بررسی كاربردی IPTables

حق چاپ ، توزیع و تغییر این سند تحت شرایط و مفاد و جواز مستند سازی GNU FREE ، نسخه یك عملی است . و این جا بخش های غیر متغیر مقدمه هستند و بخش های زیرین با متون Front - Cover مىتوانند اطلاعات محقق Oskar Andreasson را بیان كنند و متون Back - Cover استفاده نشده اند نسخه ای از این جواز در بخش جواز مستند سازی GNU FREE آمده است .
تمام دست نوشته ها در این آیین نامه با جواز عمومی GNU طراحی شده اند این دست نوشته ها منبع آزاد دارند . شما مىتوانید مجدد آنها را توزیع كنید و تحت شرایط جواز كلی GNU تغییر دهید همان طور در نهاد نرم افزاری FREE نسخه 2 جواز دیده شد. این دست نوشته ها با این امید توزیع مىشوند كه مفید واقع شوند ولی شماتتی در این جا وجود ندارد . بدون مجوز توانایی تجاری و یا تناسب اهداف خاص به این هدف دست مىیابید . جهت جزئیات بیشتر به جواز عمومی GNU مراجعه كنید .
شما باید نسخه ای از این جواز را در این آیین نامه بیابید كه تحت بخش جواز عمومی GNU آمده است . در غیر این صورت با موسسه به آدرس زیر تماس بگیرید .


اهداهای مربوطه
ابتدا مىخواهم این سند را به دوست دختر خود Ninel اهدا كنم . او بیش از آنچه كه تصور مىكردم حامی من بود . من امیدوارم كه بتوانم با این اهدا شما را نیز خوشحال كنم . دوم آنكه مایل هستم این اثر را به تمام موسسه دهندگان linux تقدیم كنم . این افراد سیستم عامل جالب را طراحی كرده اند .
 
فهرست مطالب:
در مورد مولف            چگونگی خواندن
شرط لازم            نهادهای مورد استفاده در سند
1- مقدمه     1-1 : چرا این سند نوشته شد       2-1 : چگونگی نوشتن آن
3-1 : اصطلاحات مورد استفاده                      2-آماده سازی
1-2 : درك جا iptables را بدست آوریم         2-2 : نصب kernel
3-2 : نصب در محل كاربر
1-3-2 : كامپایل برنامه های كاربر          2-3-2 : نصب بر RED HOT 7/1
3- جستجوی جداول و زنجیره ها        1-3 : كلیات       2-3 : جدول Mangle
3-3 : جدول فیلتر                              4- ماشین حالت
1-4 : مقدمه                2-4 : ورودی Conntrack
3-4 : حالات محل كاربر                    4-4 : اتصالات TCP
5-4 : اتصالات UDP                         6-4 : اتصالات ICMP
7-4 : اتصالات پیش فرض                  8-4 : ردیابی اتصال و پروتكل پیچیده
 
در مورد محقق
من دارای كامپیوترهای فراوان هستم . من یك كامپیوتر LAN دارم و تمام ماشین ها بر اینترنت وصل هستند ولی باید LAN ایمن حفظ شود . iptables جدید یك نسخه ارتقا یافته از ipchain مىتوانید یك شبكه ایمن بسازید و این امر با حذف بسته های آتی عملی است . با این وجود FTP انفعالی و یا DGE در TRC مسائلی به دنبال دارند . مسائل دندانه ای كردن در كد iptables در سطح آغازین حل نشده اند . امروزه هر كس را كه از آنها استفاده مىكند به سوی نسخه تولید كامل راهنمایی مىكنم و ipfwadm را ارتقا دارم . این كه فعلی مىتواند در صورت نیاز استفاده شود .
چگونگی خواندن :
این سند به درستی نوشته شده است . بنابراین مىتوانید به نكات جالب iptables پی ببرید . این به معنای اطلاعات خاصی در مورد اشكالات ایمنی خاص در iptables یا Netfilter نیست اگر اشكالات خاص و رفتارهایی را در iptables و هر زیر مولف یافتید با لیت پست Netfilter تماس بگیرید و سپس خواهید توانست اشكالات واقعی را بشناسید و حل كنید اشكالات ایمنی واقعی در iptable و Netfilter فراوان هستند و یك یا دو اشكال در آن واحد گزارش شده است . آنها در صفوف اصلی Netfilter آمده اند باید اطلاعات را در مورد موضوع ارائه كنند .
