهایت، nftables به دلیل سادگی، عملکرد بهتر، امنیت بیشتر و قابلیت‌های پیشرفته، انتخابی مطلوب برای فایروال‌های لینوکسی است. این ابزار نسبت به iptables، PF و Firewalld مزایای زیادی ارائه می‌دهد که از جمله آن‌ها می‌توان به پشتیبانی بهتر از IPv6، کاهش پیچیدگی در نوشتن قوانین، و بهبود عملکرد پردازش قوانین اشاره کرد. با توجه به این مزایا، nftables به‌عنوان نسل جدید ابزارهای فایروال در لینوکس، گزینه‌ای مناسب برای مدیریت امنیت شبکه‌ها است.

در این بخش، به بررسی نقش Netfilter در هسته لینوکس و نحوه کارکرد آن خواهیم پرداخت.

1. تعریف Netfilter و ارتباط آن با هسته لینوکس

Netfilter به‌عنوان یک چارچوب (framework) در هسته لینوکس عمل می‌کند که به برنامه‌ها و ابزارهای شبکه‌ای امکان می‌دهد بسته‌ها را قبل از ارسال به مقصد نهایی یا دریافت از منابع مختلف، فیلتر و پردازش کنند. این چارچوب به‌طور مستقیم با شبکه‌های مختلف، از جمله شبکه‌های محلی (LAN)، اینترنت و VPN، تعامل دارد.

در حقیقت، Netfilter یک لایه میانه بین بسته‌ها و سیستم عامل است که می‌تواند قوانین مختلفی را برای فیلتر کردن، NAT و دیگر عملیات‌های مرتبط با ترافیک شبکه اجرا کند. بسته‌هایی که از طریق شبکه یا اینترنت وارد یا خارج می‌شوند، به این لایه فرستاده می‌شوند تا قوانین تعیین‌شده اعمال شوند.

2. اجزای مختلف Netfilter و نحوه عملکرد آن

Netfilter از اجزای مختلفی تشکیل شده است که به‌طور خاص با ابزارهایی مانند iptables و nftables برای مدیریت قوانین فایروال و پردازش ترافیک شبکه استفاده می‌شوند. این اجزا عبارتند از:

• Hook points: این‌ها نقاطی هستند که بسته‌های شبکه از آن عبور کرده و می‌توانند توسط قوانین مختلف فیلتر شوند. به طور کلی، پنج نقطه اصلی (hooks) وجود دارد:
  1. PREROUTING: برای پردازش بسته‌ها قبل از اینکه به مقصد خود برسند.
  2. INPUT: برای پردازش بسته‌هایی که به سیستم مقصد وارد می‌شوند.
  3. FORWARD: برای پردازش بسته‌هایی که از یک سیستم به سیستم دیگر منتقل می‌شوند.
  4. OUTPUT: برای پردازش بسته‌هایی که از سیستم خود به مقصد ارسال می‌شوند.
  5. POSTROUTING: برای پردازش بسته‌ها پس از عبور از سیستم.
• Tables: Netfilter از چندین جدول مختلف برای دسته‌بندی و پردازش قوانین استفاده می‌کند. هر جدول مجموعه‌ای از قوانین را در خود دارد. جداول اصلی عبارتند از:
  • filter: برای فیلتر کردن بسته‌ها و تعیین اینکه کدام بسته‌ها مجاز هستند وارد یا خارج شوند.
  • nat: برای انجام عملیات NAT (ترجمه آدرس شبکه).
  • mangle: برای تغییر بسته‌ها و پردازش ویژه بسته‌ها.
  • raw: برای انجام پردازش‌های ابتدایی‌تر که نیاز به تأثیر بر روی بسته‌ها دارند.
  • security: برای اعمال قوانین امنیتی خاص.
• Chains: در هر جدول، قوانین به گروه‌هایی به نام زنجیره‌ها (chains) تقسیم می‌شوند. هر زنجیره شامل مجموعه‌ای از قوانین است که ترتیب اجرای آن‌ها برای فیلتر کردن یا تغییر بسته‌ها مهم است.

3. نحوه کارکرد Netfilter با iptables و nftables

iptables و nftables دو ابزار مهم برای مدیریت قوانین فایروال در لینوکس هستند که مستقیماً با Netfilter تعامل دارند. این ابزارها به کاربران امکان می‌دهند قوانین خود را برای فیلتر کردن بسته‌ها، NAT و اعمال دیگر عملیات‌های مرتبط با ترافیک شبکه بنویسند و اجرا کنند.

• iptables: ابزاری است که به‌طور سنتی برای مدیریت Netfilter در سیستم‌های لینوکسی استفاده می‌شود. iptables قوانین را در جداول مختلف Netfilter اعمال می‌کند و عملکرد سیستم شبکه را کنترل می‌کند.
• nftables: این ابزار نسل جدید فایروال‌ها در لینوکس است که جایگزین iptables شده است. nftables با استفاده از یک API بهبود یافته و زبان ساده‌تر، مدیریت و اعمال قوانین فایروال را برای کاربر آسان‌تر می‌کند و همزمان کارایی بهتری دارد.

Netfilter بسته‌های شبکه را به هر کدام از این ابزارها ارسال می‌کند تا بتوانند بسته‌ها را بر اساس قوانین تعریف‌شده فیلتر و پردازش کنند.

4. نحوه کارکرد Netfilter در پردازش بسته‌ها

برای توضیح نحوه عملکرد Netfilter در پردازش بسته‌ها، این فرآیند به‌طور گام‌به‌گام به‌صورت زیر اتفاق می‌افتد:

1. دریافت بسته: بسته‌ای از شبکه وارد سیستم می‌شود. این بسته ابتدا به Netfilter فرستاده می‌شود.
2. اجرای قوانین فایروال: پس از دریافت بسته، Netfilter قوانین موجود در جدول‌های مختلف (filter، nat و …) را بررسی می‌کند.
3. اعمال عملیات‌ها: بسته می‌تواند تحت عملیات مختلف قرار بگیرد:
   • فیلتر شدن: بسته ممکن است رد یا قبول شود.
   • ترجمه آدرس شبکه (NAT): آدرس‌های مبدأ یا مقصد ممکن است تغییر کنند.
   • تغییر بسته‌ها: بسته‌ها ممکن است اصلاح شوند.
4. ارسال بسته به مقصد: پس از پردازش، بسته به مقصد مورد نظر ارسال می‌شود یا به سیستم بعدی منتقل می‌شود.

5. نحوه تنظیم و پیکربندی قوانین با استفاده از iptables و nftables

در این قسمت، نحوه نوشتن قوانین فایروال با استفاده از iptables و nftables به‌طور مثال آورده می‌شود.

تنظیم قوانین با iptables

برای افزودن یک قانون در iptables برای فیلتر کردن ترافیک ورودی از آدرس IP خاص، می‌توانید از دستور زیر استفاده کنید:

sudo iptables -A INPUT -s 192.168.1.1 -j DROP

این دستور باعث می‌شود که هر ترافیک ورودی از آدرس IP 192.168.1.1 مسدود شود.

تنظیم قوانین با nftables

برای افزودن همان قانون با استفاده از nftables، از دستور زیر استفاده کنید:

sudo nft add rule inet filter input ip saddr 192.168.1.1 drop

این دستور همان کار را انجام می‌دهد، یعنی ترافیک ورودی از IP 192.168.1.1 را مسدود می‌کند.

جمع‌بندی

Netfilter به‌عنوان یک چارچوب پردازش ترافیک شبکه در هسته لینوکس نقش بسیار مهمی ایفا می‌کند. این سیستم با ارائه ابزارهایی مانند iptables و nftables، امکان مدیریت و فیلتر کردن بسته‌های شبکه را به‌طور مؤثر فراهم می‌آورد. Netfilter با استفاده از جداول و زنجیره‌ها، قادر است عملیات پیچیده‌ای مانند فیلترینگ، NAT و تغییر بسته‌ها را انجام دهد. توانایی Netfilter در پردازش بسته‌ها و مدیریت امنیت شبکه، آن را به یکی از اجزای حیاتی در سیستم‌های لینوکسی تبدیل کرده است.

1. بسته‌ها (Packets) در Netfilter

در هر سیستم شبکه‌ای، داده‌ها به‌صورت بسته‌ها (Packets) منتقل می‌شوند. یک بسته معمولاً شامل اطلاعات مربوط به داده‌ها، آدرس‌های مبدأ و مقصد، پروتکل‌ها و سایر جزئیات است. در Netfilter، بسته‌ها به‌طور پیوسته تحت پردازش قرار می‌گیرند تا قوانین فایروال و سایر عملیات‌ها بر روی آن‌ها اعمال شود.

بسته‌ها ممکن است از یک سیستم وارد سیستم لینوکسی شوند (در مسیر INPUT)، از سیستم لینوکسی خارج شوند (در مسیر OUTPUT)، یا از یک سیستم به سیستم دیگر انتقال یابند (در مسیر FORWARD). همچنین، بسته‌ها می‌توانند در مسیریابی یا پردازش آدرس‌های IP تحت تغییر قرار گیرند.

2. جداول (Tables) در Netfilter

Netfilter از جداول برای سازمان‌دهی و دسته‌بندی قوانین استفاده می‌کند. هر جدول مجموعه‌ای از قواعد مختلف را در خود دارد که به طور خاص برای انجام عملیات‌های مختلفی مانند فیلتر کردن بسته‌ها، انجام NAT یا تغییر بسته‌ها استفاده می‌شود. هر جدول شامل مجموعه‌ای از قوانین است که در مسیرهای مختلف شبکه اعمال می‌شوند. جداول اصلی در Netfilter عبارتند از:

• filter: جدول پیش‌فرض برای فیلتر کردن بسته‌ها است. این جدول برای تعیین اینکه کدام بسته‌ها اجازه ورود یا خروج را دارند، استفاده می‌شود. به‌طور کلی، همه قوانین فایروال در این جدول قرار دارند.
• nat: این جدول برای عملیات NAT (ترجمه آدرس شبکه) استفاده می‌شود. این عملیات می‌تواند آدرس‌های IP مبدأ یا مقصد را در هنگام ارسال یا دریافت بسته‌ها تغییر دهد. قوانین در این جدول معمولاً برای تغییر آدرس‌های شبکه و مسیریابی استفاده می‌شوند.
• mangle: این جدول برای تغییرات ویژه بسته‌ها طراحی شده است. این تغییرات می‌توانند شامل تغییر در هدر بسته‌ها، اصلاح تایم‌استامپ‌ها و غیره باشد. این جدول معمولاً برای تنظیمات پیچیده‌تر در بسته‌ها به کار می‌رود.
• raw: این جدول برای انجام عملیات‌هایی است که تأثیر کمی روی بسته‌ها دارند و عمدتاً برای پردازش‌های ابتدایی‌تر استفاده می‌شود. در این جدول، عملیات‌های کنترل از دست رفتن بسته و خاموش کردن Connection Tracking (ردیابی ارتباطات) انجام می‌شود.
• security: این جدول به‌طور خاص برای مدیریت امنیت بسته‌ها طراحی شده است و در آن قوانین امنیتی خاصی برای جلوگیری از حملات یا نفوذها اعمال می‌شود.

3. زنجیره‌ها (Chains) در Netfilter

هر جدول در Netfilter از مجموعه‌ای از زنجیره‌ها (Chains) تشکیل شده است. زنجیره‌ها مجموعه‌ای از قوانین هستند که به ترتیب مشخص اجرا می‌شوند. زنجیره‌ها به‌طور کلی با عملیات خاصی مانند فیلتر کردن یا تغییر بسته‌ها ارتباط دارند. هر زنجیره در Netfilter به‌طور مشخص برای یک عملیات یا فرآیند خاص در شبکه تعریف شده است.

انواع مختلف زنجیره‌ها در Netfilter به شرح زیر است:

• Zنجیره‌های پیش‌فرض (Default Chains): این زنجیره‌ها به طور پیش‌فرض در تمام جداول Netfilter وجود دارند و قوانین بر اساس آن‌ها اجرا می‌شوند:
  • INPUT: بسته‌هایی که به سیستم وارد می‌شوند.
  • OUTPUT: بسته‌هایی که از سیستم خارج می‌شوند.
  • FORWARD: بسته‌هایی که از یک سیستم به سیستم دیگر منتقل می‌شوند.
  • PREROUTING: بسته‌هایی که قبل از مسیریابی و قبل از ورود به سیستم پردازش می‌شوند.
  • POSTROUTING: بسته‌هایی که پس از مسیریابی و قبل از ارسال از سیستم خارج می‌شوند.
• Zنجیره‌های تعریف‌شده توسط کاربر (User-defined Chains): علاوه بر زنجیره‌های پیش‌فرض، کاربران می‌توانند زنجیره‌های خاصی را برای نیازهای خاص خود تعریف کنند. این زنجیره‌ها می‌توانند شامل مجموعه‌ای از قوانین باشند که به‌طور دلخواه ترتیب‌دهی شده‌اند.

هر زنجیره دارای یک مجموعه از قوانین است که بررسی می‌شود تا تصمیم‌گیری در مورد بسته‌ها انجام شود. بسته‌ها به‌طور پیوسته از طریق زنجیره‌ها پردازش می‌شوند و بر اساس نتیجه قوانین، بسته ممکن است از سیستم عبور کند، مسدود شود یا به مقصد تغییر یافته‌ای هدایت شود.

4. نحوه کارکرد بسته‌ها، جداول و زنجیره‌ها

عملکرد Netfilter به این صورت است که هر بسته‌ای که وارد یا خارج می‌شود، باید از قوانین مختلف عبور کند. این قوانین در جداول مختلف قرار دارند و بسته‌ها به ترتیب از طریق زنجیره‌ها پردازش می‌شوند. به‌عنوان مثال، وقتی یک بسته وارد سیستم می‌شود:

1. ابتدا از طریق PREROUTING بررسی می‌شود تا تغییرات لازم روی آن انجام گیرد.
2. سپس به INPUT می‌رود تا تعیین شود که آیا بسته به سیستم مورد نظر وارد شود یا خیر.
3. اگر بسته از سیستم عبور کند، به زنجیره FORWARD می‌رود.
4. در نهایت، پس از پردازش، بسته ممکن است از طریق POSTROUTING از سیستم خارج شود.

همه این فرآیندها با استفاده از قوانین فایروال در Netfilter انجام می‌شوند که بسته‌ها را بر اساس آدرس IP، پروتکل‌ها، پورت‌ها، و سایر پارامترها فیلتر می‌کنند.

جمع‌بندی

Netfilter با استفاده از بسته‌ها، جداول و زنجیره‌ها به‌طور مؤثر بسته‌های شبکه را پردازش و فیلتر می‌کند. هر بسته‌ای که وارد یا خارج می‌شود، به جداول مختلفی که هر کدام شامل مجموعه‌ای از قوانین فیلترینگ و پردازش بسته‌ها هستند، ارسال می‌شود. از آنجا که این سیستم به‌طور مستقیم با ابزارهایی مانند iptables و nftables برای مدیریت ترافیک شبکه ارتباط دارد، Netfilter ابزاری قدرتمند و انعطاف‌پذیر برای مدیریت امنیت شبکه در لینوکس است.

1. تفاوت در معماری جداول

• iptables: در iptables، هر جدول یک مجموعه از زنجیره‌ها (Chains) را برای انجام عملیات‌های مختلف بر روی بسته‌ها مدیریت می‌کند. به‌طور پیش‌فرض، چهار جدول در iptables وجود دارد:
  • filter: جدول پیش‌فرض برای فیلتر کردن بسته‌ها.
  • nat: جدول برای انجام عملیات NAT (ترجمه آدرس شبکه).
  • mangle: جدول برای تغییرات خاص در بسته‌ها.
  • raw: جدول برای کنترل ابتدایی بسته‌ها و خاموش کردن connection tracking.

  در iptables، هر جدول به‌طور جداگانه مدیریت می‌شود و فرآیند اضافه کردن، حذف یا ویرایش قوانین نیازمند دستوراتی است که به صورت مستقیم با جدول‌های مختلف در ارتباط باشند.

• nftables: در nftables، ساختار جداول به طور قابل توجهی ساده‌تر و یکپارچه‌تر از iptables است. در این ابزار، همه جداول به‌طور مشترک در یک زیرساخت واحد قرار دارند و نیازی به استفاده از چندین ابزار مختلف برای هر جدول نیست. در nftables، چهار جدول اصلی نیز وجود دارد که تقریباً مشابه iptables هستند:
  • filter: جدول برای فیلتر کردن بسته‌ها.
  • nat: جدول برای انجام عملیات NAT.
  • mangle: جدول برای تغییرات خاص بسته‌ها.
  • raw: جدول برای عملیات ابتدایی روی بسته‌ها.

  مهم‌ترین تفاوت این است که nftables از یک لایه جدید برای مدیریت جداول استفاده می‌کند که انعطاف‌پذیری بیشتری به کاربران می‌دهد.

2. بهبود عملکرد در nftables

یکی از اصلی‌ترین مزایای nftables در مقایسه با iptables، بهبود عملکرد و کارایی است. nftables از یک معماری جدید به نام Xtables استفاده می‌کند که باعث می‌شود تمام پردازش‌ها سریع‌تر و به‌صورت بهینه‌تر انجام شوند. در واقع، nftables برای فیلتر کردن بسته‌ها از یک فریم‌ورک اختصاصی استفاده می‌کند که قادر است به‌طور مؤثرتر بسته‌ها را نسبت به iptables پردازش کند.

در nftables، این بهبود عملکرد ناشی از:

• استفاده از ضوابط (Expressions) برای قوانین به جای استفاده از فرمت‌های پیچیده‌تر.
• بهینه‌سازی در نحوه نگهداری و جستجو در قوانین.
• امکان آمیزش چندین قاعده در یک قانون واحد که باعث کاهش تعداد مقایسه‌ها و پردازش‌ها می‌شود.

در نتیجه، nftables از لحاظ سرعت پردازش بسته‌ها و کاهش تأخیر عملکرد، به طرز چشمگیری از iptables پیشی می‌گیرد.

3. یکپارچگی بیشتر با سایر ابزارها

• iptables: در iptables، تنظیمات و قوانین فایروال به‌طور مستقیم به هر جدول مرتبط می‌شوند و به همین دلیل مدیریت قوانین پیچیده‌تر می‌شود. برای مثال، برای انجام عملیات‌های مختلف (مثل تنظیمات NAT و فیلتر کردن بسته‌ها) باید از دستوراتی متفاوت و به‌طور جداگانه برای هر جدول استفاده کرد.
• nftables: در nftables، تمام این فرآیندها به صورت یکپارچه و از طریق یک ابزار واحد انجام می‌شود. به این معنی که قوانین مربوط به فیلتر کردن بسته‌ها، NAT و تغییرات در بسته‌ها به راحتی در یک ساختار یکپارچه اعمال می‌شوند و دیگر نیازی به استفاده از ابزارهای مختلف نیست. این ابزار یکپارچه‌سازی باعث سهولت در پیکربندی و مدیریت قوانین می‌شود.

4. ساده‌سازی ساختار قوانین

• iptables: در iptables، ساختار قوانین به‌طور مجزا و پیچیده تعریف می‌شود. به عنوان مثال، برای تعریف هر قانون، باید مشخص شود که آیا قانون در جدول filter، nat یا mangle قرار دارد و همچنین باید از زنجیره‌های مختلف برای هر نوع عملیات استفاده کرد.
• nftables: در nftables، ساختار قوانین ساده‌تر و بسیار انعطاف‌پذیرتر است. شما می‌توانید قوانین را در یک زنجیره‌ی واحد برای تمام جداول تعریف کنید. این بدان معنی است که نوشتن قوانین پیچیده در nftables بسیار ساده‌تر از iptables است و نیاز به پیگیری جداگانه جداول مختلف ندارید.

5. انعطاف‌پذیری بیشتر در مدیریت قوانین

• iptables: در iptables، تغییرات در قوانین معمولاً به صورت دستی و پیچیده انجام می‌شود. در برخی موارد، برای اصلاح یک قانون یا اضافه کردن یک قانون جدید، نیاز به حذف و اضافه کردن دوباره قوانین به جدول است که می‌تواند باعث کاهش کارایی شود.
• nftables: در nftables، قوانین به‌طور دینامیک و انعطاف‌پذیرتر مدیریت می‌شوند. شما می‌توانید قوانین را به راحتی و بدون نیاز به حذف قوانین قدیمی تغییر دهید و این انعطاف‌پذیری به‌ویژه در هنگام پیکربندی‌های پیچیده و محیط‌های با بار بالا اهمیت زیادی دارد.

6. پشتیبانی از IPv6

• iptables: iptables از ip6tables برای مدیریت ترافیک IPv6 استفاده می‌کند. این به این معنی است که اگر بخواهید تنظیمات IPv6 را انجام دهید، باید از دستورات و جداول جداگانه‌ای استفاده کنید.
• nftables: در nftables، هیچ نیاز به استفاده از ابزارهای جداگانه برای IPv6 نیست. این ابزار به طور پیش‌فرض از IPv4 و IPv6 پشتیبانی می‌کند و شما می‌توانید قوانینی را برای هر دو پروتکل در یک ساختار واحد اعمال کنید.

جمع‌بندی

تفاوت‌های فنی و عملکردی میان جداول در iptables و nftables شامل بهبود عملکرد، یکپارچگی بیشتر با سایر ابزارها، انعطاف‌پذیری بالاتر در نوشتن قوانین و بهبود در پشتیبانی از IPv6 هستند. nftables از معماری جدید و بهینه‌تری استفاده می‌کند که امکان مدیریت قوانین پیچیده‌تر را در مقایسه با iptables فراهم می‌کند. این ویژگی‌ها باعث می‌شود که nftables به‌عنوان نسل جدید ابزار فایروال در لینوکس، انتخاب بهتری برای مدیریت شبکه و امنیت باشد.

1. جدول Filter

جدول Filter در iptables و nftables برای فیلتر کردن بسته‌ها و تصمیم‌گیری درباره اجازه یا رد کردن ترافیک شبکه استفاده می‌شود. این جدول معمولاً اصلی‌ترین جدول برای بررسی و اعمال قوانین فایروال است.

• وظیفه: فیلتر کردن بسته‌ها و تعیین اینکه آیا بسته باید از طریق فایروال عبور کند یا نه.
• زنجیره‌ها: در این جدول معمولاً سه زنجیره پیش‌فرض وجود دارد:
  • INPUT: بررسی بسته‌هایی که به سیستم محلی می‌آیند.
  • OUTPUT: بررسی بسته‌هایی که از سیستم محلی به شبکه ارسال می‌شوند.
  • FORWARD: بررسی بسته‌هایی که از طریق سیستم عبور می‌کنند (برای مسیریابی به دیگر سیستم‌ها).
• کاربرد: تنظیمات امنیتی اصلی مثل اجازه دادن یا رد کردن ترافیک بر اساس آدرس IP مبدا و مقصد، پورت‌ها، پروتکل‌ها و دیگر ویژگی‌ها در این جدول انجام می‌شود.

مثال:

# اجازه دادن به ترافیک ورودی روی پورت 80 (HTTP)
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT

2. جدول NAT (Network Address Translation)

جدول NAT برای انجام عملیات ترجمه آدرس شبکه (NAT) استفاده می‌شود. این عملیات به تغییر آدرس‌های IP بسته‌ها (در سطح لایه 3 مدل OSI) می‌پردازد تا از منابع IP به‌صورت بهینه استفاده کند.

• وظیفه: ترجمه آدرس‌های IP برای بسته‌هایی که به داخل یا خارج از شبکه می‌روند.
• زنجیره‌ها:
  • PREROUTING: انجام NAT بر روی بسته‌های ورودی قبل از اینکه به فیلتر برسند.
  • POSTROUTING: انجام NAT بر روی بسته‌های خروجی پس از اینکه فیلتر شده‌اند.
  • OUTPUT: NAT بر روی بسته‌هایی که از سیستم محلی به شبکه می‌روند.
• کاربرد: استفاده در تنظیمات masquerading (مخفی کردن آدرس‌های IP داخلی با یک آدرس IP عمومی) و پیکربندی‌های port forwarding.

مثال:

# انجام NAT برای ترافیک خروجی از شبکه داخلی
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

3. جدول Mangle

جدول Mangle برای اصلاح و تغییر ویژگی‌های بسته‌ها استفاده می‌شود. این جدول به‌طور ویژه برای اهدافی مانند تغییر مقادیر هدرهای بسته‌ها یا تنظیم پارامترهای دیگر استفاده می‌شود که برای فیلترینگ یا NAT ضروری نیستند.

• وظیفه: تغییر یا اصلاح ویژگی‌های بسته‌ها (مانند تغییر مقدار TTL، تنظیم Type of Service (ToS) و غیره).
• زنجیره‌ها:
  • PREROUTING: اصلاح بسته‌ها قبل از اینکه به فیلتر یا سایر جداول برسند.
  • POSTROUTING: اصلاح بسته‌ها پس از انجام پردازش‌های دیگر.
  • INPUT و OUTPUT: اصلاح بسته‌ها در مسیر ورودی و خروجی از سیستم.
• کاربرد: این جدول بیشتر برای عملیات‌های پیچیده‌ای مانند تنظیم QoS (کیفیت سرویس) و تنظیم پارامترهای بسته در هنگام عبور از فایروال به کار می‌رود.

مثال:

# تغییر مقدار TTL بسته‌ها به 64
sudo iptables -t mangle -A POSTROUTING -j TTL --ttl-set 64

4. جدول Raw

جدول Raw به‌طور خاص برای انجام عملیات‌های اولیه و ساده بر روی بسته‌ها استفاده می‌شود. این جدول معمولاً برای غیرفعال کردن connection tracking (ردیابی اتصالات) به کار می‌رود.

• وظیفه: انجام عملیات‌های اولیه روی بسته‌ها بدون اعمال عملیات‌های معمول فایروال.
• زنجیره‌ها:
  • PREROUTING: قبل از انجام عملیات‌های NAT و فیلترینگ.
  • OUTPUT: قبل از اعمال عملیات‌های فیلترینگ و NAT.
• کاربرد: جلوگیری از ردیابی اتصالات برای بسته‌هایی که نیاز به ردیابی ندارند یا نیاز به انجام تغییرات سریع دارند. این جدول برای پردازش بسته‌هایی که نمی‌خواهند تحت بررسی‌های معمول فایروال قرار گیرند، استفاده می‌شود.

مثال:

# غیرفعال کردن connection tracking برای ترافیک ورودی
sudo iptables -t raw -A PREROUTING -p tcp --sport 80 -j NOTRACK

جمع‌بندی

در iptables و nftables، جداول مختلف برای اهداف متفاوت و به‌منظور پردازش بسته‌ها و ترافیک شبکه طراحی شده‌اند. هر جدول در این ابزارها وظیفه خاصی را بر عهده دارد:

• Filter: فیلتر کردن ترافیک ورودی، خروجی و عبوری.
• NAT: ترجمه آدرس شبکه برای ارتباطات داخلی و خارجی.
• Mangle: تغییرات و تنظیمات پیچیده در بسته‌ها.
• Raw: انجام عملیات‌های ابتدایی و غیرفعال کردن ردیابی اتصالات.

این جداول به شما این امکان را می‌دهند که به صورت دقیق و هدفمند ترافیک شبکه را مدیریت و تنظیم کنید.

1. زنجیره INPUT

زنجیره INPUT مسئول پردازش بسته‌هایی است که به سیستم محلی می‌آیند. این بسته‌ها می‌توانند از شبکه یا از سایر سیستم‌ها باشند. در این زنجیره، تصمیم‌گیری می‌شود که بسته‌ها وارد سیستم شوند یا رد شوند.

• وظیفه: پردازش بسته‌هایی که به سرور می‌آیند و قصد دارند وارد سیستم شوند.
• کاربرد: فیلتر کردن درخواست‌هایی که برای سرویس‌های مختلف روی سیستم شما ارسال می‌شود، مانند درخواست‌های HTTP (پورت 80) یا SSH (پورت 22).

مثال:

# اجازه دادن به ترافیک ورودی روی پورت 80 (HTTP)
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT

در این مثال، تمامی درخواست‌هایی که به پورت 80 (پروتکل HTTP) وارد می‌شوند، قبول می‌شوند.

2. زنجیره OUTPUT

زنجیره OUTPUT مسئول پردازش بسته‌هایی است که از سیستم محلی به شبکه ارسال می‌شوند. این بسته‌ها می‌توانند مربوط به سرویس‌هایی باشند که به خارج از سیستم می‌روند یا بسته‌های صادرشده از سوی برنامه‌های مختلف.

• وظیفه: پردازش بسته‌هایی که از سیستم به شبکه می‌روند.
• کاربرد: فیلتر کردن درخواست‌هایی که سیستم شما به سایر سیستم‌ها ارسال می‌کند، مانند درخواست‌های وب، ایمیل یا هر نوع ارتباط شبکه‌ای خروجی.

مثال:

# اجازه دادن به ترافیک خروجی به پورت 443 (HTTPS)
sudo iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT

در این مثال، تمامی بسته‌های خروجی که به پورت 443 (پروتکل HTTPS) می‌روند، اجازه عبور دارند.

3. زنجیره FORWARD

زنجیره FORWARD مربوط به بسته‌هایی است که از سیستم عبور می‌کنند، یعنی بسته‌هایی که بین دو دستگاه مختلف در شبکه مسیریابی می‌شوند. این بسته‌ها توسط سیستم‌های مسیریابی (مثل روترها یا گیت‌وی‌ها) بررسی و فیلتر می‌شوند.

• وظیفه: پردازش بسته‌هایی که از سیستم عبور می‌کنند (یعنی سیستم به عنوان یک روتر یا گیت‌وی عمل می‌کند).
• کاربرد: فیلتر کردن بسته‌هایی که بین دو شبکه مختلف عبور می‌کنند و توسط سیستم مقصد دریافت نمی‌شوند.

مثال:

# اجازه دادن به ترافیک عبوری به پورت 22 (SSH)
sudo iptables -A FORWARD -p tcp --dport 22 -j ACCEPT

در این مثال، ترافیکی که از طریق سیستم عبور می‌کند و به پورت 22 (پروتکل SSH) می‌رود، اجازه عبور پیدا می‌کند.

جمع‌بندی

در iptables و nftables، سه زنجیره پیش‌فرض وجود دارد که هرکدام وظیفه خاصی دارند:

• INPUT: برای پردازش بسته‌هایی که به سیستم محلی می‌آیند.
• OUTPUT: برای پردازش بسته‌هایی که از سیستم محلی به شبکه ارسال می‌شوند.
• FORWARD: برای پردازش بسته‌هایی که از سیستم عبور می‌کنند و بین دو شبکه مختلف مسیریابی می‌شوند.

هرکدام از این زنجیره‌ها برای انجام عملیات‌های فیلترینگ مختلف مورد استفاده قرار می‌گیرند و می‌توان با استفاده از آن‌ها ترافیک شبکه را به‌طور دقیق مدیریت کرد.

1. ساختار و نحوه کارکرد قوانین

قانون‌ها در iptables و nftables از پروتکل، آدرس مبدا، آدرس مقصد، پورت‌ها، و عملیات (Action) تشکیل شده‌اند. هنگام تعریف یک قانون، این ویژگی‌ها باید مشخص شوند تا بسته‌ها به‌درستی فیلتر شوند.

ساختار یک قانون در iptables:

iptables -A <CHAIN> -p <PROTOCOL> --dport <PORT> -j <ACTION>

• -A <CHAIN>: به زنجیره‌ای که قانون به آن اضافه می‌شود (مثلاً INPUT، OUTPUT یا FORWARD).
• -p <PROTOCOL>: پروتکلی که بسته باید آن را داشته باشد (مثلاً TCP، UDP یا ICMP).
• --dport <PORT>: پورت مقصد بسته (فقط برای پروتکل TCP یا UDP).
• -j <ACTION>: عملی که باید برای بسته انجام شود (مثلاً ACCEPT، DROP، REJECT).

2. تنظیم قوانین برای کنترل ترافیک

برای مدیریت ترافیک، قوانین مختلفی می‌توان تعریف کرد. در این بخش، انواع مختلف قوانین برای کنترل ترافیک در iptables و nftables توضیح داده می‌شود.

الف) تنظیم قوانین برای فیلتر کردن ترافیک ورودی (INPUT)

برای جلوگیری از ترافیک ورودی غیرمجاز، قوانین مختلفی می‌توان اضافه کرد.

مثال 1: اجازه دادن به ترافیک ورودی HTTP

sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT

در این مثال، تمام بسته‌های TCP که به پورت 80 (پروتکل HTTP) وارد می‌شوند، پذیرفته می‌شوند.

مثال 2: مسدود کردن ترافیک ورودی از یک آدرس IP خاص

sudo iptables -A INPUT -s 192.168.1.100 -j DROP

این قانون تمام بسته‌های ورودی از آدرس IP 192.168.1.100 را مسدود می‌کند.

ب) تنظیم قوانین برای فیلتر کردن ترافیک خروجی (OUTPUT)

برای مدیریت ترافیک خروجی، می‌توان قوانینی را به زنجیره OUTPUT اضافه کرد.

مثال 1: اجازه دادن به ترافیک خروجی به پورت 443 (HTTPS)

sudo iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT

تمامی بسته‌های خروجی که به پورت 443 (HTTPS) می‌روند، پذیرفته می‌شوند.

مثال 2: مسدود کردن ترافیک خروجی از برنامه خاص

sudo iptables -A OUTPUT -m owner ! --uid-owner user1 -j REJECT

این قانون بسته‌های خروجی که از کاربر user1 نیستند، رد می‌کند.

ج) تنظیم قوانین برای مسیریابی ترافیک (FORWARD)

برای مسیریابی ترافیک بین دو شبکه، از زنجیره FORWARD استفاده می‌شود.

مثال 1: اجازه دادن به مسیریابی SSH بین دو شبکه

sudo iptables -A FORWARD -p tcp --dport 22 -j ACCEPT

این قانون اجازه می‌دهد که بسته‌هایی که از سیستم عبور کرده و به پورت 22 (SSH) می‌روند، مسیریابی شوند.

مثال 2: مسدود کردن مسیریابی بسته‌ها به شبکه خاص

sudo iptables -A FORWARD -d 192.168.2.0/24 -j DROP

این قانون تمام بسته‌های عبوری به شبکه 192.168.2.0/24 را مسدود می‌کند.

3. عملیات‌های مختلف برای قوانین

هنگام ایجاد قوانین، می‌توان از عملیات‌های مختلفی استفاده کرد که هرکدام رفتار متفاوتی را در قبال بسته‌ها ایجاد می‌کنند. برخی از عملیات‌های رایج عبارتند از:

• ACCEPT: اجازه دادن به بسته برای عبور.
• DROP: رد کردن بسته بدون ارسال پیامی به فرستنده.
• REJECT: رد کردن بسته و ارسال پیامی به فرستنده.
• LOG: ثبت بسته‌ها در لاگ‌ها برای نظارت.
• SNAT: تغییر آدرس IP مبدا بسته‌ها (برای NAT).
• DNAT: تغییر آدرس IP مقصد بسته‌ها (برای NAT).

4. ذخیره‌سازی و اعمال قوانین

پس از اضافه کردن قوانین، باید آن‌ها را ذخیره کرد تا در صورت راه‌اندازی مجدد سیستم، قوانین اعمال شوند. در iptables، معمولاً از دستور زیر برای ذخیره قوانین استفاده می‌شود:

ذخیره قوانین در iptables:

sudo iptables-save > /etc/iptables/rules.v4

این دستور تمامی قوانین فعلی را در فایل rules.v4 ذخیره می‌کند.

در nftables، قوانین به‌طور خودکار در فایل پیکربندی /etc/nftables.conf ذخیره می‌شوند، اما می‌توان آن‌ها را به‌صورت دستی نیز ذخیره کرد:

ذخیره قوانین در nftables:

sudo nft list ruleset > /etc/nftables.conf

جمع‌بندی

در iptables و nftables، قوانین به‌عنوان مهم‌ترین اجزای فایروال عمل می‌کنند و می‌توانند ترافیک شبکه را بر اساس پروتکل، پورت، آدرس IP و سایر ویژگی‌ها مدیریت کنند. این قوانین می‌توانند بسته‌ها را مسدود یا اجازه دهند، بسته‌ها را تغییر دهند یا مسیریابی کنند. علاوه بر این، باید قوانین را ذخیره کرده و در صورت نیاز، آن‌ها را برای حفظ امنیت سیستم اعمال کرد.

در این بخش، نمونه‌هایی از قوانین برای مسدود کردن یا مجاز کردن ترافیک در iptables و nftables آورده شده است.

1. نمونه‌هایی از قوانین برای iptables

الف) اجازه دادن به ترافیک ورودی از یک آدرس IP خاص

اگر بخواهید فقط ترافیک ورودی از یک آدرس IP خاص را مجاز کنید، می‌توانید از دستور زیر استفاده کنید:

sudo iptables -A INPUT -s 192.168.1.100 -j ACCEPT

در این مثال، تمامی بسته‌های ورودی از آدرس IP 192.168.1.100 پذیرفته خواهند شد.

ب) مسدود کردن ترافیک ورودی از یک آدرس IP خاص

برای مسدود کردن ترافیک ورودی از یک آدرس IP خاص، دستور زیر را می‌توان استفاده کرد:

sudo iptables -A INPUT -s 192.168.1.100 -j DROP

این قانون تمامی بسته‌های ورودی از آدرس IP 192.168.1.100 را رد می‌کند.

ج) مجاز کردن ترافیک HTTP (پورت 80)

برای اجازه دادن به ترافیک HTTP از اینترنت به سرور، می‌توان از دستور زیر استفاده کرد:

sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT

تمامی بسته‌های ورودی که به پورت 80 (HTTP) می‌روند، پذیرفته خواهند شد.

د) مسدود کردن ترافیک SSH (پورت 22)

برای مسدود کردن ترافیک ورودی به پورت 22 (پروتکل SSH) می‌توانید از دستور زیر استفاده کنید:

sudo iptables -A INPUT -p tcp --dport 22 -j DROP

این دستور تمام بسته‌های ورودی به پورت 22 (SSH) را مسدود می‌کند.

ه) مسدود کردن ترافیک ICMP (پینگ)

برای مسدود کردن درخواست‌های ping (پروتکل ICMP) که به سرور شما ارسال می‌شوند، می‌توان از دستور زیر استفاده کرد:

sudo iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

این قانون تمامی درخواست‌های ping که به سرور شما ارسال می‌شوند را رد می‌کند.

و) اجازه دادن به ترافیک خروجی به پورت 443 (HTTPS)

اگر می‌خواهید ترافیک خروجی به پورت 443 (HTTPS) را مجاز کنید، از دستور زیر استفاده کنید:

sudo iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT

تمامی بسته‌های خروجی که به پورت 443 (HTTPS) می‌روند، پذیرفته می‌شوند.

2. نمونه‌هایی از قوانین برای nftables

در nftables، قوانین به‌طور مشابهی تعریف می‌شوند، اما با دستورات و نحو جدیدتر. در اینجا نمونه‌هایی از قوانین در nftables آورده شده است:

الف) اجازه دادن به ترافیک ورودی از یک آدرس IP خاص

در nftables، برای اجازه دادن به ترافیک ورودی از یک آدرس IP خاص، دستور زیر را استفاده می‌کنیم:

sudo nft add rule inet filter input ip saddr 192.168.1.100 accept

این قانون تمامی بسته‌های ورودی از آدرس IP 192.168.1.100 را پذیرفته می‌کند.

ب) مسدود کردن ترافیک ورودی از یک آدرس IP خاص

برای مسدود کردن ترافیک ورودی از یک آدرس IP خاص، می‌توانید از دستور زیر استفاده کنید:

sudo nft add rule inet filter input ip saddr 192.168.1.100 drop

این قانون تمامی بسته‌های ورودی از آدرس IP 192.168.1.100 را رد می‌کند.

ج) مجاز کردن ترافیک HTTP (پورت 80)

برای اجازه دادن به ترافیک HTTP (پورت 80)، دستور زیر در nftables استفاده می‌شود:

sudo nft add rule inet filter input tcp dport 80 accept

این قانون تمامی بسته‌های TCP که به پورت 80 (HTTP) می‌روند، پذیرفته خواهد شد.

د) مسدود کردن ترافیک SSH (پورت 22)

برای مسدود کردن ترافیک SSH (پورت 22) در nftables:

sudo nft add rule inet filter input tcp dport 22 drop

این قانون تمامی بسته‌های ورودی به پورت 22 (SSH) را رد می‌کند.

ه) مسدود کردن ترافیک ICMP (پینگ)

برای مسدود کردن درخواست‌های ping (پروتکل ICMP) در nftables، می‌توانید از دستور زیر استفاده کنید:

sudo nft add rule inet filter input icmp type echo-request drop

این قانون تمامی درخواست‌های ping که به سرور شما ارسال می‌شوند را رد می‌کند.

و) اجازه دادن به ترافیک خروجی به پورت 443 (HTTPS)

برای اجازه دادن به ترافیک خروجی به پورت 443 (HTTPS)، دستور زیر را در nftables استفاده کنید:

sudo nft add rule inet filter output tcp dport 443 accept

این قانون تمامی بسته‌های خروجی که به پورت 443 (HTTPS) می‌روند، پذیرفته خواهد شد.

جمع‌بندی

در این بخش، نمونه‌هایی از قوانین برای مسدود کردن یا مجاز کردن ترافیک در iptables و nftables آورده شد. قوانین در این دو ابزار به کاربران این امکان را می‌دهند که ترافیک شبکه را بر اساس آدرس‌های IP، پورت‌ها، پروتکل‌ها و سایر ویژگی‌ها به‌طور دقیق کنترل کنند. این قوانین می‌توانند به امنیت شبکه کمک کنند و اجازه دهند تا تنها ترافیک مجاز وارد یا خارج شود، در حالی که سایر ترافیک‌ها مسدود شوند.

مدل OSI و لایه‌های آن

مدل OSI به هفت لایه مختلف تقسیم می‌شود که هر یک وظایف خاص خود را در ارتباطات شبکه بر عهده دارند. این لایه‌ها به ترتیب از پایین به بالا عبارتند از:

1. لایه فیزیکی (Physical Layer)
2. لایه پیوند داده (Data Link Layer)
3. لایه شبکه (Network Layer)
4. لایه حمل و نقل (Transport Layer)
5. لایه جلسه (Session Layer)
6. لایه نمایش (Presentation Layer)
7. لایه کاربرد (Application Layer)

هر لایه از مدل OSI وظایف خاص خود را انجام می‌دهد، و فایروال‌ها می‌توانند به صورت هدفمند بر روی هر کدام از این لایه‌ها عملیات انجام دهند.

تأثیر فایروال‌ها بر لایه‌های مختلف OSI

فایروال‌ها می‌توانند در هر لایه از مدل OSI به نحوی عمل کنند تا بسته‌های داده‌ای که در شبکه عبور می‌کنند را فیلتر یا مسدود کنند. در اینجا به تأثیر فایروال‌ها بر هر یک از لایه‌ها می‌پردازیم:

1. لایه فیزیکی (Physical Layer)

در لایه فیزیکی، فایروال‌ها معمولاً تاثیری ندارند، زیرا این لایه مربوط به انتقال فیزیکی داده‌ها از طریق سخت‌افزارها مانند کابل‌ها و کارت‌های شبکه است. فایروال‌ها بیشتر بر لایه‌های بالاتر تمرکز دارند.

2. لایه پیوند داده (Data Link Layer)

در لایه پیوند داده، فایروال‌ها می‌توانند از آدرس‌های MAC برای فیلتر کردن ترافیک استفاده کنند. این فایروال‌ها می‌توانند بسته‌ها را بررسی کنند و تصمیم بگیرند که آیا باید اجازه عبور داده‌ها از شبکه محلی (LAN) را بدهند یا خیر. به‌عنوان مثال، فایروال‌ها می‌توانند تمام بسته‌های ارسال‌شده از یک آدرس MAC خاص را مسدود کنند.

دستور مثال برای مسدود کردن بسته‌ها با استفاده از آدرس MAC در iptables:

sudo iptables -A INPUT -m mac --mac-source 00:1A:2B:3C:4D:5E -j DROP

3. لایه شبکه (Network Layer)

در لایه شبکه، فایروال‌ها از آدرس‌های IP و پروتکل‌های شبکه (مانند IPv4 و IPv6) برای فیلتر کردن ترافیک استفاده می‌کنند. این فایروال‌ها می‌توانند بسته‌های ورودی و خروجی را با توجه به آدرس‌های IP مبدا و مقصد، یا پروتکل‌های مختلف (TCP، UDP، ICMP) فیلتر کنند.