مىتوان گفت مجموعه قوانین موجود در این سند پیرامون اشكالات واخل Netfilter نمىباشند . هدف اصلی توصیف چگونگی نصب قوانین در یك حالت ساده است به طوری كه بتوان مسائل داخل كرد به عنوان مثال این سند نشان نمىدهد كه چگونه HTTP PORT به دلایل مفاد بسته می‌شود آنطور كه Apache در نسخه 12-2-1 گزارش كرد. این سند برای هر كس قابل استفاده است و مىتواند نشان دهد كه چگونه با iptable مىتوان كار را آغاز كرد ولی در آن واحد یك روند تكامل را نیز پیچیده است . این جا اهداف و هماهنگی ها در patch - matic بیان نمىشوند . ارتقا نیاز است . اگر اطلاعات بیشتر در مورد این ارتقا لازم دارید باید patch - matic و دیگر اسناد را در صفوف اصلی Netfilter مطالعه كنید .
شرط لازم :
این سند به معلومات در مورد linux linux ، دست نوشته لایه ای ، و چگونگی كامپایل كردن kernel و بخش درونی آن نیاز دارد .
من سعی كرده ام تا تمام شرایط را قبل از توصیف این سند بررسی كنم ولی نمىتوان تمام اطلاعات قبلی را مطرح كرد .
نهادهای مورد استفاده در این سند : این نهادهای در سند زمان دستورات ، فایل و دیگر اطلاعات خاص استفاده مىشوند .
-    گلچین كد و خروجی دستور این چنین است و تمام خروجی ها در فونت پهنای ثابت و دستور مكتوب كاربر به صورت bold هستند:
-    تمام دستورات و نام های برنامه در این سند در حالت bold هستند:
-    تمام item سیستم مانند سخت افزار و مولف درونی kernel و item  سیستم انژای مانند روابط حلقه ای كه در حالت italic آمده اند
-    خروجی كامپیوتر به شكل this way در متن ظاهر مىشوند .
-    نام فایل و مسیر در سیستم فایل به شكل ….
 
فصل 1 : مقدمه
1-1 : چرا این سند نوشته شد :
من فضای خالی بزرگی را در HOW TOS  یافتم و در آنجا اطلاعات در مورد iptable و نقش Netfilter در linux 1/4x kernel جدید كافی نبود . در بین آنها مىخواهم به سوالاتی پاسخ دهم كه در مورد احتمال جدید مانند مطابق حالت بوده اند . بخش اعظم آن به صورت فایل rc…. است كه در دست نوشته etc…. آمده است . این فایل اصولاً بر اساس ارتقای idowt. است .
یك دست نوشته كوچك در مورد اجرای برنامه و راه اندازی سیستم به صورت rc…. در دسترس است .
2-1 : چگونگی نوشتن :
من با مارك باكر و دیگران در سیستم Netfilter مشورت كردم . بسیاری از آنها در این اثر مستند به من كمك نموده اند و در این جا سعی كرده ام از سایت Fr.zentux.Net خود استفاده كنم . این سند فرآیند نصب را مرحله به مرحله نشان مىدهد و در مورد طرح iptables است . من مثالهای فایل re.Firewall و مثالهای یادگیری استفاده از iptables را نیز ارائه كرده ام در این جا باید تابع زنجیره های اصولی باشید و آنها را در كنار هم قرار دهید . به این ترتیب سند مىتواند آماده شود و روش منطقی تر را نشان دهد . هر زمان كه این درك مشكل باشد به این سند مراجعه كنید .
3-1 : اصطلاحات مورد استفاده در سند :
این سند دارای اصطلاحاتی است كه به تشریح نیاز دارند قبل از اینكه آنرا مطالعه كنید . در این بخش توصیف آنها و چگونگی انتخاب آنها در سند آمده است .
ترجمه آدرس شبكه مقصد - DNAT - روش ترجمه آدرس IP مقصد در بسته اشتاره دارد و یا تغییر آنرا نشان مىدهد . این با SNAT استفاده شد و به كاربرها در به اشتراك گذاری آدرس IP اینترنت كمك مىكند و خدمات سرویس دهنده را ارائه مىنماید. این روند با تعیین port متفاوت با آدرس IP عملی است و مسیر linux را برای ارسال ترافیك نشان مىدهد .
جریان- این اصطلاح به روابط ارسال و دریافت بسته ها در رابطه با روش جدید اشاره دارد . اصولاً این اصطلاح برای یك نوع ارتباط به كار مىرود كه دو یا چند بسته را در دو جهت ارسال مىكند . در TCP این به معنای ارتباطی است كه یك SYN را ارسال مىكند و سپس با SYN/ACK جواب مىدهد ولی ارتباط ارسالی SYN و جواب میزبان ICMP نیز مهم است . به عبارت دیگر از این اصطلاح به خوبی استفاده نمی‌كنم .