دستور مثال برای مسدود کردن ترافیک از یک آدرس IP خاص در iptables:

sudo iptables -A INPUT -s 192.168.1.100 -j DROP

4. لایه حمل و نقل (Transport Layer)

در لایه حمل و نقل، فایروال‌ها از شماره پورت‌ها و پروتکل‌های خاص (مانند TCP و UDP) برای فیلتر کردن ترافیک استفاده می‌کنند. این فایروال‌ها می‌توانند ترافیک مربوط به پورت‌های خاص (مثلاً پورت‌های HTTP یا FTP) را مجاز یا مسدود کنند.

دستور مثال برای مسدود کردن ترافیک ورودی بر روی پورت 80 (HTTP) در iptables:

sudo iptables -A INPUT -p tcp --dport 80 -j DROP

5. لایه جلسه (Session Layer)

فایروال‌ها در این لایه معمولاً به طور مستقیم عمل نمی‌کنند، اما می‌توانند به شناسایی و کنترل ارتباطات جلسه‌ای (Session) کمک کنند. برای مثال، فایروال‌ها می‌توانند با استفاده از فناوری‌هایی مانند Stateful Inspection، وضعیت هر اتصال را دنبال کرده و بررسی کنند که آیا بسته‌های داده مربوط به یک اتصال معتبر هستند یا خیر.

6. لایه نمایش (Presentation Layer)

در لایه نمایش، فایروال‌ها معمولاً نمی‌توانند به‌طور مستقیم عمل کنند، زیرا این لایه مربوط به نمایش داده‌ها و کدگذاری است. با این حال، فایروال‌ها می‌توانند در مقابله با حملات رمزنگاری‌شده (مثل حملات DDoS رمزنگاری‌شده) از ابزارهایی مانند DPI (Deep Packet Inspection) استفاده کنند.

7. لایه کاربرد (Application Layer)

در لایه کاربرد، فایروال‌ها می‌توانند با استفاده از ابزارهایی مانند Application Layer Filtering یا Web Application Firewall (WAF) ترافیک مربوط به پروتکل‌های خاص کاربردی مانند HTTP، FTP، یا SMTP را بررسی کنند. این فایروال‌ها می‌توانند درخواست‌های غیرمجاز به سرورهای وب یا سایر خدمات کاربردی را مسدود کنند.

دستور مثال برای مسدود کردن ترافیک HTTP در iptables:

sudo iptables -A INPUT -p tcp --dport 80 -j REJECT

جمع‌بندی

فایروال‌ها می‌توانند در لایه‌های مختلف مدل OSI به‌طور مؤثر عمل کنند و با فیلتر کردن بسته‌ها بر اساس آدرس‌های MAC، IP، پورت‌ها و پروتکل‌ها، ترافیک شبکه را کنترل کنند. با استفاده از فایروال‌ها، می‌توان دسترسی‌های غیرمجاز را مسدود کرد و امنیت شبکه را افزایش داد. در هر لایه از OSI، فایروال‌ها می‌توانند به روش‌های مختلفی عمل کرده و به‌طور هدفمند امنیت شبکه را تأمین کنند.

لایه شبکه (لایه ۳) – فیلتر کردن با استفاده از آدرس‌های IP

لایه شبکه (لایه ۳) مدل OSI مربوط به آدرس‌دهی و مسیریابی بسته‌ها از طریق شبکه است. این لایه برای فیلتر کردن بسته‌ها بر اساس آدرس‌های IP مبدا و مقصد استفاده می‌شود. فایروال‌ها می‌توانند با توجه به آدرس‌های IP، ترافیک شبکه را مسدود یا مجاز کنند.

در فایروال‌های مبتنی بر iptables یا nftables، می‌توان قوانین را برای فیلتر کردن بسته‌ها بر اساس آدرس‌های IP تنظیم کرد. به‌طور مثال، اگر بخواهید ترافیک از یک آدرس IP خاص را مسدود کنید، می‌توانید از دستور زیر استفاده کنید:

نمونه کد برای iptables:

برای مسدود کردن ترافیک ورودی از یک آدرس IP خاص:

sudo iptables -A INPUT -s 192.168.1.100 -j DROP

این دستور تمام بسته‌های دریافتی از آدرس IP 192.168.1.100 را مسدود می‌کند.

نمونه کد برای nftables:

برای مسدود کردن ترافیک ورودی از آدرس IP خاص با استفاده از nftables:

sudo nft add rule inet filter input ip saddr 192.168.1.100 drop

لایه انتقال داده‌ها (لایه ۴) – فیلتر کردن با استفاده از پورت‌ها و پروتکل‌ها

لایه انتقال داده‌ها (لایه ۴) مدل OSI، مسئول انتقال داده‌ها بین سیستم‌ها است. این لایه با استفاده از پروتکل‌های حمل و نقل مانند TCP و UDP کار می‌کند و می‌تواند ترافیک را بر اساس پورت‌ها فیلتر کند.

در این لایه، فایروال‌ها می‌توانند بسته‌ها را بر اساس شماره پورت مبدا یا مقصد، یا نوع پروتکل (مانند TCP، UDP یا ICMP) فیلتر کنند.

نمونه کد برای iptables:

برای مسدود کردن ترافیک ورودی بر روی پورت 80 (پورت HTTP):

sudo iptables -A INPUT -p tcp --dport 80 -j DROP

این دستور تمام بسته‌هایی که به پورت 80 ارسال می‌شوند (پورت HTTP) را مسدود می‌کند.

برای مجاز کردن ترافیک فقط از پورت 443 (پورت HTTPS):

sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT

نمونه کد برای nftables:

برای مسدود کردن ترافیک ورودی به پورت 80 (HTTP):

sudo nft add rule inet filter input tcp dport 80 drop

برای مجاز کردن ترافیک ورودی به پورت 443 (HTTPS):

sudo nft add rule inet filter input tcp dport 443 accept

کاربردهای فیلتر کردن در لایه‌های ۳ و ۴

فیلتر کردن ترافیک در لایه‌های شبکه و انتقال داده‌ها کاربردهای مختلفی دارد:

1. مقابله با حملات DDoS: با فیلتر کردن بسته‌ها بر اساس آدرس‌های IP یا پورت‌ها، می‌توان حملات DDoS (حملات توزیع‌شده انکار سرویس) را شناسایی و مسدود کرد.
2. کنترل دسترسی: با استفاده از فیلتر کردن بر اساس IP یا پورت‌ها، می‌توان دسترسی به منابع حساس را فقط به کاربران مجاز محدود کرد.
3. محدودسازی استفاده از پروتکل‌ها: فایروال‌ها می‌توانند برای محدود کردن استفاده از برخی پروتکل‌ها (مانند HTTP و FTP) به‌کار روند تا امنیت شبکه بهبود یابد.
4. حفاظت از سرورهای کاربردی: با تنظیم قوانین برای مسدود کردن ترافیک بر روی پورت‌های خاص (مثل پورت‌های SSH یا FTP) می‌توان از سرورهای کاربردی در برابر حملات محافظت کرد.

جمع‌بندی

فیلتر کردن ترافیک در لایه‌های شبکه (لایه ۳) و انتقال داده‌ها (لایه ۴) به فایروال‌ها این امکان را می‌دهد که ترافیک شبکه را بر اساس آدرس‌های IP، پورت‌ها و پروتکل‌ها کنترل کنند. این اقدامات می‌توانند از امنیت شبکه محافظت کنند و حملات غیرمجاز را مسدود کنند. ابزارهایی مانند iptables و nftables قابلیت‌های وسیعی برای فیلتر کردن بسته‌ها در این لایه‌ها فراهم می‌کنند، که به مدیران سیستم این امکان را می‌دهد که ترافیک شبکه را با دقت بالاتری مدیریت کنند.

لایه Application – فیلتر کردن ترافیک با توجه به پروتکل‌های سطح کاربرد

لایه Application بالاترین لایه در مدل OSI است که به سرویس‌های شبکه مانند HTTP، FTP، SMTP و غیره مربوط می‌شود. فایروال‌ها در این لایه می‌توانند ترافیک را براساس محتوای پروتکل‌های سطح کاربرد، که شامل درخواست‌های HTTP، ایمیل‌ها و فایل‌ها هستند، فیلتر کنند. این نوع فیلترینگ معمولاً نیازمند بررسی محتوای بسته‌ها است، و به همین دلیل این روش به فایروال‌های stateful و deep packet inspection (DPI) نیاز دارد.

فایروال‌های Proxy و Next-Generation Firewall (NGFW) برای فیلتر کردن ترافیک در این لایه استفاده می‌شوند. فایروال‌های پروکسی معمولاً ترافیک ورودی را به‌طور کامل تجزیه و تحلیل می‌کنند و درخواست‌ها را از طرف سرور به مشتری منتقل می‌کنند.

نمونه فیلتر کردن HTTP در لایه Application:

در فایروال‌های مبتنی بر iptables و nftables، می‌توان قوانینی برای مسدود کردن یا مجاز کردن ترافیک HTTP (پورت 80) و HTTPS (پورت 443) تنظیم کرد.

نمونه کد برای iptables:

برای مسدود کردن ترافیک HTTP (پورت 80):

sudo iptables -A INPUT -p tcp --dport 80 -j DROP

برای مجاز کردن ترافیک HTTPS (پورت 443):

sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT

نمونه کد برای nftables:

برای مسدود کردن ترافیک HTTP (پورت 80) و مجاز کردن ترافیک HTTPS (پورت 443):

sudo nft add rule inet filter input tcp dport 80 drop
sudo nft add rule inet filter input tcp dport 443 accept

لایه Transport – فیلتر کردن بر اساس پروتکل‌های انتقال (TCP، UDP)

لایه Transport مدل OSI مربوط به پروتکل‌های انتقال داده مانند TCP و UDP است. در این لایه، فایروال‌ها می‌توانند ترافیک را بر اساس پروتکل‌های TCP و UDP و شماره‌های پورت فیلتر کنند. فیلتر کردن در این لایه معمولاً شامل بررسی فیلدهای port number (شماره پورت) و protocol type (نوع پروتکل) در هدر بسته است.

در این لایه، فایروال‌ها می‌توانند ترافیک را براساس پورت‌های منبع و مقصد و همچنین نوع پروتکل (مثل TCP یا UDP) فیلتر کنند. به‌عنوان مثال، فایروال می‌تواند تمام ترافیک ورودی به پورت‌های خاصی را مجاز یا مسدود کند. این نوع فیلترینگ معمولاً برای مسدود کردن پورت‌های خاص که ممکن است هدف حملات شبکه باشند، بسیار مفید است.

نمونه فیلتر کردن ترافیک TCP و UDP در لایه Transport:

نمونه کد برای iptables:

برای مسدود کردن ترافیک UDP به پورت 53 (پورت DNS):

sudo iptables -A INPUT -p udp --dport 53 -j DROP

برای مجاز کردن ترافیک TCP به پورت 22 (پورت SSH):

sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT

نمونه کد برای nftables:

برای مسدود کردن ترافیک UDP به پورت 53 و مجاز کردن ترافیک TCP به پورت 22:

sudo nft add rule inet filter input udp dport 53 drop
sudo nft add rule inet filter input tcp dport 22 accept

کاربردهای فایروال‌ها در لایه‌های Application و Transport:

1. امنیت در برابر حملات سطح کاربرد: فایروال‌ها می‌توانند به‌ویژه در لایه Application برای جلوگیری از حملات Injection (مانند SQL injection)، حملات Cross-Site Scripting (XSS)، یا حملات Cross-Site Request Forgery (CSRF) استفاده شوند. این نوع حملات معمولاً در پروتکل‌های HTTP و HTTPS انجام می‌شوند.
2. مدیریت دسترسی به سرویس‌ها: فایروال‌ها می‌توانند دسترسی به سرویس‌های مختلف در لایه Application را بر اساس نوع سرویس (مانند FTP، HTTP، HTTPS، یا SMTP) فیلتر کنند و از دسترسی غیرمجاز جلوگیری کنند.
3. مدیریت ترافیک ورودی و خروجی با پورت‌ها: در لایه Transport، فایروال‌ها می‌توانند دسترسی به پورت‌های خاص را مسدود یا مجاز کنند. این قابلیت به جلوگیری از حملات Port Scanning و استفاده از پورت‌های خاص برای نفوذ به شبکه کمک می‌کند.
4. پروتکل‌های امنیتی مانند SSL/TLS: فایروال‌ها در لایه Application می‌توانند بررسی‌هایی برای پروتکل‌های امن مانند SSL/TLS انجام دهند و به این ترتیب جلوی ترافیک نامطمئن را بگیرند.
5. گزارش‌گیری و نظارت بر ترافیک: فایروال‌ها می‌توانند ترافیک ورودی و خروجی را در لایه‌های Application و Transport ثبت کنند تا در صورت وقوع حملات، شواهد دقیقی از آنها در دسترس باشد.

جمع‌بندی

فایروال‌ها در لایه‌های Application و Transport می‌توانند به‌طور مؤثری ترافیک شبکه را فیلتر کنند و از امنیت شبکه محافظت نمایند. در لایه Application، فایروال‌ها قادر به فیلتر کردن ترافیک بر اساس پروتکل‌های سطح کاربرد مانند HTTP، HTTPS و FTP هستند، در حالی که در لایه Transport، فایروال‌ها می‌توانند ترافیک را بر اساس پروتکل‌های TCP و UDP و پورت‌ها فیلتر کنند. استفاده از این قابلیت‌ها در فایروال‌ها می‌تواند به محافظت در برابر حملات پیچیده و کنترل دقیق‌تری بر ترافیک شبکه منجر شود.

1. لایه 1 – فیزیکی (Physical Layer)

در لایه فیزیکی، هیچ فیلترینگ یا اعمال قانونی به‌طور خاص در فایروال‌ها انجام نمی‌شود، زیرا این لایه مربوط به سیگنال‌ها و رسانه‌های فیزیکی انتقال داده‌هاست. در این لایه، مسائل مربوط به مدیا، کابل‌ها و اتصالات بررسی می‌شوند و بیشتر بر اساس تجهیزات سخت‌افزاری است. فایروال‌ها نمی‌توانند به‌طور مستقیم با این لایه تعامل داشته باشند.

2. لایه 2 – لینک داده (Data Link Layer)

در این لایه، فایروال‌ها می‌توانند ترافیک شبکه را بر اساس آدرس MAC (Media Access Control) فیلتر کنند. اگر نیاز به فیلتر کردن ترافیک بر اساس آدرس MAC داشته باشیم، فایروال‌ها می‌توانند قوانینی ایجاد کنند که اجازه عبور یا مسدود کردن ترافیک را بر اساس آدرس‌های سخت‌افزاری انجام دهند.

نمونه قانون فیلتر کردن بر اساس آدرس MAC با iptables:

برای مسدود کردن ترافیک از آدرس MAC مشخص:

sudo iptables -A INPUT -m mac --mac-source 00:11:22:33:44:55 -j DROP

3. لایه 3 – شبکه (Network Layer)

در لایه شبکه، فایروال‌ها می‌توانند ترافیک را بر اساس آدرس IP (منبع و مقصد) و پروتکل‌ها (مانند ICMP، TCP، UDP) فیلتر کنند. این لایه اساساً مسئول مسیریابی و هدایت بسته‌ها از مبدا به مقصد است.

نمونه قانون فیلتر کردن ترافیک بر اساس آدرس IP با iptables:

برای مسدود کردن ترافیک ورودی از یک آدرس IP خاص:

sudo iptables -A INPUT -s 192.168.1.10 -j DROP

نمونه قانون فیلتر کردن ترافیک بر اساس پروتکل ICMP با nftables:

برای مسدود کردن ترافیک ICMP (پینگ):

sudo nft add rule inet filter input icmp type echo-request drop

4. لایه 4 – انتقال (Transport Layer)

در لایه انتقال، فایروال‌ها می‌توانند ترافیک را بر اساس پروتکل‌های TCP و UDP و همچنین پورت‌ها فیلتر کنند. این لایه برای مدیریت اتصالات از طریق پورت‌ها و پروتکل‌های انتقال داده استفاده می‌شود.

نمونه قانون فیلتر کردن ترافیک TCP بر اساس پورت با iptables:

برای مسدود کردن ترافیک TCP به پورت 80 (HTTP):

sudo iptables -A INPUT -p tcp --dport 80 -j DROP

نمونه قانون فیلتر کردن ترافیک UDP بر اساس پورت با nftables:

برای مسدود کردن ترافیک UDP به پورت 53 (DNS):

sudo nft add rule inet filter input udp dport 53 drop

5. لایه 5 – نشست (Session Layer)

در لایه نشست، فایروال‌ها می‌توانند ارتباطات مختلف بین دو سیستم را مدیریت کنند. این لایه به پروتکل‌هایی مانند NetBIOS، RPC و SMB مربوط می‌شود. فایروال‌ها می‌توانند جلسات و ارتباطات موقت بین دستگاه‌ها را بررسی و کنترل کنند.

نمونه قانون مدیریت نشست‌ها با iptables:

برای مدیریت نشست‌ها، فایروال‌ها می‌توانند وضعیت نشست‌ها را بررسی کنند و تنها اتصالات معتبر را بپذیرند. به‌عنوان مثال، اجازه دادن فقط به نشست‌های موجود:

sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

6. لایه 6 – نمایش (Presentation Layer)

در این لایه، فایروال‌ها ممکن است نتوانند به‌طور مستقیم ترافیک را فیلتر کنند، زیرا این لایه بیشتر مربوط به کدگذاری، رمزگذاری و فشرده‌سازی داده‌هاست. با این حال، فایروال‌ها می‌توانند پروتکل‌های رمزگذاری شده را نظارت کرده و از دسترسی غیرمجاز به داده‌های رمزگذاری‌شده جلوگیری کنند.

7. لایه 7 – کاربرد (Application Layer)

در لایه کاربرد، فایروال‌ها می‌توانند به‌طور دقیق‌تری ترافیک را فیلتر کنند، زیرا این لایه مربوط به پروتکل‌ها و سرویس‌هایی است که کاربران با آن‌ها تعامل دارند، مانند HTTP، FTP، SMTP، و DNS. فایروال‌های Next-Generation Firewall (NGFW) و Application Layer Gateways (ALG) می‌توانند ترافیک را تجزیه و تحلیل کرده و قوانینی برای فیلتر کردن درخواست‌ها بر اساس محتوای پروتکل‌های کاربردی تنظیم کنند.

نمونه قانون فیلتر کردن HTTP با iptables:

برای مسدود کردن دسترسی به یک سایت خاص (مثلاً www.example.com) در لایه کاربرد:

sudo iptables -A OUTPUT -p tcp --dport 80 -d 93.184.216.34 -j REJECT

نمونه قانون فیلتر کردن بر اساس پروتکل FTP با nftables:

برای مسدود کردن ترافیک FTP (پورت 21):

sudo nft add rule inet filter input tcp dport 21 drop

جمع‌بندی

فایروال‌ها در لایه‌های مختلف مدل OSI می‌توانند به‌طور مؤثر ترافیک را فیلتر کنند. این فیلترینگ می‌تواند بر اساس آدرس MAC در لایه 2، آدرس IP و پروتکل‌ها در لایه 3، پورت‌ها در لایه 4، وضعیت نشست‌ها در لایه 5، و محتوای پروتکل‌ها در لایه 7 انجام شود. فایروال‌ها همچنین می‌توانند در لایه‌های بالاتر نظارت دقیق‌تری بر ترافیک شبکه داشته باشند و از نفوذ به سیستم‌ها و شبکه‌ها جلوگیری کنند.

1. نصب iptables

ابتدا باید iptables را روی سیستم خود نصب کنیم. برای نصب iptables در سیستم‌های Debian و Ubuntu، از دستور زیر استفاده می‌کنیم:

sudo apt update
sudo apt install iptables

این دستور ابتدا فهرست بسته‌های سیستم را به‌روز کرده و سپس بسته iptables را نصب می‌کند.

2. بررسی وضعیت نصب

پس از نصب، می‌توانیم وضعیت نصب و پیکربندی iptables را با دستور زیر بررسی کنیم:

sudo iptables -L

این دستور قوانین فعلی فایروال را نمایش می‌دهد. اگر تنظیمات اولیه هیچ قانونی را نشان ندهد، یعنی فایروال به‌صورت پیش‌فرض هیچ محدودیتی ندارد و ترافیک به‌طور آزاد در حال عبور است.

3. فعال‌سازی iptables به‌طور خودکار هنگام راه‌اندازی سیستم

برای اینکه قوانین iptables به‌طور خودکار هنگام راه‌اندازی مجدد سیستم فعال شوند، باید از iptables-persistent استفاده کنیم. این بسته، تنظیمات فایروال را ذخیره کرده و بعد از هر بار راه‌اندازی سیستم، آن‌ها را بارگذاری می‌کند.

برای نصب و فعال‌سازی iptables-persistent، دستور زیر را وارد کنید:

sudo apt install iptables-persistent

در هنگام نصب، از شما خواسته می‌شود که تنظیمات فعلی iptables را ذخیره کنید. برای ذخیره‌سازی و بارگذاری قوانین در راه‌اندازی مجدد سیستم، گزینه “Yes” را انتخاب کنید.

4. ذخیره کردن تنظیمات

برای ذخیره قوانین iptables به‌صورت دستی، از دستور زیر استفاده می‌کنیم:

sudo iptables-save > /etc/iptables/rules.v4

این دستور قوانین فعلی iptables را در فایل /etc/iptables/rules.v4 ذخیره می‌کند.

5. بارگذاری تنظیمات iptables پس از راه‌اندازی

برای بارگذاری تنظیمات iptables از فایل ذخیره‌شده پس از هر راه‌اندازی مجدد، از دستور زیر استفاده می‌کنیم:

sudo iptables-restore < /etc/iptables/rules.v4

6. بررسی وضعیت و قوانین iptables

برای بررسی وضعیت قوانین و ترافیک فایروال، از دستور زیر استفاده می‌کنیم:

sudo iptables -L -v

این دستور علاوه بر نمایش قوانین، میزان ترافیک ورودی و خروجی را نیز به نمایش می‌گذارد.

جمع‌بندی

در این بخش نحوه نصب و پیکربندی iptables در سیستم‌های Debian و Ubuntu را بررسی کردیم. مراحل شامل نصب iptables، فعال‌سازی خودکار آن، ذخیره و بارگذاری قوانین پس از راه‌اندازی مجدد سیستم بود. این روش‌ها برای مدیریت ترافیک شبکه و فیلترینگ بسته‌ها در سیستم‌های مبتنی بر Debian و Ubuntu استفاده می‌شوند.

1. نصب iptables

ابتدا باید iptables را روی سیستم‌های CentOS یا RHEL نصب کنیم. برای نصب iptables، از دستور زیر استفاده می‌کنیم:

sudo yum install iptables-services

این دستور بسته‌ی iptables-services را که شامل ابزارهای مورد نیاز برای مدیریت iptables در سیستم است، نصب می‌کند.

2. فعال‌سازی و شروع iptables

بعد از نصب، باید سرویس iptables را فعال کرده و آن را شروع کنیم تا بتوانیم قوانین فایروال را تنظیم کنیم. برای فعال‌سازی سرویس iptables، دستور زیر را وارد کنید:

sudo systemctl enable iptables
sudo systemctl start iptables

با این دستورات، سرویس iptables در هنگام راه‌اندازی سیستم به‌طور خودکار فعال خواهد شد.

3. بررسی وضعیت iptables

پس از فعال‌سازی سرویس، می‌توانید وضعیت قوانین فعلی iptables را با دستور زیر بررسی کنید:

sudo iptables -L

این دستور فهرستی از قوانین فعال در فایروال را نمایش می‌دهد.

4. ذخیره کردن قوانین

برای ذخیره کردن تنظیمات iptables و تضمین بارگذاری آن‌ها پس از راه‌اندازی مجدد سیستم، از دستور زیر استفاده می‌کنیم:

sudo service iptables save

این دستور تنظیمات فایروال را در فایل‌های پیکربندی ذخیره می‌کند. در سیستم‌های CentOS/RHEL، فایل‌های پیکربندی به‌طور پیش‌فرض در مسیر زیر ذخیره می‌شوند:

/etc/sysconfig/iptables

5. بارگذاری تنظیمات پس از راه‌اندازی مجدد

برای بارگذاری تنظیمات iptables از فایل ذخیره‌شده پس از هر راه‌اندازی مجدد، از دستور زیر استفاده می‌کنیم:

sudo systemctl restart iptables

این دستور تنظیمات ذخیره‌شده را از فایل پیکربندی بارگذاری می‌کند و فایروال را با قوانین جدید تنظیم می‌کند.

6. مشاهده و ویرایش قوانین

برای مشاهده قوانین ذخیره‌شده در فایروال، می‌توانید فایل پیکربندی زیر را باز کنید و مشاهده یا ویرایش کنید:

sudo vi /etc/sysconfig/iptables

این فایل شامل تمامی قوانین فایروال است که می‌توانید آن‌ها را ویرایش کنید تا با نیازهای خود هماهنگ کنید.

7. خاموش کردن یا غیرفعال کردن iptables

اگر بخواهید iptables را متوقف کرده یا غیرفعال کنید، از دستورات زیر استفاده کنید:

sudo systemctl stop iptables
sudo systemctl disable iptables

جمع‌بندی

در این بخش نحوه نصب و پیکربندی iptables در سیستم‌های CentOS و RHEL را بررسی کردیم. مراحل شامل نصب iptables، فعال‌سازی سرویس، ذخیره و بارگذاری تنظیمات پس از راه‌اندازی مجدد سیستم بود. با استفاده از این روش‌ها می‌توان ترافیک شبکه را کنترل و مدیریت کرد.

1. نصب nftables

برای نصب nftables روی سیستم‌های Debian یا Ubuntu، ابتدا باید پکیج‌های مورد نیاز را نصب کنید. این کار را می‌توان با استفاده از دستور زیر انجام داد:

sudo apt update
sudo apt install nftables

دستور apt update برای بروزرسانی فهرست پکیج‌ها و دستور apt install nftables برای نصب پکیج nftables استفاده می‌شود.

2. فعال‌سازی و شروع سرویس nftables

پس از نصب nftables، باید سرویس آن را فعال کرده و شروع کنیم تا بتوانیم قوانین فایروال را تنظیم کنیم. برای فعال‌سازی سرویس nftables از دستورات زیر استفاده می‌کنیم:

sudo systemctl enable nftables
sudo systemctl start nftables

این دستورات باعث می‌شود که سرویس nftables در هنگام راه‌اندازی مجدد سیستم به‌طور خودکار فعال شده و شروع به کار کند.

3. بررسی وضعیت nftables

برای بررسی وضعیت و قوانین فعال nftables، می‌توانید از دستور زیر استفاده کنید:

sudo nft list ruleset

این دستور تمامی قوانین فعال در nftables را نمایش می‌دهد.

4. ذخیره کردن قوانین

برای ذخیره‌سازی تنظیمات و اطمینان از اینکه قوانین nftables پس از راه‌اندازی مجدد سیستم بارگذاری می‌شوند، می‌توانید از دستور زیر استفاده کنید:

sudo nft list ruleset > /etc/nftables.conf

این دستور تنظیمات و قوانین فایروال جاری را در فایل /etc/nftables.conf ذخیره می‌کند.

5. بارگذاری تنظیمات پس از راه‌اندازی مجدد

برای بارگذاری مجدد تنظیمات nftables پس از راه‌اندازی سیستم، باید فایل پیکربندی ذخیره‌شده را از طریق دستور زیر بارگذاری کنید:

sudo systemctl restart nftables

این دستور تنظیمات ذخیره‌شده را از فایل پیکربندی /etc/nftables.conf بارگذاری کرده و قوانین فایروال را به‌روزرسانی می‌کند.

6. مشاهده و ویرایش قوانین

برای مشاهده و ویرایش قوانین فایروال nftables، می‌توانید فایل پیکربندی زیر را باز کنید:

sudo vi /etc/nftables.conf

این فایل شامل تمامی قوانین فایروال ذخیره‌شده است که می‌توانید آن‌ها را مطابق با نیازهای خود ویرایش کنید.

7. غیرفعال کردن nftables

اگر قصد دارید nftables را متوقف کرده یا غیرفعال کنید، از دستورات زیر استفاده کنید:

sudo systemctl stop nftables
sudo systemctl disable nftables

این دستورات سرویس nftables را متوقف کرده و از راه‌اندازی خودکار آن در هنگام راه‌اندازی مجدد سیستم جلوگیری می‌کنند.

جمع‌بندی

در این بخش، نحوه نصب و پیکربندی nftables بر روی سیستم‌های Debian و Ubuntu را بررسی کردیم. این مراحل شامل نصب nftables، فعال‌سازی و شروع سرویس، ذخیره‌سازی و بارگذاری تنظیمات پس از راه‌اندازی مجدد سیستم و همچنین ویرایش قوانین فایروال بود. این فرآیند به شما امکان می‌دهد تا ترافیک شبکه خود را با استفاده از nftables به‌طور مؤثر مدیریت کنید.

1. نصب nftables

ابتدا باید nftables را از مخازن رسمی CentOS و RHEL نصب کنید. برای این کار از دستور زیر استفاده می‌کنیم:

sudo yum install nftables

این دستور پکیج nftables را از مخزن‌های رسمی نصب می‌کند.

2. فعال‌سازی و شروع سرویس nftables

پس از نصب nftables، باید سرویس آن را فعال کرده و شروع کنیم. این کار را با استفاده از دستورات زیر انجام می‌دهیم:

sudo systemctl enable nftables
sudo systemctl start nftables

این دستورات باعث می‌شود که سرویس nftables به‌طور خودکار در هنگام راه‌اندازی سیستم فعال شود و شروع به کار کند.

3. بررسی وضعیت nftables

برای بررسی وضعیت و مشاهده قوانین فعال nftables، از دستور زیر استفاده کنید:

sudo nft list ruleset

این دستور تمامی قوانین فعال در nftables را نمایش می‌دهد.

4. ذخیره کردن تنظیمات nftables

برای ذخیره تنظیمات nftables و اطمینان از اینکه پس از راه‌اندازی مجدد سیستم، تنظیمات بازنشانی نشوند، از دستور زیر استفاده کنید:

sudo nft list ruleset > /etc/nftables.conf

این دستور تمامی قوانین فعال را در فایل پیکربندی /etc/nftables.conf ذخیره می‌کند.

5. بارگذاری تنظیمات پس از راه‌اندازی مجدد

برای بارگذاری مجدد تنظیمات nftables پس از راه‌اندازی مجدد سیستم، از دستور زیر استفاده کنید:

sudo systemctl restart nftables

این دستور باعث می‌شود که سرویس nftables دوباره راه‌اندازی شود و قوانین ذخیره‌شده از فایل پیکربندی /etc/nftables.conf بارگذاری شوند.

6. ویرایش قوانین nftables

برای ویرایش یا اضافه کردن قوانین جدید، می‌توانید فایل پیکربندی nftables را با ویرایشگر متن دلخواه باز کنید:

sudo vi /etc/nftables.conf

در این فایل می‌توانید قوانین جدید برای فایروال nftables بنویسید یا قوانین موجود را ویرایش کنید.

7. غیرفعال کردن nftables

اگر قصد دارید nftables را متوقف کنید یا غیرفعال کنید، از دستورات زیر استفاده کنید:

sudo systemctl stop nftables
sudo systemctl disable nftables

این دستورات سرویس nftables را متوقف کرده و از راه‌اندازی خودکار آن در هنگام راه‌اندازی مجدد سیستم جلوگیری می‌کنند.

جمع‌بندی

در این بخش، نحوه نصب و پیکربندی nftables بر روی سیستم‌های CentOS و RHEL را بررسی کردیم. این مراحل شامل نصب پکیج nftables، فعال‌سازی و شروع سرویس، ذخیره‌سازی و بارگذاری تنظیمات پس از راه‌اندازی مجدد سیستم و ویرایش قوانین فایروال بود. با این مراحل می‌توانید nftables را به‌طور مؤثر برای مدیریت ترافیک شبکه و امنیت سیستم خود پیکربندی کنید.

1. بررسی نسخه iptables

اگر از iptables برای پیکربندی فایروال استفاده می‌کنید، می‌توانید نسخه آن را با دستور زیر بررسی کنید:

sudo iptables --version

این دستور نسخه iptables و همچنین نسخه Netfilter مورد استفاده را به شما نشان می‌دهد.

خروجی این دستور چیزی مشابه به این خواهد بود:

iptables v1.8.7 (legacy)

2. بررسی نسخه nftables

اگر از nftables استفاده می‌کنید، می‌توانید نسخه آن را با دستور زیر بررسی کنید:

sudo nft --version

این دستور نسخه nftables را نشان می‌دهد. خروجی مشابه به این خواهد بود:

nftables v0.9.0 (so-called nft version)

3. بررسی نسخه هسته لینوکس و Netfilter

برای بررسی نسخه کلی Netfilter که به‌طور پیش‌فرض در هسته لینوکس موجود است، از دستور زیر می‌توانید استفاده کنید:

cat /proc/net/netfilter

این دستور می‌تواند اطلاعات مفیدی در مورد وضعیت فایروال در سیستم به شما بدهد. با این حال، برای جزئیات بیشتر بهتر است از دستورات iptables یا nftables که در بالا ذکر شده‌اند، استفاده کنید.

4. بررسی اطلاعات در مورد ماژول‌های Netfilter

اگر می‌خواهید اطلاعات بیشتری در مورد ماژول‌های Netfilter نصب‌شده در سیستم بدست آورید، از دستور زیر استفاده کنید:

lsmod | grep nf_

این دستور تمام ماژول‌های Netfilter که در هسته بارگذاری شده‌اند را نمایش می‌دهد.

جمع‌بندی

برای بررسی نسخه Netfilter نصب‌شده در سیستم، می‌توانید از ابزارهایی مانند iptables و nftables استفاده کنید. با دستوراتی مانند iptables --version و nft --version به راحتی می‌توانید نسخه‌های مربوط به این ابزارها و فایروال‌ها را مشاهده کنید. همچنین، برای مشاهده وضعیت کلی ماژول‌های Netfilter، دستورات مرتبط با هسته لینوکس نیز مفید خواهند بود.

در این بخش، تفاوت‌های نسخه‌های مختلف Netfilter را بررسی خواهیم کرد.

1. iptables (نسخه‌های اولیه)

در نسخه‌های اولیه iptables، Netfilter تنها از IPv4 پشتیبانی می‌کرد و ابزارهایی مانند iptables و ip6tables برای مدیریت ترافیک IPv4 و IPv6 به طور جداگانه توسعه یافته بودند. این نسخه‌ها در بخش‌های زیر دارای محدودیت‌هایی بودند:

• عدم یکپارچگی قوانین: برای IPv4 و IPv6 باید قوانین جداگانه تعریف می‌شد.
• پیچیدگی در مدیریت قوانین: با توجه به اینکه قوانین iptables نیاز به نوشتن دستورات طولانی داشتند، کار با این ابزارها پیچیده‌تر بود.
• عملکرد پایین‌تر: در نسخه‌های اولیه iptables، کارایی و سرعت پردازش قوانین نسبت به نسخه‌های جدیدتر کمتر بود.

2. nftables (نسخه‌های جدیدتر)

با معرفی nftables در هسته لینوکس 3.13، به تدریج بسیاری از مشکلات iptables حل شد و قابلیت‌های جدیدی اضافه گردید:

• پشتیبانی از IPv4 و IPv6 در یک ابزار: در nftables، دیگر نیازی به استفاده از دو ابزار جداگانه برای IPv4 و IPv6 نیست. شما می‌توانید قوانین مشترک را برای هر دو پروتکل در یک ابزار تعریف کنید.
• یکپارچگی بیشتر: nftables با یکپارچگی بیشتری نسبت به iptables عمل می‌کند و تمام وظایف را از یک ابزار واحد انجام می‌دهد.
• بهبود کارایی: nftables از یک معماری جدید و بهینه‌تر بهره می‌برد که عملکرد بهتری در مقایسه با iptables دارد.
• زبان و ساختار ساده‌تر قوانین: nftables دارای سینتکس ساده‌تر و کاربرپسندتری است که نوشتن و مدیریت قوانین را آسان‌تر می‌کند.
• پشتیبانی از جدول‌های بیشتر: nftables امکان تعریف جداول و زنجیره‌های پیچیده‌تری را به‌طور پیشرفته‌تر فراهم می‌کند.

3. مزایای تغییر به nftables در مقایسه با iptables

nftables نسبت به iptables مزایای مختلفی دارد که باعث شده در توزیع‌های جدید لینوکس ترجیح داده شود:

• عملکرد بهتر: nftables از تکنولوژی جدیدتری استفاده می‌کند که باعث بهبود عملکرد در پردازش قوانین می‌شود. این ابزار به طور خاص در پردازش حجم بالای ترافیک شبکه بهبود یافته است.
• پشتیبانی از پروتکل‌های مختلف: nftables به راحتی می‌تواند پروتکل‌های جدیدتر را نیز پشتیبانی کند، در حالی که iptables این قابلیت را نداشت.
• یکپارچگی با سایر ابزارها: nftables به راحتی با سایر ابزارهای فایروال مانند firewalld یکپارچه می‌شود، در حالی که iptables این توانایی را نداشت.
• دستورات ساده‌تر و قابل درک‌تر: دستورات nftables به گونه‌ای طراحی شده‌اند که خواناتر و قابل فهم‌تر از iptables هستند.

4. تغییرات در نسخه‌های مختلف Netfilter

در نسخه‌های مختلف Netfilter و nftables، تغییرات زیادی در زمینه کارایی، امنیت، و قابلیت‌ها به وجود آمده است:

• نسخه‌های اولیه nftables (تا 2015): در این نسخه‌ها، قابلیت‌های اولیه مانند یکپارچگی قوانین برای IPv4 و IPv6، و ساختار ساده‌تری برای نوشتن دستورات معرفی شد.
• نسخه‌های بعدی nftables (2015 به بعد): با گذشت زمان، قابلیت‌های بیشتری به nftables اضافه شد. این قابلیت‌ها شامل پشتیبانی از پروتکل‌های جدیدتر و بهبود عملکرد در پردازش حجم زیاد داده بود.
• نسخه‌های آینده nftables: در نسخه‌های آینده، انتظار می‌رود که nftables حتی بهتر از پیش عمل کرده و قابلیت‌هایی مانند نظارت پیشرفته‌تر بر ترافیک و ابزارهای مدیریت خودکار قوانین را بهبود بخشد.

جمع‌بندی

تفاوت‌های نسخه‌های مختلف Netfilter بیشتر در زمینه کارایی، یکپارچگی، و سهولت استفاده است. در حالی که iptables برای مدت‌ها به عنوان ابزار اصلی فایروال در لینوکس استفاده می‌شد، nftables به عنوان نسل جدید فایروال‌ها با کارایی بهتر و امکانات بیشتر وارد میدان شد. در نتیجه، nftables به عنوان انتخابی جدید برای مدیریت فایروال‌ها و قوانین شبکه در بسیاری از توزیع‌های لینوکس مورد استفاده قرار گرفته است.

1. بررسی وضعیت سرویس nftables

برای اطمینان از این که سرویس nftables در حال اجرا است، می‌توانید از دستور زیر برای بررسی وضعیت سرویس استفاده کنید:

sudo systemctl status nftables

این دستور وضعیت سرویس nftables را نمایش می‌دهد. اگر سرویس در حال اجرا باشد، شما باید چیزی مشابه زیر را مشاهده کنید:

● nftables.service - Netfilter tables
   Loaded: loaded (/lib/systemd/system/nftables.service; enabled; vendor preset: enabled)
   Active: active (exited) since Wed 2025-03-08 10:15:02 UTC; 10min ago

در صورتی که سرویس nftables فعال نباشد، می‌توانید آن را با دستور زیر راه‌اندازی کنید:

sudo systemctl start nftables

برای اطمینان از فعال بودن سرویس پس از راه‌اندازی مجدد سیستم، می‌توانید سرویس را به طور دائم فعال کنید:

sudo systemctl enable nftables

2. بررسی وضعیت جداول nftables

برای مشاهده وضعیت جداول و قوانین فعلی nftables، از دستور زیر استفاده کنید:

sudo nft list ruleset

این دستور تمامی قوانین و جداول nftables را که به صورت فعال روی سیستم شما قرار دارند نمایش می‌دهد. خروجی دستور به شما نشان می‌دهد که آیا جداول و قوانین در حال اجرا هستند یا خیر.

اگر هیچ قانونی فعال نباشد، خروجی به صورت زیر خواهد بود:

# No rules.

در غیر این صورت، شما قوانین مختلف مربوط به nftables را مشاهده خواهید کرد.

3. بررسی وضعیت تنظیمات nftables از طریق فایل پیکربندی

در بیشتر توزیع‌ها، تنظیمات nftables به صورت پیش‌فرض در فایل /etc/nftables.conf ذخیره می‌شود. برای اطمینان از اینکه تنظیمات صحیح و دلخواه شما در این فایل قرار دارند، دستور زیر را برای مشاهده محتوای فایل اجرا کنید:

cat /etc/nftables.conf

اگر این فایل موجود نباشد، می‌توانید آن را ایجاد کرده و قوانین دلخواه خود را در آن قرار دهید.

4. بررسی وضعیت ماژول‌های Netfilter

برای اطمینان از این که ماژول‌های Netfilter برای nftables در هسته لینوکس بارگذاری شده‌اند، می‌توانید از دستور زیر استفاده کنید:

lsmod | grep nf_tables

اگر ماژول nf_tables بارگذاری شده باشد، خروجی مشابه زیر را مشاهده خواهید کرد:

nf_tables             24576  0

اگر این ماژول بارگذاری نشده باشد، می‌توانید آن را به صورت دستی بارگذاری کنید:

sudo modprobe nf_tables

5. راه‌اندازی مجدد سرویس nftables

پس از اعمال هرگونه تغییر در تنظیمات یا فایل پیکربندی nftables، باید سرویس nftables را دوباره راه‌اندازی کنید تا تغییرات جدید اعمال شوند. برای این کار، از دستور زیر استفاده کنید:

sudo systemctl restart nftables

جمع‌بندی

با انجام این مراحل، شما می‌توانید از فعال بودن و تنظیمات صحیح nftables در سیستم خود اطمینان حاصل کنید. بررسی وضعیت سرویس، مشاهده قوانین فعال و بررسی ماژول‌های لازم از جمله اقداماتی است که به شما کمک می‌کند تا مطمئن شوید nftables به درستی در سیستم شما کار می‌کند.

1. تعریف ipset

ipset به شما این امکان را می‌دهد که مجموعه‌ای از آدرس‌های IP، شبکه‌ها و یا محدوده‌های IP را در یک “سِت” ذخیره کنید. این مجموعه‌ها می‌توانند به راحتی به قوانین فایروال iptables یا nftables متصل شوند تا در فیلتر کردن ترافیک از آنها استفاده شود.

یکی از مزایای بزرگ استفاده از ipset این است که شما نیازی به نوشتن قوانین پیچیده برای هر آدرس IP به صورت جداگانه ندارید. به جای آن، تنها کافی است که مجموعه‌ای از آدرس‌های IP را در یک ipset قرار دهید و سپس به راحتی آن را در فایروال مورد استفاده قرار دهید.

2. نصب ipset

قبل از استفاده از ipset، باید مطمئن شوید که این ابزار بر روی سیستم شما نصب است. در بیشتر توزیع‌های لینوکس، ipset به طور پیش‌فرض نصب نیست، اما می‌توانید به سادگی آن را نصب کنید.

برای نصب ipset در توزیع‌های Debian/Ubuntu از دستور زیر استفاده کنید:

sudo apt-get install ipset

برای نصب ipset در توزیع‌های CentOS/RHEL:

sudo yum install ipset

3. ایجاد یک ipset

برای ایجاد یک مجموعه جدید از آدرس‌های IP، از دستور زیر استفاده کنید:

sudo ipset create blocklist hash:ip

در این دستور:

• blocklist نام مجموعه‌ای است که شما ایجاد کرده‌اید.
• hash:ip نوع مجموعه است که در اینجا مشخص‌کننده‌ی ذخیره آدرس‌های IP است.