SNAT - ترجمه آدرس شبكه منبع این اصطلاح به روش ترجمه آدرس منبع به دیگری اشاره دارد . این برای چندین میزبان وجه اشتراك گذاری آدرس IP اینترنت به كار میرود زیرا نقص آدرس IP در IP 74 مطرح است ( IP 74 این را حل مىكند )
 حالت - این اصطلاح بحالت بسته طبق پروتكل كنترل انتقال RFC 793 اشاره دارد و در Netfilter/iptable به كار مىرود . توجه كنید كه حالات درونی و خارجی تابع ویژگی RFC 793 است . دلیل اصلی آن است كه Netfilter باید چندمین فرضیه در مورد ارتباط و بسته ها ارائه كند . فضای كاربر - این اصطلاح به هر چیز كه در خارج kernel روی دهد اشاره دارد به عنوان مثال تحریك iptable-h در خارج kernel است ولی iptable - A Forward p - tcp jAce Ept در kernel است زیرا قانون جدید به مجموعه قوانین اضافه می‌شود .
فضای kernel - این نكاتش برخلاف فضای كاربر است این اقدامات را در kernel نشان مىدهد و همه در خارج آن .
قلمرو كاربر - به فضای كاربر مراجعه كنید .
 
فصل 2 : آماده سازی : این فصل توصیف درك نقش Netfilter و iptable در linux است . در این جا باید كار با آزمایش آغاز شود و نصب عملی شود . با زمان كافی مىتوانید آنرا دقیقاً اجرا كنید .
1-2 : كجا به iptable دست یابیم :
بسته فضای كاربر iptables  مىتواند از آدرس زیر down load شود :
http……….
 این بسته iptable تسهیلات خاص فضای kernel را نشان مىدهد كه در طی تولید سیستم طراحی شده اند مراحل لازم به تفصیل بررسی خواهند شد .
2-2 :نصب kernel :
برای اجرای اساس iptable باید گزینه ها در kernel راه اندازی شوند و سیستم با دستورات مربوط آماده شود .
CONFIG- PAKET- این گزینه تولید برنامه را برای ارتباط كاری سیستم با ابزار شبكه نشان مىدهد . نمونه ها به صورت tcpdump و snort  است .
CONFIG- PAKET- یك نیاز برای عملكرد iptable نیست بلكه دارای موارد استعمال فراوان است . در این جا باید طرح در نظر گرفته شود . اگر آنرا نخواهید حذف مىكنید .
CONFIG - NETFILER - این گزینه در صورتی نیاز است كه بخواهید از كامپیوتر به عنوان ورود به اینترنت استفاده كنید . به عبارت دیگر این روند برای هر چیز در سند نیاز است زیرا طرح اصولی هستند . البته باید ابزار درست برای رابط اضافه شوند مانند آداپتور اینترنت ، ppp و رابط SLIP . این موارد اصول iptable هستند . شما نمىتوانید چهارچوب را به kernel  اضافه كنید . اگر از گزینه ها در iptable استفاده كنید باید نصب سیستم را در kernel انجام دهید . در این جا گزینه ها در kernel 9-4-2 آمده اند.
CONFIG -NF - FTP - این مدل در صورتی نیاز است كه بخواهید ارتباط را بر FTP برقرار كنید . جون ارتباطات FTP به راحتی در موارد طبیعی اجرا نمی‌شوند باید از helper استفاده كنید . اگر این مدل را اضافه نكنید . نمىتوانید FTP را به درستی اجرا كنید .
CONFIG- IP - NF - FPTAHLE - این گزینه در صورتی نیاز است كه یك نوع Filter یا NAT  نیاز باشد . در این جا چهارچوب شناخت iptable به kernel  اضافه می‌شود . بدون این امر نمىتوانید با iptable كاری كنید .
CONFIG -IP- NF - MATCH - LIMIT - این مدل دقیقاً نیاز نیست ولی در مثالهای rcopir…. آمده است این گزینه هماهنگی LIMIT را نشان مىدهد . باید احتمال كنترل بسته ها در نظر گرفته شود و قانون توسعه یابد . به عنوان مثال m.limit- lin 3 / lin.ld  یك هماهنگی 3 بسته را در هر دقیقه نشان می‌دهد . این مدل مىتواند برای جلوگیری از علامت انكار خدماتی استفاده شود.
CONFIG - IP - NF - MATCH- MAC - این گزینه هماهنگی بسته را بر اساس آدرس MAC نشان مىدهد . هر آداپتور اینترنت دارای آدرس MAC خاص خود است . ما بسته های بلوكی در آدرس MAC داریم و از بلوك خاص برای آدرس MAC استفاده مىكنیم . ما از این گزینه در نمونه dc.fire…. استفاده نمىكنیم .