برای بررسی مجموعه‌های موجود و اطلاعات بیشتر، می‌توانید از دستور زیر استفاده کنید:

sudo ipset list

4. اضافه کردن آدرس‌های IP به ipset

برای اضافه کردن آدرس‌های IP به مجموعه‌ای که قبلاً ایجاد کرده‌اید، از دستور زیر استفاده کنید:

sudo ipset add blocklist 192.168.1.1
sudo ipset add blocklist 192.168.1.2

شما می‌توانید از آدرس‌های IP به صورت جداگانه یا از یک فایل متنی حاوی آدرس‌ها استفاده کنید تا به طور دسته‌ای آدرس‌ها را اضافه کنید. برای اضافه کردن آدرس‌های IP از یک فایل متنی:

sudo ipset restore < /path/to/iplist.txt

5. اتصال ipset به فایروال

پس از ایجاد مجموعه ipset و افزودن آدرس‌های IP به آن، می‌توانید از این مجموعه در قوانین iptables یا nftables استفاده کنید. این کار باعث می‌شود که تمام آدرس‌های موجود در مجموعه به طور خودکار تحت تأثیر قوانین فایروال قرار گیرند.

برای استفاده از ipset در iptables:

sudo iptables -I INPUT -m set --match-set blocklist src -j DROP

این دستور به تمام درخواست‌های ورودی از آدرس‌های IP موجود در مجموعه blocklist پاسخ می‌دهد و آنها را مسدود می‌کند.

برای استفاده از ipset در nftables:

sudo nft add table inet filter
sudo nft add set inet filter blocklist { type ipv4_addr; }
sudo nft add rule inet filter input ip saddr @blocklist drop

در اینجا:

• جدول inet به شما امکان می‌دهد که قوانینی را برای هر دو پروتکل IPv4 و IPv6 بنویسید.
• blocklist مجموعه‌ای است که شما برای آدرس‌های IP مشخص کرده‌اید.
• قانون فوق درخواست‌های ورودی از آدرس‌های IP موجود در مجموعه blocklist را مسدود می‌کند.

6. حذف آدرس‌های IP از ipset

اگر نیاز دارید که یک آدرس IP را از مجموعه ipset حذف کنید، از دستور زیر استفاده کنید:

sudo ipset del blocklist 192.168.1.1

برای حذف تمام آدرس‌های IP موجود در یک مجموعه:

sudo ipset flush blocklist

7. حذف مجموعه ipset

برای حذف یک مجموعه از ipset، از دستور زیر استفاده کنید:

sudo ipset destroy blocklist

جمع‌بندی

ipset ابزاری بسیار مفید برای مدیریت و فیلتر کردن دسته‌ای از آدرس‌های IP است. با استفاده از این ابزار، شما می‌توانید مجموعه‌هایی از آدرس‌ها را به راحتی مدیریت کرده و در فایروال‌ها مانند iptables و nftables از آنها استفاده کنید. استفاده از ipset در سیستم‌های با تعداد زیاد آدرس IP می‌تواند به طور چشمگیری کارایی فایروال را افزایش دهد و در مدیریت قوانین ساده‌تر و مقیاس‌پذیرتر عمل کند.

1. تعریف ebtables

ebtables ابزاری است که در لینوکس برای مدیریت و فیلتر کردن فریم‌های Ethernet در لایه ۲ استفاده می‌شود. این ابزار قادر است بر روی داده‌هایی که در شبکه به صورت فریم ارسال می‌شوند، کنترل داشته باشد و به طور خاص برای فیلتر کردن آدرس‌های MAC، پروتکل‌های لایه ۲ و دیگر ویژگی‌های مرتبط با لینک داده به کار می‌رود. به این ترتیب، ebtables می‌تواند ترافیک شبکه را پیش از رسیدن به لایه‌های بالاتر مانند لایه شبکه و انتقال (که معمولاً تحت تأثیر iptables قرار می‌گیرند) فیلتر کند.

2. مقایسه ebtables با iptables

• iptables برای فیلتر کردن ترافیک در لایه‌های شبکه (لایه ۳) و انتقال (لایه ۴) طراحی شده است، در حالی که ebtables برای فیلتر کردن داده‌ها در لایه ۲ استفاده می‌شود.
• iptables می‌تواند ترافیک IP را مدیریت کند، در حالی که ebtables با آدرس‌های MAC و فریم‌های Ethernet کار می‌کند.
• در صورتی که به فیلتر کردن فریم‌ها یا ترافیک بدون IP نیاز داشته باشید، از ebtables استفاده می‌کنید.

3. نصب ebtables

برای نصب ebtables در توزیع‌های مختلف لینوکس، می‌توانید از دستورات زیر استفاده کنید.

در Debian/Ubuntu:

sudo apt-get install ebtables

در CentOS/RHEL:

sudo yum install ebtables

4. ساختار ebtables

ebtables به مانند iptables دارای جداول (tables) و زنجیره‌ها (chains) است. جداول اصلی در ebtables شامل:

• filter: برای فیلتر کردن ترافیک.
• nat: برای ترجمه آدرس‌های MAC (معمولاً برای پروکسی و شبکه‌های مجازی).
• broute: برای مسیریابی ترافیک بر اساس فیلترهای لایه ۲.

هر جدول شامل زنجیره‌هایی است که می‌توانید قوانین مختلف را برای هر زنجیره اعمال کنید. به طور پیش‌فرض، ebtables سه زنجیره دارد:

• INPUT: برای ترافیک ورودی به سیستم.
• OUTPUT: برای ترافیک خروجی از سیستم.
• FORWARD: برای ترافیک که از سیستم عبور می‌کند.

5. نحوه استفاده از ebtables

در ebtables شما می‌توانید قوانین مشابه با iptables را برای فیلتر کردن ترافیک اعمال کنید، اما با این تفاوت که در لایه ۲ و بر اساس آدرس‌های MAC عمل می‌شود.

6. مثال‌های کاربردی از ebtables

1. مسدود کردن ترافیک با استفاده از آدرس MAC

برای مسدود کردن ترافیک از یک آدرس MAC خاص، از دستور زیر استفاده می‌کنیم:

sudo ebtables -A INPUT -s 00:11:22:33:44:55 -j DROP

این دستور همه فریم‌هایی که از آدرس MAC 00:11:22:33:44:55 می‌آیند را مسدود می‌کند.

2. اجازه دادن به ترافیک از یک آدرس MAC خاص

برای اجازه دادن به ترافیک از یک آدرس MAC خاص، می‌توانید از دستور زیر استفاده کنید:

sudo ebtables -A INPUT -s 00:11:22:33:44:55 -j ACCEPT

این دستور اجازه می‌دهد تا ترافیک از آدرس MAC مشخص‌شده از فیلتر عبور کند.

3. ترجمه آدرس MAC با استفاده از NAT

با استفاده از ebtables می‌توان آدرس‌های MAC را ترجمه کرد، مشابه به کارکرد NAT در iptables. برای مثال، برای ترجمه آدرس MAC ورودی به یک آدرس MAC دیگر:

sudo ebtables -t nat -A PREROUTING -s 00:11:22:33:44:55 -j snat --to-src 66:77:88:99:AA:BB

این دستور آدرس MAC ورودی 00:11:22:33:44:55 را به آدرس MAC 66:77:88:99:AA:BB ترجمه می‌کند.

7. حذف قوانین از ebtables

برای حذف یک قانون خاص از ebtables، می‌توانید از دستور زیر استفاده کنید:

sudo ebtables -D INPUT -s 00:11:22:33:44:55 -j DROP

این دستور، قانون مسدود کردن ترافیک از آدرس MAC 00:11:22:33:44:55 را حذف می‌کند.

جمع‌بندی

ebtables یک ابزار ضروری برای فیلتر کردن ترافیک در لایه ۲ مدل OSI است. این ابزار به ویژه برای شبکه‌هایی که به فیلتر کردن فریم‌های Ethernet نیاز دارند، کاربرد دارد. در مقایسه با iptables که به فیلتر کردن ترافیک در لایه‌های شبکه و انتقال (لایه ۳ و ۴) می‌پردازد، ebtables بر روی فریم‌ها و آدرس‌های MAC کار می‌کند. از ebtables می‌توان برای مسدود کردن ترافیک، ترجمه آدرس‌های MAC و مدیریت ترافیک شبکه‌های مجازی و پروکسی‌ها استفاده کرد.

1. چرا UFW؟

یکی از مشکلات iptables این است که برای تنظیمات پیچیده نیاز به درک کامل ساختار و نحوه کارکرد جداول، زنجیره‌ها و قوانین دارد که ممکن است برای بسیاری از کاربران دشوار باشد. اما UFW این فرایند را ساده کرده و یک رابط کاربری مناسب برای مدیریت فایروال فراهم می‌آورد.

با استفاده از UFW، شما می‌توانید به راحتی قوانین فایروال را تعریف کرده و تنظیمات مربوط به آن‌ها را انجام دهید بدون اینکه نیاز به تسلط به پیچیدگی‌های iptables داشته باشید.

2. نصب UFW

در اکثر توزیع‌های لینوکس، UFW به طور پیش‌فرض نصب نیست، بنابراین باید آن را نصب کنید.

در Debian/Ubuntu:

sudo apt-get install ufw

در CentOS/RHEL:

sudo yum install ufw

3. راه‌اندازی و فعال‌سازی UFW

برای فعال کردن UFW، پس از نصب، از دستور زیر استفاده کنید:

sudo ufw enable

این دستور فایروال را فعال کرده و از آن به‌طور پیش‌فرض برای فیلتر کردن ترافیک استفاده می‌شود. پس از فعال‌سازی، تمام ترافیک ورودی به سیستم مسدود خواهد شد، مگر اینکه قوانین خاصی را برای مجاز کردن ترافیک تعریف کنید.

4. بررسی وضعیت UFW

برای مشاهده وضعیت فعلی فایروال و بررسی اینکه آیا UFW فعال است یا خیر، از دستور زیر استفاده کنید:

sudo ufw status

این دستور، وضعیت فعلی فایروال را نشان می‌دهد و اینکه آیا ترافیک ورودی و خروجی به چه شکلی فیلتر می‌شود.

5. افزودن قوانین در UFW

برای افزودن قوانین به UFW، دستوراتی مشابه به iptables وجود دارند، اما به‌شدت ساده‌تر و کوتاه‌تر هستند.

• مجاز کردن ترافیک ورودی برای یک پورت خاص

برای اجازه دادن به ترافیک ورودی به یک پورت خاص (مثلاً پورت 80 برای وب‌سایت‌ها)، از دستور زیر استفاده می‌کنیم:

sudo ufw allow 80

• مجاز کردن ترافیک ورودی برای یک سرویس خاص

برای اجازه دادن به ترافیک از یک سرویس خاص (مانند HTTP یا SSH)، از نام سرویس استفاده کنید:

sudo ufw allow http
sudo ufw allow ssh

• مجاز کردن ترافیک ورودی برای یک آدرس IP خاص

اگر بخواهید ترافیک ورودی از یک آدرس IP خاص را مجاز کنید، از دستور زیر استفاده کنید:

sudo ufw allow from 192.168.1.100

• مسدود کردن ترافیک ورودی برای یک پورت خاص

برای مسدود کردن ترافیک ورودی به پورت خاصی، دستور زیر را وارد کنید:

sudo ufw deny 22

این دستور به‌طور خاص پورت 22 را (که برای SSH است) مسدود می‌کند.

6. حذف قوانین در UFW

اگر به هر دلیلی بخواهید قانونی که قبلاً اعمال کرده‌اید را حذف کنید، از دستور زیر استفاده کنید:

sudo ufw delete allow 80

این دستور قانونی که اجازه داده شده برای پورت 80 را حذف می‌کند.

7. بررسی قوانین موجود

برای مشاهده لیست قوانین اعمال‌شده در فایروال UFW، از دستور زیر استفاده کنید:

sudo ufw status verbose

این دستور به شما نمای کاملی از تمامی قوانینی که در UFW اعمال شده است را نشان می‌دهد.

8. پیکربندی UFW برای پذیرش ترافیک خروجی

به‌طور پیش‌فرض، UFW تمام ترافیک خروجی را مجاز می‌کند. اما اگر بخواهید این تنظیمات را تغییر دهید، از دستور زیر استفاده کنید:

sudo ufw default allow outgoing

اگر بخواهید ترافیک خروجی را مسدود کنید، از دستور زیر استفاده کنید:

sudo ufw default deny outgoing

جمع‌بندی

UFW ابزاری ساده و کاربرپسند برای مدیریت فایروال‌ها در لینوکس است که به شما این امکان را می‌دهد تا فایروال خود را بدون نیاز به آشنایی با پیچیدگی‌های iptables پیکربندی کنید. این ابزار با استفاده از دستورات ساده و آسان به شما امکان می‌دهد تا قوانین فایروال را اعمال کرده، ترافیک ورودی و خروجی را مدیریت کرده و به‌طور کلی امنیت سیستم خود را افزایش دهید. با این حال، باید توجه داشته باشید که UFW تنها یک لایه بالاتر از iptables است و در نهایت تمام دستورات به iptables ترجمه می‌شوند.

1. سرویس‌های مربوط به iptables

در توزیع‌های مختلف لینوکس، iptables به‌طور معمول به‌عنوان سرویس فایروال نصب و پیکربندی می‌شود. این سرویس به سیستم اجازه می‌دهد که قوانین فایروال را به‌صورت خودکار در هنگام بوت سیستم اعمال کند.

سرویس مربوط به iptables در سیستم‌های مبتنی بر Systemd

در توزیع‌های لینوکس جدیدتر که از systemd استفاده می‌کنند، سرویس iptables به‌صورت پیش‌فرض نصب می‌شود و می‌تواند برای بارگذاری قوانین فایروال در هنگام بوت سیستم و اعمال آن‌ها استفاده شود.

• برای بررسی وضعیت سرویس iptables، از دستور زیر استفاده می‌کنیم:

sudo systemctl status iptables

• برای فعال‌سازی سرویس iptables در هنگام بوت سیستم، از دستور زیر استفاده می‌کنیم:

sudo systemctl enable iptables

• برای شروع سرویس iptables در حال حاضر (بدون نیاز به راه‌اندازی مجدد سیستم)، از دستور زیر استفاده می‌کنیم:

sudo systemctl start iptables

• برای متوقف کردن سرویس iptables:

sudo systemctl stop iptables

• برای غیرفعال کردن سرویس iptables در هنگام بوت سیستم:

sudo systemctl disable iptables

سرویس مربوط به iptables در سیستم‌های مبتنی بر SysVinit

در برخی از توزیع‌ها که از SysVinit به جای systemd استفاده می‌کنند، سرویس iptables معمولاً به‌عنوان یک اسکریپت موجود است که می‌تواند از طریق فرمان‌های زیر کنترل شود:

• برای بررسی وضعیت سرویس iptables:

sudo service iptables status

• برای فعال‌سازی سرویس iptables در هنگام بوت سیستم:

sudo chkconfig iptables on

• برای شروع سرویس iptables:

sudo service iptables start

• برای متوقف کردن سرویس iptables:

sudo service iptables stop

2. سرویس‌های مربوط به nftables

nftables ابزار جدیدتر و پیشرفته‌تر برای مدیریت فایروال‌ها در لینوکس است که به‌طور جایگزین iptables استفاده می‌شود. این ابزار به‌طور کلی برای مدیریت فایروال در لایه‌های مختلف استفاده می‌شود و علاوه بر کنترل ترافیک ورودی و خروجی، امکان ایجاد سیاست‌های فایروالی پیچیده‌تر را فراهم می‌آورد.

سرویس مربوط به nftables در سیستم‌های مبتنی بر Systemd

در سیستم‌هایی که از systemd استفاده می‌کنند، nftables به‌طور پیش‌فرض به‌عنوان سرویس فایروال نصب شده است. با این حال، به دلیل اینکه nftables یک ابزار مدرن‌تر و بهینه‌تر است، باید از آن به‌طور مستقل استفاده کرد.

• برای بررسی وضعیت سرویس nftables، از دستور زیر استفاده می‌کنیم:

sudo systemctl status nftables

• برای فعال‌سازی سرویس nftables در هنگام بوت سیستم، از دستور زیر استفاده می‌کنیم:

sudo systemctl enable nftables

• برای شروع سرویس nftables در حال حاضر (بدون نیاز به راه‌اندازی مجدد سیستم):

sudo systemctl start nftables

• برای متوقف کردن سرویس nftables:

sudo systemctl stop nftables

• برای غیرفعال کردن سرویس nftables در هنگام بوت سیستم:

sudo systemctl disable nftables

سرویس مربوط به nftables در سیستم‌های مبتنی بر SysVinit

در سیستم‌های قدیمی‌تر که از SysVinit استفاده می‌کنند، سرویس nftables معمولاً به‌صورت دستی نصب می‌شود و می‌تواند با استفاده از اسکریپت‌های init به‌راحتی مدیریت شود.

• برای بررسی وضعیت سرویس nftables:

sudo service nftables status

• برای فعال‌سازی سرویس nftables در هنگام بوت سیستم:

sudo chkconfig nftables on

• برای شروع سرویس nftables:

sudo service nftables start

• برای متوقف کردن سرویس nftables:

sudo service nftables stop

3. مقایسه سرویس‌های مربوط به iptables و nftables

• نصب و پیکربندی: هر دو ابزار iptables و nftables به‌عنوان سرویس‌های مستقل عمل می‌کنند، اما nftables معمولاً به‌عنوان نسخه به‌روزشده و مدرن‌تر برای سیستم‌های جدیدتر پیشنهاد می‌شود.
• پشتیبانی از systemd: هر دو ابزار به‌طور کامل از systemd پشتیبانی می‌کنند و امکان مدیریت سرویس‌ها از طریق دستورات systemctl وجود دارد. در صورتی که از سیستم‌هایی استفاده می‌کنید که از SysVinit استفاده می‌کنند، ابزارهای مربوط به هرکدام از این فایروال‌ها از اسکریپت‌های init برای مدیریت سرویس‌ها استفاده می‌کنند.
• سرویس‌های پیش‌فرض: در اکثر توزیع‌های لینوکس جدید، nftables به‌عنوان سرویس پیش‌فرض برای مدیریت فایروال استفاده می‌شود، اما در سیستم‌های قدیمی‌تر و همچنین در توزیع‌هایی که به‌طور پیش‌فرض از iptables استفاده می‌کنند، ممکن است نیاز باشد که ابتدا سرویس iptables را فعال کرده و تنظیم کنید.
• ویژگی‌های پیشرفته: nftables به‌دلیل طراحی مدرن‌تر خود، امکانات پیشرفته‌تری در مقایسه با iptables ارائه می‌دهد. با این حال، در برخی از توزیع‌ها هنوز iptables به‌عنوان ابزار پیش‌فرض مدیریت فایروال شناخته می‌شود.

جمع‌بندی

در این بخش، بررسی کردیم که چگونه می‌توان سرویس‌های مربوط به iptables و nftables را مدیریت و کنترل کرد. این سرویس‌ها برای اعمال قوانین فایروال به‌طور خودکار در هنگام بوت سیستم و یا در حین اجرا طراحی شده‌اند. در حال حاضر، nftables به‌عنوان ابزار جدیدتر و پیشرفته‌تر برای مدیریت فایروال توصیه می‌شود، در حالی که iptables هنوز در بسیاری از سیستم‌ها مورد استفاده قرار می‌گیرد.

1. فعال‌سازی و راه‌اندازی iptables

1.1. نصب iptables

اگر iptables در سیستم شما نصب نشده است، ابتدا باید آن را نصب کنید. برای نصب iptables در سیستم‌های مبتنی بر Debian/Ubuntu و CentOS/RHEL به صورت زیر عمل می‌کنیم:

سیستم‌های Debian/Ubuntu:

sudo apt update
sudo apt install iptables

سیستم‌های CentOS/RHEL:

sudo yum install iptables

1.2. فعال‌سازی iptables

پس از نصب، باید سرویس iptables را فعال و راه‌اندازی کنیم. این سرویس به‌طور خودکار قوانین فایروال را در هنگام بوت سیستم بارگذاری می‌کند.

فعال‌سازی iptables در سیستم‌های مبتنی بر systemd (مثل Debian/Ubuntu و CentOS/RHEL 7 و بالاتر):

برای فعال‌سازی سرویس iptables در هنگام بوت سیستم، از دستور زیر استفاده می‌کنیم:

sudo systemctl enable iptables

برای شروع سرویس iptables در حال حاضر (بدون نیاز به راه‌اندازی مجدد سیستم)، از دستور زیر استفاده می‌کنیم:

sudo systemctl start iptables

برای بررسی وضعیت سرویس iptables:

sudo systemctl status iptables

1.3. ذخیره قوانین iptables

برای ذخیره قوانین جدید iptables به‌طور دائمی، باید از دستور زیر استفاده کنیم:

در سیستم‌های Debian/Ubuntu:

sudo iptables-save > /etc/iptables/rules.v4

در سیستم‌های CentOS/RHEL:

sudo service iptables save

1.4. غیرفعال کردن iptables

اگر نیاز به غیرفعال کردن iptables دارید، از دستور زیر استفاده کنید:

sudo systemctl stop iptables

برای غیرفعال کردن آن در هنگام بوت سیستم:

sudo systemctl disable iptables

2. فعال‌سازی و راه‌اندازی nftables

2.1. نصب nftables

در صورتی که nftables در سیستم شما نصب نشده باشد، ابتدا باید آن را نصب کنید. برای نصب nftables در سیستم‌های مبتنی بر Debian/Ubuntu و CentOS/RHEL به صورت زیر عمل می‌کنیم:

سیستم‌های Debian/Ubuntu:

sudo apt update
sudo apt install nftables

سیستم‌های CentOS/RHEL:

sudo yum install nftables

2.2. فعال‌سازی nftables

پس از نصب، باید سرویس nftables را فعال و راه‌اندازی کنیم تا بتوانیم از آن برای اعمال قوانین فایروال استفاده کنیم.

فعال‌سازی nftables در سیستم‌های مبتنی بر systemd (مثل Debian/Ubuntu و CentOS/RHEL 7 و بالاتر):

برای فعال‌سازی سرویس nftables در هنگام بوت سیستم، از دستور زیر استفاده می‌کنیم:

sudo systemctl enable nftables

برای شروع سرویس nftables در حال حاضر (بدون نیاز به راه‌اندازی مجدد سیستم)، از دستور زیر استفاده می‌کنیم:

sudo systemctl start nftables

برای بررسی وضعیت سرویس nftables:

sudo systemctl status nftables

2.3. ذخیره قوانین nftables

برای ذخیره قوانین جدید nftables به‌طور دائمی، از دستور زیر استفاده می‌کنیم:

sudo nft list ruleset > /etc/nftables.conf

این دستور قوانین جاری nftables را در فایل /etc/nftables.conf ذخیره می‌کند، به‌طوری که در هنگام بوت سیستم به‌طور خودکار اعمال شوند.

2.4. غیرفعال کردن nftables

اگر نیاز به غیرفعال کردن nftables دارید، از دستور زیر استفاده کنید:

sudo systemctl stop nftables

برای غیرفعال کردن آن در هنگام بوت سیستم:

sudo systemctl disable nftables

3. مقایسه فعال‌سازی iptables و nftables

• iptables به‌عنوان فایروال قدیمی‌تر و شناخته‌شده‌تر در سیستم‌های لینوکس استفاده می‌شود. نصب و فعال‌سازی آن به‌طور خودکار با استفاده از systemd و service قابل انجام است.
• nftables به‌عنوان فایروال جدیدتر و بهینه‌تر با ویژگی‌های بیشتر، پشتیبانی بهتری از پروتکل‌ها و قوانین پیچیده‌تر دارد. سرویس آن نیز با استفاده از systemd قابل فعال‌سازی است.

در اکثر توزیع‌های لینوکس جدید، nftables به‌عنوان فایروال پیش‌فرض توصیه می‌شود. اگرچه هنوز بسیاری از سیستم‌ها از iptables استفاده می‌کنند و در برخی موارد ممکن است به‌طور موقت یا دائمی از آن استفاده کنید.

جمع‌بندی

در این بخش، نحوه فعال‌سازی و راه‌اندازی iptables و nftables در سیستم‌های لینوکس بررسی شد. برای هر یک از این ابزارها، مراحل نصب، فعال‌سازی، ذخیره قوانین و غیرفعال‌سازی به تفصیل بیان شد. استفاده از هر یک از این فایروال‌ها بستگی به نیازها و پیکربندی سیستم شما دارد و می‌توانید از هرکدام به‌طور جداگانه استفاده کنید.

1. پیکربندی اولیه iptables

1.1. تنظیم قوانین پایه برای مدیریت ترافیک

در ابتدا، باید قوانین ابتدایی فایروال را برای فیلتر کردن ترافیک ورودی و خروجی به شبکه تنظیم کنیم. این تنظیمات به‌طور معمول شامل مجاز کردن یا مسدود کردن پورت‌ها و پروتکل‌های خاص، مجاز کردن ترافیک لوکال (از داخل سرور) و جلوگیری از دسترسی‌های غیرمجاز است.

1.1.1. پاکسازی قوانین قبلی

قبل از تنظیم قوانین جدید، بهتر است که قوانین قبلی را پاک کنیم تا از تداخل آن‌ها جلوگیری شود:

sudo iptables -F

این دستور تمامی قوانین فایروال موجود را پاک می‌کند.

1.1.2. تنظیم سیاست پیش‌فرض (Default Policy)

سیاست پیش‌فرض در ابتدا باید برای INPUT، OUTPUT و FORWARD تنظیم شود. سیاست پیش‌فرض را می‌توان به‌صورت ACCEPT یا DROP تنظیم کرد. به‌طور کلی، پیشنهاد می‌شود که سیاست پیش‌فرض را DROP قرار دهید و سپس قوانین خاص را برای مجاز کردن ترافیک وارد کنید.

sudo iptables -P INPUT DROP
sudo iptables -P OUTPUT ACCEPT
sudo iptables -P FORWARD DROP

در اینجا:

• سیاست پیش‌فرض برای INPUT (ترافیک ورودی) DROP شده است.
• سیاست پیش‌فرض برای OUTPUT (ترافیک خروجی) ACCEPT است.
• سیاست پیش‌فرض برای FORWARD (ترافیک عبوری) DROP است.

1.1.3. مجاز کردن ترافیک لوکال

برای اجازه دادن به ترافیک بین برنامه‌ها و سرویس‌های درون سرور، باید ترافیک لوکال را مجاز کنیم:

sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A OUTPUT -o lo -j ACCEPT

1.1.4. مجاز کردن ترافیک SSH (پورت 22)

برای دسترسی به سرور از راه دور با استفاده از SSH، باید ترافیک ورودی بر روی پورت 22 را مجاز کنیم:

sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT

1.1.5. ذخیره کردن قوانین

پس از پیکربندی اولیه، باید قوانین خود را ذخیره کنید تا در زمان راه‌اندازی مجدد سرور بارگذاری شوند. در سیستم‌های Debian/Ubuntu از دستور زیر استفاده می‌کنیم:

sudo iptables-save > /etc/iptables/rules.v4

در سیستم‌های CentOS/RHEL:

sudo service iptables save

2. پیکربندی اولیه nftables

2.1. تنظیم قوانین پایه برای مدیریت ترافیک

مانند iptables، برای nftables نیز باید قوانین ابتدایی برای مدیریت ترافیک تنظیم کنیم. به‌طور کلی، nftables قابلیت‌های بیشتری دارد و بهتر از iptables برای کار با قوانین پیچیده مناسب است.

2.1.1. پاکسازی قوانین قبلی

ابتدا باید قوانین قبلی را حذف کنیم تا از تداخل آن‌ها جلوگیری شود:

sudo nft flush ruleset

2.1.2. ایجاد جدول و زنجیره‌ها

برای تنظیم قوانین nftables، ابتدا باید یک جدول و زنجیره‌ها را ایجاد کنیم:

sudo nft add table inet filter
sudo nft add chain inet filter input { type filter hook input priority 0 \; }
sudo nft add chain inet filter output { type filter hook output priority 0 \; }
sudo nft add chain inet filter forward { type filter hook forward priority 0 \; }

در اینجا:

• یک جدول به نام inet و نوع filter ایجاد شده است.
• سه زنجیره برای input، output و forward در این جدول اضافه شده است.

2.1.3. تنظیم سیاست پیش‌فرض

مانند iptables، سیاست پیش‌فرض را نیز می‌توان در nftables تنظیم کرد:

sudo nft add rule inet filter input drop
sudo nft add rule inet filter output accept
sudo nft add rule inet filter forward drop

2.1.4. مجاز کردن ترافیک لوکال

برای مجاز کردن ترافیک لوکال، باید زنجیره‌های input و output را تنظیم کنیم:

sudo nft add rule inet filter input iifname "lo" accept
sudo nft add rule inet filter output oifname "lo" accept

2.1.5. مجاز کردن ترافیک SSH (پورت 22)

برای مجاز کردن دسترسی SSH بر روی پورت 22، از دستور زیر استفاده می‌کنیم:

sudo nft add rule inet filter input tcp dport 22 accept

2.1.6. ذخیره کردن قوانین

برای ذخیره قوانین به‌طور دائمی، باید آن‌ها را در فایل پیکربندی ذخیره کنیم:

sudo nft list ruleset > /etc/nftables.conf

پس از ذخیره کردن قوانین، مطمئن شوید که سرویس nftables در هنگام بوت بارگذاری می‌شود:

sudo systemctl enable nftables

جمع‌بندی

در این بخش، نحوه پیکربندی اولیه iptables و nftables برای مدیریت ترافیک شبکه شرح داده شد. این پیکربندی‌ها شامل تنظیمات پایه‌ای برای فیلتر کردن ترافیک ورودی و خروجی، مجاز کردن ترافیک SSH، مجاز کردن ترافیک لوکال و ذخیره‌سازی قوانین برای بارگذاری در هنگام بوت سیستم بودند. با تنظیم این قوانین، می‌توانید ترافیک شبکه را کنترل کرده و از امنیت سیستم خود اطمینان حاصل کنید.

برای سیستم‌های مختلف، نحوه فعال‌سازی خودکار فایروال ممکن است کمی متفاوت باشد. ما در این بخش به تنظیمات مربوط به iptables و nftables خواهیم پرداخت.

فعال‌سازی خودکار iptables

برای فعال‌سازی iptables به‌طور خودکار بعد از بوت، مراحل زیر را دنبال کنید.

1. فعال‌سازی سرویس iptables: ابتدا باید سرویس iptables را فعال کنید تا هنگام راه‌اندازی سیستم به‌طور خودکار اجرا شود.برای فعال‌سازی iptables، دستور زیر را وارد کنید:

   sudo systemctl enable iptables
   

   این دستور باعث می‌شود که سرویس iptables به‌طور خودکار هنگام بوت سیستم راه‌اندازی شود.

2. اجرای سرویس iptables: پس از فعال‌سازی سرویس، باید آن را اجرا کنید تا قوانین فایروال اعمال شوند:

   sudo systemctl start iptables
   

3. ذخیره تنظیمات iptables: برای اینکه تنظیمات فایروال در زمان بوت بارگذاری شوند، باید تنظیمات فعلی iptables را ذخیره کنید.دستور زیر را برای ذخیره تنظیمات iptables اجرا کنید:

   sudo service iptables save
   

   این دستور تنظیمات فعلی فایروال را در فایل /etc/sysconfig/iptables ذخیره می‌کند، بنابراین هنگام بوت سیستم، قوانین فایروال بارگذاری خواهند شد.

   مسیر فایل:
   /etc/sysconfig/iptables

فعال‌سازی خودکار nftables

اگر از nftables استفاده می‌کنید، فرآیند مشابهی برای فعال‌سازی خودکار وجود دارد. مراحل زیر را دنبال کنید:

1. فعال‌سازی سرویس nftables: برای فعال‌سازی nftables به‌طور خودکار بعد از بوت، دستور زیر را وارد کنید:

   sudo systemctl enable nftables
   

   این دستور باعث می‌شود که سرویس nftables به‌طور خودکار هنگام راه‌اندازی سیستم شروع به کار کند.

2. اجرای سرویس nftables: پس از فعال‌سازی سرویس، باید آن را اجرا کنید تا قوانین nftables اعمال شوند:

   sudo systemctl start nftables
   

3. ذخیره تنظیمات nftables: برای ذخیره قوانین nftables، می‌توانید از دستور زیر استفاده کنید:

   sudo nft list ruleset > /etc/nftables.conf
   

   این دستور تنظیمات فعلی nftables را در فایل /etc/nftables.conf ذخیره می‌کند تا در هنگام بوت سیستم بارگذاری شود.

   مسیر فایل:
   /etc/nftables.conf

جمع‌بندی

برای فعال‌سازی فایروال‌ها (iptables و nftables) برای شروع به کار خودکار پس از بوت سیستم، باید سرویس مربوطه را با استفاده از دستورات systemctl enable فعال کرده و پس از آن تنظیمات را ذخیره کنید. برای iptables، تنظیمات در فایل /etc/sysconfig/iptables ذخیره می‌شود و برای nftables تنظیمات در فایل /etc/nftables.conf ذخیره می‌گردد. این مراحل باعث می‌شود که فایروال‌های شما به‌طور خودکار پس از هر بار راه‌اندازی سیستم فعال شوند.

مدیریت سرویس iptables با systemctl

برای مدیریت سرویس iptables، دستورات مختلفی در دسترس هستند که به شما امکان می‌دهند وضعیت سرویس را بررسی کرده، آن را راه‌اندازی یا متوقف کنید، و همچنین برای شروع به کار خودکار آن در زمان بوت تنظیمات انجام دهید.

1. بررسی وضعیت سرویس iptables: برای بررسی وضعیت سرویس iptables (یعنی اینکه آیا فعال است یا خیر) می‌توانید از دستور زیر استفاده کنید:

   sudo systemctl status iptables
   

   این دستور اطلاعاتی مانند وضعیت سرویس (فعال یا غیرفعال) و آخرین لاگ‌ها را نمایش می‌دهد.

2. راه‌اندازی سرویس iptables: برای شروع سرویس iptables و فعال‌سازی آن به‌طور فوری (بدون راه‌اندازی مجدد سیستم) دستور زیر را وارد کنید:

   sudo systemctl start iptables
   

3. متوقف کردن سرویس iptables: برای متوقف کردن سرویس iptables می‌توانید از دستور زیر استفاده کنید:

   sudo systemctl stop iptables
   

4. فعال‌سازی خودکار سرویس iptables هنگام بوت: برای اینکه سرویس iptables به‌طور خودکار در زمان بوت فعال شود، باید آن را فعال کنید:

   sudo systemctl enable iptables
   

5. غیرفعال کردن خودکار سرویس iptables هنگام بوت: اگر دیگر نخواهید سرویس iptables به‌طور خودکار هنگام راه‌اندازی سیستم فعال شود، از دستور زیر استفاده کنید:

   sudo systemctl disable iptables
   

مدیریت سرویس nftables با systemctl

در صورتی که از nftables استفاده می‌کنید، می‌توانید از دستورات مشابه برای مدیریت سرویس nftables بهره‌برداری کنید.

1. بررسی وضعیت سرویس nftables: برای بررسی وضعیت سرویس nftables، از دستور زیر استفاده کنید:

   sudo systemctl status nftables
   

   این دستور وضعیت فعلی سرویس nftables را به نمایش می‌گذارد.

2. راه‌اندازی سرویس nftables: برای شروع سرویس nftables و اعمال تنظیمات فوری آن، دستور زیر را وارد کنید:

   sudo systemctl start nftables
   

3. متوقف کردن سرویس nftables: برای متوقف کردن سرویس nftables از دستور زیر استفاده کنید:

   sudo systemctl stop nftables
   

4. فعال‌سازی خودکار سرویس nftables هنگام بوت: برای فعال‌سازی خودکار سرویس nftables در زمان راه‌اندازی سیستم، از دستور زیر استفاده کنید:

   sudo systemctl enable nftables
   

5. غیرفعال کردن خودکار سرویس nftables هنگام بوت: اگر می‌خواهید سرویس nftables در زمان بوت راه‌اندازی نشود، از دستور زیر استفاده کنید:

   sudo systemctl disable nftables
   

جمع‌بندی

با استفاده از دستورات systemctl می‌توان به راحتی سرویس‌های iptables و nftables را مدیریت کرد. این دستورات به شما امکان می‌دهند که وضعیت سرویس‌ها را مشاهده کرده، آن‌ها را راه‌اندازی یا متوقف کنید، و همچنین تنظیمات مربوط به شروع خودکار سرویس‌ها هنگام بوت سیستم را انجام دهید. برای iptables و nftables از دستورات مشابه برای مدیریت استفاده می‌شود، و این امکان را برای شما فراهم می‌آورد که سرویس‌های فایروال خود را به‌طور مؤثر کنترل کنید.

اسکریپت‌ها می‌توانند به شما کمک کنند تا از تکرار دستی اعمال قوانین جلوگیری کنید و تنظیمات فایروال خود را به‌طور مؤثر مدیریت کنید.

اسکریپت مدیریت iptables

برای ایجاد اسکریپت مدیریت قوانین iptables، ابتدا باید قوانین فایروال خود را مشخص کنید و سپس آن‌ها را در یک اسکریپت بنویسید که قادر به اعمال آن‌ها باشد.

1. ایجاد اسکریپت iptables: برای ایجاد اسکریپت، ابتدا یک فایل متنی جدید بسازید و سپس قوانین مورد نظر را در آن قرار دهید.

   sudo nano /etc/iptables/rules.sh
   

2. نوشتن قوانین در اسکریپت: در این اسکریپت، می‌توانید قوانین پایه‌ای را برای iptables وارد کنید. به عنوان مثال، یک اسکریپت ساده که ترافیک ورودی را از همه مسدود کرده و فقط ترافیک مربوط به پورت 80 (HTTP) را اجازه می‌دهد:

   #!/bin/bash
   
   # پاک کردن تمام قوانین فعلی
   iptables -F
   
   # تنظیم پیش‌فرض برای مسدود کردن ترافیک ورودی
   iptables -P INPUT DROP
   
   # اجازه دادن به ترافیک ورودی از localhost
   iptables -A INPUT -i lo -j ACCEPT
   
   # اجازه دادن به ترافیک HTTP
   iptables -A INPUT -p tcp --dport 80 -j ACCEPT
   
   # ذخیره کردن قوانین
   iptables-save > /etc/iptables/rules.v4
   

3. اعمال اسکریپت: برای اجرای اسکریپت و اعمال قوانین فایروال، دستور زیر را وارد کنید:

   sudo bash /etc/iptables/rules.sh
   

4. فعال‌سازی اسکریپت برای اجرا در بوت: برای اینکه اسکریپت به‌طور خودکار در زمان بوت اجرا شود، باید آن را به فایل‌های راه‌اندازی سیستم اضافه کنید:

   sudo nano /etc/rc.local
   

   سپس قبل از خط exit 0، دستور زیر را اضافه کنید:

   bash /etc/iptables/rules.sh
   

اسکریپت مدیریت nftables

اگر از nftables استفاده می‌کنید، می‌توانید اسکریپت مشابهی برای اعمال قوانین بنویسید. در اینجا نمونه‌ای از اسکریپت برای مدیریت قوانین nftables آورده شده است.

1. ایجاد اسکریپت nftables: ابتدا یک فایل جدید برای اسکریپت nftables ایجاد کنید:

   sudo nano /etc/nftables/rules.sh
   

2. نوشتن قوانین در اسکریپت: در این اسکریپت، می‌توانید قوانین ابتدایی nftables را وارد کنید. به عنوان مثال، اسکریپت زیر ترافیک ورودی را از همه مسدود کرده و فقط پورت 80 (HTTP) را باز می‌کند:

   #!/bin/bash
   
   # پاک کردن تمام قوانین فعلی
   nft flush ruleset
   
   # ایجاد جدول و زنجیره‌ها
   nft add table inet filter
   nft add chain inet filter input { type filter hook input priority 0 \; policy drop \; }
   nft add chain inet filter forward { type filter hook forward priority 0 \; policy drop \; }
   nft add chain inet filter output { type filter hook output priority 0 \; policy accept \; }
   
   # اجازه دادن به ترافیک ورودی از localhost
   nft add rule inet filter input iif lo accept
   
   # اجازه دادن به ترافیک HTTP
   nft add rule inet filter input tcp dport 80 accept
   
   # ذخیره کردن قوانین
   nft list ruleset > /etc/nftables/rules.v4
   

3. اعمال اسکریپت: برای اجرای اسکریپت و اعمال قوانین، دستور زیر را وارد کنید:

   sudo bash /etc/nftables/rules.sh
   

4. فعال‌سازی اسکریپت برای اجرا در بوت: مانند iptables، برای اجرای خودکار اسکریپت در هنگام بوت، باید آن را در فایل‌های راه‌اندازی سیستم قرار دهید:

   sudo nano /etc/rc.local
   

   سپس قبل از خط exit 0، دستور زیر را اضافه کنید:

   bash /etc/nftables/rules.sh
   

جمع‌بندی

با استفاده از اسکریپت‌های مدیریت قوانین iptables و nftables می‌توان قوانین فایروال را به‌راحتی و به‌صورت خودکار اعمال کرد. این اسکریپت‌ها می‌توانند برای تنظیمات اولیه فایروال شما بسیار مفید باشند و از تکرار دستی اعمال قوانین جلوگیری کنند. با قرار دادن اسکریپت‌ها در فایل‌های راه‌اندازی سیستم، می‌توانید مطمئن شوید که قوانین شما پس از هر بوت سیستم به‌طور خودکار اعمال می‌شوند.

پیکربندی اسکریپت‌ها برای iptables

برای بارگذاری خودکار قوانین iptables پس از بوت سیستم، می‌توانید از روش‌های مختلفی استفاده کنید، از جمله استفاده از rc.local یا استفاده از systemd.

1. استفاده از rc.local برای بارگذاری قوانین iptables

ابتدا، باید اسکریپتی که قوانین را ذخیره می‌کند و سپس آن را بارگذاری می‌کند، ایجاد کرده و آن را به فایل rc.local اضافه کنید تا پس از هر بار بوت سیستم، به‌طور خودکار بارگذاری شود.

1. ایجاد اسکریپت iptables:اسکریپت را در مسیر /etc/iptables/rules.sh بسازید:

   sudo nano /etc/iptables/rules.sh
   

   محتوای اسکریپت به‌طور مثال می‌تواند به‌صورت زیر باشد:

   #!/bin/bash
   iptables-restore < /etc/iptables/rules.v4
   

2. اعمال دستورات در rc.local:فایل rc.local معمولاً برای اجرای اسکریپت‌ها پس از بوت سیستم استفاده می‌شود. فایل /etc/rc.local را ویرایش کنید:

   sudo nano /etc/rc.local
   

   سپس قبل از خط exit 0، دستور زیر را وارد کنید تا اسکریپت iptables پس از بوت اجرا شود:

   bash /etc/iptables/rules.sh
   

3. تنظیمات اجازه اجرا به اسکریپت:برای اطمینان از اینکه اسکریپت شما قابل اجرا است، دستورات زیر را وارد کنید:

   sudo chmod +x /etc/iptables/rules.sh
   

4. ذخیره کردن قوانین iptables:قبل از ریبوت سیستم، باید قوانین جاری iptables خود را ذخیره کنید تا در هنگام بوت بارگذاری شوند. دستور زیر را برای ذخیره کردن قوانین فعلی وارد کنید:

   sudo iptables-save > /etc/iptables/rules.v4
   

2. استفاده از systemd برای بارگذاری قوانین iptables

روش دیگر استفاده از systemd برای اجرای اسکریپت‌ها است.

1. ایجاد فایل سرویس systemd:ابتدا یک فایل سرویس برای اجرای اسکریپت iptables ایجاد کنید:

   sudo nano /etc/systemd/system/iptables.service
   

2. نوشتن تنظیمات فایل سرویس:در این فایل، محتویات زیر را وارد کنید:

   [Unit]
   Description=Apply iptables rules
   After=network.target
   
   [Service]
   Type=oneshot
   ExecStart=/bin/bash /etc/iptables/rules.sh
   RemainAfterExit=true
   
   [Install]
   WantedBy=multi-user.target
   

3. فعال‌سازی و شروع سرویس:پس از ایجاد فایل سرویس، آن را فعال کرده و سرویس را شروع کنید:

   sudo systemctl daemon-reload
   sudo systemctl enable iptables.service
   sudo systemctl start iptables.service
   

این سرویس اکنون پس از هر بار بوت به‌طور خودکار قوانین iptables را بارگذاری می‌کند.

پیکربندی اسکریپت‌ها برای nftables

برای بارگذاری خودکار قوانین nftables، می‌توانید از همان روش‌هایی که برای iptables توضیح داده شد، استفاده کنید. تفاوت اصلی در استفاده از nft به جای iptables است.

1. استفاده از rc.local برای بارگذاری قوانین nftables

1. ایجاد اسکریپت nftables:فایل اسکریپت خود را در مسیر /etc/nftables/rules.sh ایجاد کنید:

   sudo nano /etc/nftables/rules.sh
   

   محتوای اسکریپت می‌تواند به این شکل باشد:

   #!/bin/bash
   nft -f /etc/nftables/rules.v4
   

2. اعمال دستورات در rc.local:فایل rc.local را ویرایش کرده و دستور اجرای اسکریپت nftables را اضافه کنید:

   sudo nano /etc/rc.local
   

   قبل از خط exit 0، دستور زیر را وارد کنید:

   bash /etc/nftables/rules.sh
   

3. تنظیمات اجازه اجرا به اسکریپت:دستورات زیر را برای اطمینان از قابل اجرا بودن اسکریپت وارد کنید:

   sudo chmod +x /etc/nftables/rules.sh
   

4. ذخیره کردن قوانین nftables:برای ذخیره کردن قوانین فعلی nftables، دستور زیر را وارد کنید:

   sudo nft list ruleset > /etc/nftables/rules.v4
   

2. استفاده از systemd برای بارگذاری قوانین nftables

1. ایجاد فایل سرویس systemd:یک فایل سرویس برای nftables در مسیر /etc/systemd/system/nftables.service ایجاد کنید:

   sudo nano /etc/systemd/system/nftables.service
   

2. نوشتن تنظیمات فایل سرویس:محتویات زیر را در این فایل وارد کنید:

   [Unit]
   Description=Apply nftables rules
   After=network.target
   
   [Service]
   Type=oneshot
   ExecStart=/bin/bash /etc/nftables/rules.sh
   RemainAfterExit=true
   
   [Install]
   WantedBy=multi-user.target
   

3. فعال‌سازی و شروع سرویس:پس از ایجاد فایل سرویس، آن را فعال کرده و سرویس را شروع کنید:

   sudo systemctl daemon-reload
   sudo systemctl enable nftables.service
   sudo systemctl start nftables.service
   

با این تنظیمات، قوانین nftables پس از هر بار بوت به‌طور خودکار بارگذاری خواهند شد.

جمع‌بندی

برای بارگذاری خودکار قوانین iptables و nftables پس از بوت سیستم، می‌توانید از روش‌های مختلفی مانند استفاده از rc.local یا systemd بهره ببرید. استفاده از این روش‌ها تضمین می‌کند که قوانین فایروال شما پس از هر بار راه‌اندازی سیستم به‌طور خودکار اعمال شوند و نیازی به اعمال دستی آن‌ها نباشد.

استفاده از فایل‌های پیکربندی برای iptables

برای ذخیره و بارگذاری قوانین iptables، می‌توانید از دستورات iptables-save و iptables-restore استفاده کنید. این دستورات به شما کمک می‌کنند تا قوانین فایروال خود را در فایل‌های پیکربندی ذخیره کرده و پس از راه‌اندازی مجدد سیستم به‌طور خودکار بارگذاری شوند.

1. ذخیره قوانین iptables

برای ذخیره قوانین iptables جاری، از دستور iptables-save استفاده کنید. این دستور تمامی تنظیمات فایروال را در یک فایل پیکربندی ذخیره می‌کند.

برای ذخیره قوانین به فایل /etc/iptables/rules.v4، دستور زیر را وارد کنید:

sudo iptables-save > /etc/iptables/rules.v4

2. بارگذاری قوانین iptables پس از بوت

برای بارگذاری خودکار قوانین iptables پس از بوت، می‌توانید از systemd یا rc.local استفاده کنید.

الف) استفاده از systemd برای بارگذاری قوانین iptables

1. ایجاد فایل سرویس systemd:ابتدا یک فایل سرویس systemd برای بارگذاری قوانین iptables بسازید. این فایل در مسیر /etc/systemd/system/iptables.service قرار خواهد گرفت.

   sudo nano /etc/systemd/system/iptables.service
   

2. تنظیمات فایل سرویس:محتوای فایل سرویس به‌صورت زیر خواهد بود:

   [Unit]
   Description=Apply iptables rules
   After=network.target
   
   [Service]
   Type=oneshot
   ExecStart=/sbin/iptables-restore < /etc/iptables/rules.v4
   RemainAfterExit=true
   
   [Install]
   WantedBy=multi-user.target
   

3. فعال‌سازی سرویس systemd:پس از ایجاد فایل سرویس، آن را فعال کرده و سرویس را شروع کنید:

   sudo systemctl daemon-reload
   sudo systemctl enable iptables.service
   sudo systemctl start iptables.service
   

ب) استفاده از rc.local برای بارگذاری قوانین iptables

اگر قصد دارید از فایل rc.local برای بارگذاری قوانین iptables استفاده کنید، دستور زیر را در فایل /etc/rc.local وارد کنید:

1. ویرایش فایل rc.local:

   sudo nano /etc/rc.local
   

2. اضافه کردن دستور بارگذاری قوانین:قبل از خط exit 0، دستور زیر را اضافه کنید:

   iptables-restore < /etc/iptables/rules.v4
   

3. فعال‌سازی اجرای فایل rc.local:اطمینان حاصل کنید که فایل rc.local اجرایی باشد:

   sudo chmod +x /etc/rc.local
   

3. اطمینان از بارگذاری صحیح قوانین

برای اطمینان از اینکه قوانین به درستی بارگذاری می‌شوند، سیستم را ریبوت کنید و سپس با دستور زیر بررسی کنید که قوانین به درستی بارگذاری شده‌اند:

sudo iptables -L

استفاده از فایل‌های پیکربندی برای nftables

برای ذخیره و بارگذاری قوانین nftables، می‌توانید از دستورات nft list ruleset و nft -f برای ذخیره و بارگذاری فایل‌های پیکربندی استفاده کنید.

1. ذخیره قوانین nftables

برای ذخیره قوانین nftables جاری به فایل پیکربندی، از دستور زیر استفاده کنید:

sudo nft list ruleset > /etc/nftables/rules.v4

این دستور تمامی قوانین nftables را در فایل /etc/nftables/rules.v4 ذخیره می‌کند.

2. بارگذاری قوانین nftables پس از بوت

برای بارگذاری قوانین nftables پس از بوت، از systemd یا rc.local استفاده کنید.

الف) استفاده از systemd برای بارگذاری قوانین nftables

1. ایجاد فایل سرویس systemd:یک فایل سرویس برای nftables در مسیر /etc/systemd/system/nftables.service ایجاد کنید:

   sudo nano /etc/systemd/system/nftables.service
   

2. تنظیمات فایل سرویس:محتوای فایل سرویس به‌صورت زیر خواهد بود:

   [Unit]
   Description=Apply nftables rules
   After=network.target
   
   [Service]
   Type=oneshot
   ExecStart=/sbin/nft -f /etc/nftables/rules.v4
   RemainAfterExit=true
   
   [Install]
   WantedBy=multi-user.target
   

3. فعال‌سازی سرویس systemd:پس از ایجاد فایل سرویس، آن را فعال کرده و سرویس را شروع کنید:

   sudo systemctl daemon-reload
   sudo systemctl enable nftables.service
   sudo systemctl start nftables.service
   

ب) استفاده از rc.local برای بارگذاری قوانین nftables

1. ویرایش فایل rc.local:

   sudo nano /etc/rc.local
   

2. اضافه کردن دستور بارگذاری قوانین:قبل از خط exit 0، دستور زیر را وارد کنید:

   nft -f /etc/nftables/rules.v4
   

3. فعال‌سازی اجرای فایل rc.local:اطمینان حاصل کنید که فایل rc.local اجرایی باشد:

   sudo chmod +x /etc/rc.local
   

3. اطمینان از بارگذاری صحیح قوانین

برای اطمینان از اینکه قوانین به درستی بارگذاری می‌شوند، سیستم را ریبوت کنید و سپس با دستور زیر بررسی کنید که قوانین به درستی بارگذاری شده‌اند:

sudo nft list ruleset

جمع‌بندی

برای ذخیره و بارگذاری خودکار قوانین iptables و nftables، استفاده از فایل‌های پیکربندی، روش‌های موثری هستند. با استفاده از دستورات iptables-save و nft list ruleset، می‌توانید قوانین جاری را در فایل‌های پیکربندی ذخیره کرده و با استفاده از systemd یا rc.local آن‌ها را پس از هر بار بوت سیستم بارگذاری کنید. این کار اطمینان حاصل می‌کند که قوانین فایروال شما به‌طور دائم و خودکار اعمال شوند.

اعمال قوانین به‌طور موقت

برای اعمال قوانین به‌طور موقت در iptables یا nftables، نیازی به ذخیره‌سازی قوانین یا بارگذاری آن‌ها پس از بوت نیست. تنها کافیست قوانین را به‌طور مستقیم در ترمینال وارد کنید.

1. اعمال قوانین موقت در iptables

برای اعمال یک قانون به‌طور موقت در iptables، دستور زیر را وارد کنید:

sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT

این دستور اجازه دسترسی به پورت 80 (HTTP) را از هر IP به‌طور موقت می‌دهد. این قانون تنها تا زمانی که سیستم روشن است برقرار خواهد بود و پس از ریبوت سیستم از بین می‌رود.

2. اعمال قوانین موقت در nftables

برای اعمال یک قانون موقت در nftables، دستور زیر را وارد کنید:

sudo nft add rule inet filter input tcp dport 80 accept

این دستور مشابه دستور قبلی، اجازه دسترسی به پورت 80 را برای پروتکل TCP از هر IP می‌دهد. این قانون نیز تنها تا زمان روشن بودن سیستم اعمال می‌شود.

اعمال قوانین به‌طور دائمی

برای اعمال قوانین به‌طور دائمی، باید قوانین را ذخیره کرده و از طریق یک مکانیزم خودکار (مانند systemd یا rc.local) پس از هر بار راه‌اندازی مجدد سیستم، بارگذاری کنید.

1. اعمال قوانین دائمی در iptables

برای اعمال قوانین به‌طور دائمی در iptables، ابتدا باید قوانین را ذخیره کنید و سپس آن‌ها را پس از راه‌اندازی مجدد سیستم بارگذاری کنید.

1. ذخیره قوانین iptables:برای ذخیره قوانین در فایل، دستور زیر را وارد کنید:

   sudo iptables-save > /etc/iptables/rules.v4
   

2. بارگذاری خودکار قوانین پس از بوت:به دو روش می‌توانید قوانین را پس از بوت بارگذاری کنید:
   • استفاده از systemd: همانطور که در بخش‌های قبلی توضیح داده شد، یک فایل سرویس systemd برای بارگذاری خودکار قوانین ایجاد کنید.
   • استفاده از rc.local: دستور iptables-restore را به فایل /etc/rc.local اضافه کنید تا پس از هر بار راه‌اندازی، قوانین بارگذاری شوند.

2. اعمال قوانین دائمی در nftables

برای اعمال قوانین به‌طور دائمی در nftables، باید قوانین را در یک فایل پیکربندی ذخیره کرده و پس از بوت آن‌ها را بارگذاری کنید.

1. ذخیره قوانین nftables:برای ذخیره قوانین در فایل، دستور زیر را وارد کنید:

   sudo nft list ruleset > /etc/nftables/rules.v4
   

2. بارگذاری خودکار قوانین پس از بوت:مانند iptables، می‌توانید از systemd یا rc.local برای بارگذاری خودکار قوانین پس از بوت استفاده کنید.
   • استفاده از systemd: ایجاد یک فایل سرویس systemd مشابه آنچه که برای iptables شرح داده شد.
   • استفاده از rc.local: دستور nft -f /etc/nftables/rules.v4 را به فایل /etc/rc.local اضافه کنید تا پس از هر بار راه‌اندازی، قوانین بارگذاری شوند.

جمع‌بندی

برای اعمال قوانین فایروال به‌طور موقت، کافی است دستورهای iptables یا nftables را به‌طور مستقیم وارد کنید. این قوانین تا زمان روشن بودن سیستم باقی می‌مانند و پس از ریبوت سیستم از بین می‌روند. برای اعمال قوانین به‌طور دائمی، باید آن‌ها را در فایل‌های پیکربندی ذخیره کرده و از یک روش خودکار مانند systemd یا rc.local برای بارگذاری آن‌ها پس از راه‌اندازی مجدد سیستم استفاده کنید. این روش‌ها به شما این امکان را می‌دهند که قوانین فایروال را به‌طور دائمی بر روی سیستم خود اعمال کنید.

بررسی وضعیت سرویس فایروال با استفاده از systemctl

برای بررسی وضعیت سرویس‌های فایروال در سیستم‌هایی که از systemd استفاده می‌کنند، می‌توانید از دستور systemctl استفاده کنید. این دستور وضعیت تمامی سرویس‌های سیستم را شامل سرویس‌های فایروال نمایش می‌دهد.

1. بررسی وضعیت سرویس فایروال با استفاده از systemctl

برای بررسی وضعیت سرویس فایروال، دستور زیر را وارد کنید:

sudo systemctl status firewalld

این دستور وضعیت سرویس firewalld را نمایش می‌دهد. اگر سرویس فعال باشد، خواهید دید که وضعیت سرویس active (running) است.

2. بررسی وضعیت iptables

برای بررسی وضعیت iptables با استفاده از systemctl، دستور زیر را وارد کنید:

sudo systemctl status iptables

در صورتی که iptables در حال اجرا باشد، وضعیت سرویس باید active (running) باشد.

3. بررسی وضعیت nftables

اگر از nftables به عنوان فایروال استفاده می‌کنید، برای بررسی وضعیت سرویس nftables، دستور زیر را وارد کنید:

sudo systemctl status nftables

در صورت فعال بودن، وضعیت سرویس باید active (running) باشد.

بررسی وضعیت قوانین فایروال

برای بررسی وضعیت قوانین فایروال و مشاهده قوانین اعمال‌شده، باید از دستوراتی مانند iptables و nftables استفاده کنید.

1. بررسی وضعیت قوانین iptables

برای مشاهده قوانین فعال در iptables، از دستور زیر استفاده کنید:

sudo iptables -L

این دستور تمامی قوانین ورودی، خروجی و انتقالی سیستم را نمایش می‌دهد.

اگر بخواهید قوانین خاصی مانند قوانین برای ورودی‌ها (INPUT) را مشاهده کنید، می‌توانید دستور زیر را وارد کنید:

sudo iptables -L INPUT

2. بررسی وضعیت قوانین nftables

برای مشاهده قوانین فعال در nftables، از دستور زیر استفاده کنید:

sudo nft list ruleset

این دستور تمامی قوانین فعال در nftables را به شما نمایش می‌دهد. همچنین می‌توانید لیست خاصی از قوانین را با توجه به زبانه‌ها (tables) یا زنجیره‌ها (chains) نمایش دهید.

بررسی وضعیت فایروال در هنگام بوت

برای بررسی وضعیت فایروال در هنگام بوت، باید اطمینان حاصل کنید که سرویس فایروال به‌طور خودکار بعد از راه‌اندازی سیستم شروع می‌شود. برای انجام این کار می‌توانید از دستور systemctl is-enabled استفاده کنید.

1. بررسی وضعیت فعال بودن فایروال پس از بوت برای firewalld

sudo systemctl is-enabled firewalld

اگر خروجی enabled باشد، سرویس فایروال به‌طور خودکار بعد از بوت سیستم شروع می‌شود.

2. بررسی وضعیت فعال بودن فایروال پس از بوت برای iptables

sudo systemctl is-enabled iptables

در صورتی که خروجی enabled باشد، سرویس iptables به‌طور خودکار بعد از بوت بارگذاری می‌شود.

3. بررسی وضعیت فعال بودن فایروال پس از بوت برای nftables

sudo systemctl is-enabled nftables

اگر خروجی enabled باشد، سرویس nftables پس از بوت سیستم به‌طور خودکار بارگذاری می‌شود.

جمع‌بندی

برای بررسی وضعیت سرویس‌های فایروال در سیستم‌های مبتنی بر systemd، از دستور systemctl استفاده می‌شود. این دستور به شما کمک می‌کند تا وضعیت سرویس‌هایی مانند firewalld، iptables، یا nftables را مشاهده کنید. همچنین برای بررسی وضعیت قوانین فایروال، از دستورات iptables -L و nft list ruleset استفاده می‌شود. برای اطمینان از اینکه فایروال پس از بوت به‌طور خودکار فعال می‌شود، می‌توانید از دستور systemctl is-enabled استفاده کنید.

1. فعال‌سازی فایروال با استفاده از systemd

برای فعال‌سازی فایروال به‌صورت خودکار بعد از راه‌اندازی سیستم (در هنگام بوت)، باید سرویس فایروال را فعال کنید. این کار از طریق دستور systemctl enable انجام می‌شود.

1.1. فعال‌سازی firewalld

برای فعال‌سازی سرویس firewalld در هنگام بوت سیستم، از دستور زیر استفاده کنید:

sudo systemctl enable firewalld

با اجرای این دستور، سرویس firewalld به‌طور خودکار هنگام راه‌اندازی سیستم شروع به کار خواهد کرد.

1.2. فعال‌سازی iptables

برای فعال‌سازی سرویس iptables در هنگام بوت سیستم، دستور زیر را وارد کنید:

sudo systemctl enable iptables

این دستور سرویس iptables را به‌طور خودکار برای شروع بعد از بوت فعال می‌کند.

1.3. فعال‌سازی nftables

برای فعال‌سازی سرویس nftables در هنگام راه‌اندازی سیستم، از دستور زیر استفاده کنید:

sudo systemctl enable nftables

این دستور سرویس nftables را فعال می‌کند تا بعد از راه‌اندازی سیستم به‌طور خودکار شروع به کار کند.

2. غیرفعال‌سازی فایروال با استفاده از systemd

در برخی مواقع ممکن است نیاز به غیرفعال کردن فایروال یا سرویس آن داشته باشید. این کار به‌راحتی از طریق دستور systemctl disable انجام می‌شود.

2.1. غیرفعال‌سازی firewalld

برای غیرفعال کردن سرویس firewalld به‌طوری‌که در هنگام بوت سیستم راه‌اندازی نشود، از دستور زیر استفاده کنید:

sudo systemctl disable firewalld

با این دستور، سرویس firewalld از راه‌اندازی خودکار در هنگام بوت سیستم حذف می‌شود.

2.2. غیرفعال‌سازی iptables

برای غیرفعال کردن سرویس iptables در هنگام بوت، دستور زیر را وارد کنید:

sudo systemctl disable iptables

این دستور iptables را از راه‌اندازی خودکار در زمان بوت سیستم غیرفعال می‌کند.

2.3. غیرفعال‌سازی nftables

برای غیرفعال کردن سرویس nftables از راه‌اندازی خودکار هنگام بوت، دستور زیر را وارد کنید:

sudo systemctl disable nftables

این دستور سرویس nftables را از راه‌اندازی خودکار پس از بوت حذف می‌کند.

3. راه‌اندازی مجدد سرویس فایروال

در صورت نیاز به راه‌اندازی مجدد فایروال بعد از تغییرات یا دستورات جدید، از دستور systemctl restart استفاده می‌شود.

3.1. راه‌اندازی مجدد firewalld

برای راه‌اندازی مجدد firewalld، از دستور زیر استفاده کنید:

sudo systemctl restart firewalld

3.2. راه‌اندازی مجدد iptables

برای راه‌اندازی مجدد iptables، دستور زیر را وارد کنید:

sudo systemctl restart iptables

3.3. راه‌اندازی مجدد nftables

برای راه‌اندازی مجدد nftables، از دستور زیر استفاده کنید:

sudo systemctl restart nftables

جمع‌بندی

برای فعال‌سازی فایروال به‌طور خودکار بعد از بوت سیستم، از دستور systemctl enable استفاده می‌شود. این دستور به شما این امکان را می‌دهد که سرویس‌های فایروال مانند firewalld، iptables یا nftables را برای شروع خودکار در هنگام بوت فعال کنید. همچنین برای غیرفعال کردن این سرویس‌ها از دستور systemctl disable استفاده می‌شود. در صورتی که نیاز به راه‌اندازی مجدد سرویس‌های فایروال داشته باشید، از دستور systemctl restart بهره‌برداری می‌شود.

1. راه‌اندازی سرویس‌های iptables و nftables

برای راه‌اندازی سرویس‌های iptables و nftables از دستورات systemctl start استفاده می‌شود. این دستورات سرویس‌های فایروال را به‌طور موقت در حال اجرا قرار می‌دهند.

1.1. راه‌اندازی iptables

برای راه‌اندازی سرویس iptables، دستور زیر را وارد کنید:

sudo systemctl start iptables

این دستور سرویس iptables را شروع می‌کند. توجه داشته باشید که این سرویس تنها برای همان جلسه فعال خواهد بود و پس از راه‌اندازی مجدد سیستم، باید مجدداً فعال شود، مگر اینکه از دستور enable برای فعال‌سازی خودکار آن استفاده کنید.

1.2. راه‌اندازی nftables

برای راه‌اندازی سرویس nftables، از دستور زیر استفاده کنید:

sudo systemctl start nftables

این دستور سرویس nftables را راه‌اندازی می‌کند. مانند iptables، این سرویس نیز پس از راه‌اندازی مجدد سیستم باید مجدداً راه‌اندازی شود، مگر اینکه برای راه‌اندازی خودکار آن تنظیمات لازم انجام شده باشد.

2. توقف سرویس‌های iptables و nftables

برای متوقف کردن سرویس‌های iptables و nftables از دستور systemctl stop استفاده می‌شود. این دستورات سرویس‌های فایروال را به‌طور موقت متوقف می‌کنند.

2.1. توقف iptables

برای توقف سرویس iptables، دستور زیر را وارد کنید:

sudo systemctl stop iptables

این دستور سرویس iptables را متوقف می‌کند. با توقف سرویس، قوانین فایروال دیگر اعمال نخواهند شد تا زمانی که دوباره سرویس را راه‌اندازی کنید.

2.2. توقف nftables

برای توقف سرویس nftables، دستور زیر را وارد کنید:

sudo systemctl stop nftables

این دستور سرویس nftables را متوقف می‌کند. مانند iptables، با توقف این سرویس، قوانین فایروال اعمال نخواهند شد.

3. بررسی وضعیت سرویس‌ها

برای بررسی وضعیت سرویس‌های iptables و nftables از دستور systemctl status استفاده می‌شود. این دستور به شما وضعیت جاری سرویس را نمایش می‌دهد.

3.1. بررسی وضعیت iptables

برای بررسی وضعیت سرویس iptables، دستور زیر را وارد کنید:

sudo systemctl status iptables

این دستور وضعیت فعلی سرویس iptables را نمایش می‌دهد، از جمله اینکه آیا سرویس در حال اجرا است یا خیر.

3.2. بررسی وضعیت nftables

برای بررسی وضعیت سرویس nftables، از دستور زیر استفاده کنید:

sudo systemctl status nftables

این دستور وضعیت فعلی سرویس nftables را نمایش می‌دهد.

جمع‌بندی

برای راه‌اندازی سرویس‌های iptables و nftables، از دستور systemctl start استفاده می‌شود. این دستورات سرویس‌ها را به‌طور موقت فعال می‌کنند و برای فعال‌سازی خودکار در هنگام بوت، از دستور systemctl enable استفاده می‌شود. برای متوقف کردن سرویس‌ها، از دستور systemctl stop بهره می‌برید. همچنین، برای بررسی وضعیت سرویس‌ها از دستور systemctl status استفاده می‌شود تا وضعیت فعلی سرویس‌های فایروال را مشاهده کنید.

1. عدم نصب فایروال‌ها

یکی از رایج‌ترین مشکلات، عدم نصب صحیح فایروال‌ها است. اگر فایروال نصب نشده باشد یا به‌طور صحیح نصب نشده باشد، دستورات مربوط به سرویس‌های iptables یا nftables به‌درستی عمل نخواهند کرد.

1.1. بررسی نصب iptables

برای بررسی اینکه آیا iptables به‌درستی نصب شده است یا نه، می‌توانید دستور زیر را وارد کنید:

sudo iptables --version

اگر iptables نصب نشده باشد، پیامی مشابه به این دریافت خواهید کرد:

bash: iptables: command not found

برای نصب iptables، از دستور زیر استفاده کنید:

sudo apt install iptables   # برای سیستم‌های مبتنی بر Debian/Ubuntu
sudo yum install iptables   # برای سیستم‌های مبتنی بر CentOS/RedHat

1.2. بررسی نصب nftables

برای بررسی نصب nftables، دستور زیر را وارد کنید:

sudo nft --version

اگر nftables نصب نشده باشد، پیامی مشابه به این دریافت خواهید کرد:

bash: nft: command not found

برای نصب nftables، از دستور زیر استفاده کنید:

sudo apt install nftables   # برای سیستم‌های مبتنی بر Debian/Ubuntu
sudo yum install nftables   # برای سیستم‌های مبتنی بر CentOS/RedHat

2. عدم فعال‌سازی سرویس‌ها پس از بوت

اگر سرویس‌های iptables یا nftables پس از بوت سیستم به‌طور خودکار فعال نمی‌شوند، ممکن است دلیل آن عدم فعال‌سازی سرویس‌ها برای شروع خودکار باشد.

2.1. فعال‌سازی خودکار سرویس iptables

برای فعال‌سازی iptables برای شروع خودکار پس از بوت، از دستور زیر استفاده کنید:

sudo systemctl enable iptables

2.2. فعال‌سازی خودکار سرویس nftables

برای فعال‌سازی nftables برای شروع خودکار پس از بوت، از دستور زیر استفاده کنید:

sudo systemctl enable nftables

3. مشکل در بارگذاری قوانین فایروال

گاهی اوقات، قوانین فایروال ممکن است پس از راه‌اندازی سرویس بارگذاری نشوند. این مشکل معمولاً به دلیل پیکربندی نادرست یا فایل‌های پیکربندی آسیب‌دیده رخ می‌دهد.

3.1. بررسی فایل‌های پیکربندی iptables

فایل‌های پیکربندی iptables معمولاً در مسیر /etc/iptables/rules.v4 یا /etc/sysconfig/iptables ذخیره می‌شوند. برای بررسی و اصلاح مشکلات، از دستور زیر برای باز کردن فایل پیکربندی استفاده کنید:

sudo nano /etc/iptables/rules.v4

اگر فایل پیکربندی به‌درستی تنظیم نشده باشد، باید آن را به‌دقت بررسی کرده و تنظیمات صحیح را اعمال کنید.

3.2. بررسی فایل‌های پیکربندی nftables

فایل‌های پیکربندی nftables معمولاً در مسیر /etc/nftables.conf قرار دارند. برای بررسی و اصلاح فایل پیکربندی، از دستور زیر استفاده کنید:

sudo nano /etc/nftables.conf

اطمینان حاصل کنید که قوانین فایروال به‌درستی در این فایل نوشته شده‌اند.

4. مشکلات در فایروال‌ها به‌دلیل برخورد با سایر سرویس‌ها

در برخی موارد، فایروال‌ها ممکن است با سایر سرویس‌ها و تنظیمات شبکه تداخل داشته باشند. این مشکل معمولاً به‌دلیل هم‌زمان بودن استفاده از firewalld یا ufw و فایروال‌های دستی مثل iptables یا nftables پیش می‌آید.

4.1. غیرفعال‌سازی firewalld

اگر از firewalld استفاده می‌کنید و به مشکلاتی برخورد کرده‌اید، می‌توانید این سرویس را غیرفعال کرده و از iptables یا nftables استفاده کنید. برای غیرفعال‌سازی firewalld، دستور زیر را وارد کنید:

sudo systemctl stop firewalld
sudo systemctl disable firewalld

4.2. غیرفعال‌سازی ufw

اگر از ufw (Uncomplicated Firewall) استفاده می‌کنید، ممکن است لازم باشد این سرویس را غیرفعال کنید. برای غیرفعال‌سازی ufw، از دستور زیر استفاده کنید:

sudo ufw disable

5. بررسی مشکلات در سرویس‌های systemd

گاهی اوقات ممکن است سرویس‌های فایروال به‌دلیل مشکلات سیستم systemd به‌درستی اجرا نشوند.

5.1. بررسی وضعیت سرویس‌های فایروال

برای بررسی وضعیت سرویس‌های iptables و nftables، از دستور زیر استفاده کنید:

sudo systemctl status iptables
sudo systemctl status nftables

اگر سرویس‌ها متوقف شده یا دچار خطا شده باشند، می‌توانید پیغام خطا را مشاهده کرده و مشکلات احتمالی را رفع کنید.

5.2. بررسی لاگ‌های systemd

برای بررسی لاگ‌های سیستم و پیدا کردن مشکلات احتمالی، از دستور journalctl استفاده کنید:

sudo journalctl -u iptables
sudo journalctl -u nftables

این دستور لاگ‌های مرتبط با سرویس‌های فایروال را نمایش می‌دهد و می‌توانید از آن برای عیب‌یابی استفاده کنید.

جمع‌بندی

بررسی مشکلات احتمالی در نصب و راه‌اندازی فایروال‌ها می‌تواند شامل نصب نادرست فایروال‌ها، عدم فعال‌سازی سرویس‌ها پس از بوت، مشکلات در بارگذاری قوانین فایروال، تداخل با سایر سرویس‌ها، یا مشکلات در سرویس‌های systemd باشد. با استفاده از دستورات صحیح برای نصب، فعال‌سازی خودکار، بررسی فایل‌های پیکربندی، و بررسی وضعیت سرویس‌ها می‌توانید این مشکلات را شناسایی و رفع کنید.

در این بخش، به نحوه بررسی لاگ‌ها و خروجی‌های خطا در سیستم‌های مبتنی بر systemd خواهیم پرداخت تا بتوانید مشکلات را شناسایی و رفع کنید.

1. بررسی لاگ‌ها با استفاده از journalctl

دستور journalctl ابزاری است که برای مشاهده لاگ‌های سیستم استفاده می‌شود. این ابزار اطلاعات دقیقی از وضعیت سرویس‌ها، خطاها، و مشکلات احتمالی سیستم و فایروال‌ها ارائه می‌دهد.

1.1. بررسی لاگ‌های مربوط به iptables

برای مشاهده لاگ‌های مرتبط با سرویس iptables، از دستور زیر استفاده کنید:

sudo journalctl -u iptables

این دستور تمام لاگ‌های مرتبط با سرویس iptables را از زمان راه‌اندازی سیستم به نمایش می‌گذارد. با بررسی این لاگ‌ها، می‌توانید مشکلات مربوط به بارگذاری قوانین یا سرویس را شناسایی کنید.

1.2. بررسی لاگ‌های مربوط به nftables

برای مشاهده لاگ‌های مرتبط با nftables، از دستور زیر استفاده کنید:

sudo journalctl -u nftables

این دستور تمام لاگ‌های مربوط به nftables را نمایش می‌دهد. همچنین می‌توانید از این دستورات برای بررسی پیام‌های خطا در زمان بارگذاری قوانین استفاده کنید.

1.3. مشاهده لاگ‌های کلی سیستم

اگر به دنبال خطاهایی در سطح کلی سیستم یا فایروال‌ها هستید، می‌توانید از journalctl بدون اشاره به سرویس خاص استفاده کنید:

sudo journalctl

این دستور تمام لاگ‌های سیستم را به نمایش می‌گذارد. برای جستجو در لاگ‌ها می‌توانید از فیلترهای خاص استفاده کنید.

2. بررسی پیام‌های خطا در زمان شروع سرویس‌ها

گاهی اوقات سرویس‌های فایروال ممکن است در هنگام شروع با خطا مواجه شوند. برای شناسایی این نوع خطاها، می‌توانید از دستور systemctl برای بررسی وضعیت سرویس‌ها استفاده کنید.

2.1. بررسی وضعیت سرویس iptables

برای بررسی وضعیت سرویس iptables و دریافت جزئیات خطا در زمان راه‌اندازی، از دستور زیر استفاده کنید:

sudo systemctl status iptables

این دستور وضعیت سرویس iptables را نشان می‌دهد و در صورتی که خطایی رخ داده باشد، آن را در خروجی نمایش می‌دهد.

2.2. بررسی وضعیت سرویس nftables

برای بررسی وضعیت سرویس nftables و مشاهده هرگونه خطا، از دستور زیر استفاده کنید:

sudo systemctl status nftables

اگر خطای خاصی وجود داشته باشد، می‌توانید آن را در خروجی این دستور مشاهده کنید.

3. استفاده از لاگ‌های خاص فایروال

در برخی از سیستم‌ها، لاگ‌های خاص فایروال در فایل‌های متفاوتی ذخیره می‌شوند. این فایل‌ها معمولاً در مسیر /var/log/ قرار دارند. در زیر به بررسی برخی از فایل‌های لاگ مرتبط با فایروال می‌پردازیم.

3.1. لاگ‌های مربوط به iptables

در سیستم‌هایی که از iptables استفاده می‌کنند، لاگ‌های مربوط به فایروال ممکن است در مسیر /var/log/syslog یا /var/log/messages ذخیره شوند. برای مشاهده این لاگ‌ها از دستورات زیر استفاده کنید:

sudo cat /var/log/syslog | grep iptables

یا

sudo cat /var/log/messages | grep iptables

این دستورات لاگ‌های مربوط به iptables را از فایل‌های syslog یا messages جستجو و نمایش می‌دهند.

3.2. لاگ‌های مربوط به nftables

اگر از nftables استفاده می‌کنید، می‌توانید لاگ‌های مربوط به آن را در فایل‌های syslog یا messages پیدا کنید. برای مشاهده این لاگ‌ها از دستورات مشابه استفاده کنید:

sudo cat /var/log/syslog | grep nftables

یا

sudo cat /var/log/messages | grep nftables

این دستورات لاگ‌های مربوط به nftables را جستجو و نمایش می‌دهند.

4. استفاده از دستور dmesg برای بررسی خطاهای هسته

دستور dmesg برای مشاهده لاگ‌های هسته (kernel) استفاده می‌شود. گاهی اوقات، مشکلات مربوط به فایروال می‌تواند به هسته سیستم مربوط باشد. با استفاده از دستور زیر می‌توانید پیغام‌های هسته را بررسی کنید:

sudo dmesg | grep iptables

یا

sudo dmesg | grep nftables

این دستورات پیغام‌های خطای مربوط به iptables یا nftables را از لاگ‌های هسته نمایش می‌دهند.

5. تحلیل خروجی‌های خطا

هنگامی که خطاهای مربوط به فایروال‌ها را در لاگ‌ها مشاهده می‌کنید، معمولاً پیامی با توضیحات بیشتر در مورد مشکل نمایش داده می‌شود. به‌طور مثال:

• خطای “Permission Denied”: این خطا معمولاً به این معنی است که شما اجازه دسترسی کافی برای اعمال تغییرات در تنظیمات فایروال را ندارید. برای رفع این مشکل باید دستورات را با دسترسی sudo اجرا کنید.
• خطای “Invalid argument”: این خطا نشان‌دهنده اشتباه در نوشتن قوانین فایروال است. این مشکل معمولاً به دلیل استفاده از گزینه‌های اشتباه یا پارامترهای نامعتبر در قوانین ایجاد می‌شود.
• خطای “No such file or directory”: این خطا ممکن است به این معنی باشد که فایل پیکربندی که در آن قوانین ذخیره شده است وجود ندارد یا دسترسی به آن غیرممکن است.

جمع‌بندی

برای بررسی مشکلات مربوط به فایروال، باید از ابزارهایی مانند journalctl، systemctl، و بررسی فایل‌های لاگ سیستم استفاده کنید. این ابزارها به شما کمک می‌کنند تا پیغام‌های خطا و وضعیت سرویس‌ها را مشاهده کرده و مشکلات را شناسایی کنید. همچنین، استفاده از دستورات برای بررسی وضعیت سرویس‌ها و لاگ‌های خاص فایروال می‌تواند در عیب‌یابی موثر باشد.

1. مشکلات دسترسی و رفع آن‌ها

یکی از رایج‌ترین مشکلات در استفاده از فایروال‌ها، نبود دسترسی کافی برای انجام تنظیمات است. به‌طور معمول، برای اعمال تغییرات در فایروال، دسترسی ریشه یا sudo لازم است.

1.1. عدم دسترسی کافی برای اجرای دستورات

هنگامی که شما دستوری را برای تنظیم یا مشاهده وضعیت فایروال اجرا می‌کنید و با خطای دسترسی مواجه می‌شوید، احتمالاً از دسترسی کافی برخوردار نیستید. برای رفع این مشکل، از دستور sudo استفاده کنید.

• به‌عنوان مثال، برای اعمال تغییرات در iptables یا nftables:

sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT

یا

sudo nft add rule inet filter input tcp dport 80 accept

اگر خطای “Permission Denied” مشاهده می‌کنید، مطمئن شوید که دستور را با دسترسی sudo اجرا کرده‌اید.

1.2. مشکل با دسترسی به فایل‌های پیکربندی

اگر به‌طور مستقیم به فایل‌های پیکربندی فایروال مانند /etc/iptables/rules.v4 یا /etc/nftables.conf نیاز دارید، مطمئن شوید که به این فایل‌ها دسترسی کافی دارید.

برای ویرایش فایل‌های پیکربندی فایروال، باید از ویرایشگر متن با دسترسی ریشه استفاده کنید:

sudo nano /etc/iptables/rules.v4

یا برای nftables:

sudo nano /etc/nftables.conf

در صورت نیاز به دسترسی، می‌توانید از chmod برای تغییر مجوزهای دسترسی استفاده کنید:

sudo chmod 644 /etc/iptables/rules.v4

این دستور مجوزهای دسترسی فایل را تغییر می‌دهد تا کاربران معمولی نیز قادر به خواندن آن باشند.

2. مشکلات پیکربندی اشتباه و رفع آن‌ها

پیکربندی اشتباه یکی از شایع‌ترین مشکلات است که باعث می‌شود قوانین فایروال به درستی اعمال نشوند یا باعث قطع ارتباط‌های ضروری شوند.

2.1. بررسی قوانین فایروال

قبل از هر چیزی، باید مطمئن شوید که قوانین فایروال به درستی تنظیم شده‌اند. برای بررسی وضعیت فعلی قوانین iptables یا nftables، از دستورات زیر استفاده کنید:

• برای iptables:

sudo iptables -L -v -n

• برای nftables:

sudo nft list ruleset

این دستورات به شما نمایش می‌دهند که قوانین فایروال به چه صورت تنظیم شده‌اند و چه ترافیکی مجاز یا مسدود شده است.

2.2. مشکل در نوشتن قوانین اشتباه

گاهی اوقات، پیکربندی اشتباه در نوشتن قوانین فایروال باعث بروز مشکلات می‌شود. به‌عنوان مثال، استفاده از پارامترهای اشتباه در یک قانون ممکن است باعث شود که قانون به‌درستی اجرا نشود.

برای مثال، قانون زیر در iptables ممکن است به اشتباه نوشته شود و خطای “Invalid Argument” ایجاد کند:

sudo iptables -A INPUT -p tc --dport 80 -j ACCEPT

در اینجا، tc به اشتباه به جای tcp وارد شده است. برای اصلاح این مشکل، باید پارامترهای درست را وارد کنید:

sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT

برای nftables نیز مشابه است. به‌عنوان مثال، اگر یک قانون اشتباه بنویسید مانند:

sudo nft add rule inet filter input tcp sport 80 accept

در اینجا، پارامتر sport باید dport باشد، زیرا شما در حال تعیین پورت مقصد هستید. قانون صحیح به شکل زیر خواهد بود:

sudo nft add rule inet filter input tcp dport 80 accept

2.3. وجود قوانین متناقض یا تداخل قوانین

وجود قوانین متناقض یا تداخل قوانین در فایروال می‌تواند مشکلاتی ایجاد کند. به‌عنوان مثال، اگر قانونی اجازه دسترسی به یک پورت خاص را می‌دهد و قانونی دیگر آن را مسدود می‌کند، نتیجه ممکن است نادرست باشد.

برای حل این مشکل، باید قوانین را بررسی کرده و مطمئن شوید که تداخلی وجود ندارد. از دستور iptables -L یا nft list ruleset برای نمایش تمام قوانین فعال استفاده کنید و آن‌ها را بررسی نمایید.

2.4. نقص در تنظیمات پیش‌فرض (default policies)

گاهی اوقات، تنظیمات پیش‌فرض فایروال اشتباه است که باعث می‌شود تمام ترافیک مسدود یا اجازه داده شود. برای مثال، در iptables، باید از دستورات زیر برای تنظیم سیاست‌های پیش‌فرض استفاده کنید:

sudo iptables -P INPUT DROP
sudo iptables -P FORWARD DROP
sudo iptables -P OUTPUT ACCEPT

در nftables، می‌توانید این کار را به‌صورت زیر انجام دهید:

sudo nft add chain inet filter input { type filter hook input priority 0 \; policy drop \; }
sudo nft add chain inet filter output { type filter hook output priority 0 \; policy accept \; }
sudo nft add chain inet filter forward { type filter hook forward priority 0 \; policy drop \; }

در این حالت، تمام ترافیک ورودی و عبوری مسدود می‌شود، در حالی که ترافیک خروجی اجازه داده می‌شود.

3. بررسی مجدد پیکربندی بعد از تغییرات

پس از انجام هر گونه تغییر در پیکربندی فایروال، باید پیکربندی جدید را بارگذاری کنید. برای این کار می‌توانید از دستورات زیر استفاده کنید:

• برای iptables:

sudo iptables-save > /etc/iptables/rules.v4

• برای nftables:

sudo nft list ruleset > /etc/nftables.conf

این دستورات پیکربندی جدید را ذخیره کرده و آن را به فایل‌های پیکربندی مربوطه اضافه می‌کنند.

جمع‌بندی

برای رفع مشکلات دسترسی و پیکربندی اشتباه در فایروال‌ها، ابتدا باید اطمینان حاصل کنید که دسترسی کافی برای اجرای دستورات دارید و از sudo استفاده کنید. سپس با بررسی قوانین و پیکربندی‌های فعلی، اشتباهات احتمالی در نوشتن قوانین، وجود قوانین متناقض، یا نقص در تنظیمات پیش‌فرض را شناسایی و اصلاح کنید. همچنین، پس از انجام تغییرات، باید پیکربندی‌های جدید را ذخیره و بارگذاری کنید.

1. پرسش‌های شما، بخش مهمی از دوره است:
   هر سوال یا مشکلی که مطرح کنید، با دقت بررسی شده و پاسخ کامل و کاربردی برای آن ارائه می‌شود. علاوه بر این، سوالات و پاسخ‌های شما به دوره اضافه خواهند شد تا برای سایر کاربران نیز مفید باشد.
2. پشتیبانی دائمی و در لحظه:
   تیم ما همواره آماده پاسخگویی به سوالات شماست. هدف ما این است که شما با خیالی آسوده بتوانید مهارت‌های خود را به کار بگیرید و پروژه‌های واقعی را با اعتماد به نفس کامل انجام دهید.
3. آپدیت دائمی دوره:
   این دوره به طور مداوم به‌روزرسانی می‌شود تا همگام با نیازهای جدید و سوالات کاربران تکمیل‌تر و بهتر گردد. هر نکته جدید یا مشکل رایج، در نسخه‌های بعدی دوره قرار خواهد گرفت.

حرف آخر

با ما همراه باشید تا نه تنها به مشکلات شما پاسخ دهیم، بلکه در مسیر یادگیری و پیشرفت حرفه‌ای، شما را پشتیبانی کنیم. هدف ما این است که شما به یک متخصص حرفه‌ای و قابل‌اعتماد تبدیل شوید و بتوانید با اطمینان پروژه‌های واقعی را بپذیرید و انجام دهید.

📩 اگر سوالی دارید یا به مشکلی برخوردید، همین حالا مطرح کنید!
ما در کوتاه‌ترین زمان ممکن پاسخ شما را ارائه خواهیم داد. 🙌