CONFIG - IP - NF….. - این گزینه در استفاده از تطابق MARK مفید است . به عنوان مثال اگر از MARK هدف برای بسته ها استفاده شود بسته به این كه آیا بسته ها در جدول هستند یا خیر مىتوانیم هماهنگی را برقرار كنیم . این گزینه هماهنگی واقعی MARK است و مىتواند توصیف هدف واقعی MARK باشد .
CONFIG - IP - NF - MATCH - MULTIPORT - این روش به ما در تطابق بسته ها با یك سری port مقصد و منبع كمك مىكند . این ویژگی غیرممكن است ولی هماهنگی برقرار خواهد شد .
CONFIG -IP - NF- MATCH- TOP - با این هماهنگی مىتوان بسته ها را بر اساس فیلد TOS در تطابق قرار دارد . TOP به type of service  اشاره دارد TOS مىتواند با قوانین خاص در جدول قرار گیرد و از طریق دستور ipltc  اجرا شود .
CONFIG - IP- NF -MATCH- TCP MSS- این گزینه احتمال هماهنگی بسته های TCP را در فیلد MSS نشان مىدهد .
CONFIG - IP- NF-MATCH - STALE - این یكی از بزرگترین اخبار در مقایسه با ipchain است . با این مدل مىتوان هماهنگی بسته ها را عملی ساخت . به عنوان مثال اگر شاهد ترافیك در دو بعد ارتباط TCP هستیم بسته به صورت ESTABLISHED  ظاهر می‌شود . این مدل در مثال rc….  استفاده می‌شود .
CONFIG- IP- NF- MATCH- UNCLEAN - این مدل احتمال هماهنگی IP  ، TCP، UDP ، ICMP را نشان مىدهد و تطابق با یك نوع اعتبار ندارد . ما مىتوانیم این بسته ها را حذف كنیم ولی نمىدانیم كه آیا این كار درست است . توجه كنید كه این هماهنگی تجربی است و نمىتوان در تمام موارد كامل باشد.
CONFIG - IP - NF - FILTER -  این مدل اساس جدول Filter است و مىتواند فیلتر IP را انجام دهد در این فیلتر مىتوان زنجیره Forward , Input و Output را  یافت . این مدل در صورتی نیاز است كه طراحی بسته برای ارسال و دریافت انجام شود .
CONFIG - IP - NF- TARGET - REJECT - این هدف به شما كمك مىكند تا مشخص كنید كه پیام خطای ICMP باید در پاسخ نسبت به بسته‌های بعدی ارسال شود  در این جا حذف مهم است . در خاطر داشته باشید كه روابط TCP برخلاف ICMP , UDP مىتوانند انكار با بسته TCPRSS باشند.
CONFIG -IP -NF- TARGET- MIRROR - این به بسته ها در برگشت به موسسه با بسته كمك مىكند . به عنوان مثال اگر یك هدف MIRROR بر مقصد HTTP  نصب شود و یا زنجیره  INPUT مشخص گردد دسترسی به port عملی است و باید بسته ها دوباره به صفوف home برگردند و در آنجا رویت شوند .
CONFIG - IP - NF- NAT - این مدل به ترجمه آدرس شبكه یا NAT در اشكال متفاوت كمك مىكند این گزینه دسترسی به iptable را عملی می‌سازد . این گزینه در صورتی نیاز است كه بخواهیم ارسال و تغییر port را انجام دهیم. توجه كنید كه این گزینه برای Firealling و ارسال LAN نیاز نیست بلكه باید در اختیار باشد مگر اینكه بتوانیم آدرس خاص IP را برای تمام میزبان ها ارسال كنیم . بنابراین این گزینه برای دست نوشته rc.fire…. به كار مىرود و در ثورتی شبكه مشخص خواهد شد كه توانایی آدرس IP از بین برود.
CONFIG- IP - NF - TARGET - MASQUERAD - این گزینه هدف MASQUERAD را اضافه مىكند. به عنوان مثال اگر ندانید كه IP چه باید انجام دهد بهتر است كه آنرا بدست آورید و از DNAT  یا  SNAT استفاده كنید . به عبارت دیگر اگر از PPP , DHCP یا  SLIP یا دیگر روابط تعیین كننده IP استفاده مىكنید باید از این هدف به جای SNAT استفاده شود Masquerading  بارباراتر را بر كامپیوتر نسبت به NAT  نشان مىدهد ولی باید IP آدرس را از قبل نشان دهد .
CONFIG-IP-NF-TARGET-NEPIRECT - این هدف با prong برنامه مفید است . به جای این كه بسته عبور كند باید به جعبه داخلی ببریم . به عبارت دیگر احتمال prong شفاف وجود دارد .
CONFIG-IP-NF-TARGET-LOG - این برنامه هدف LOGو نقش آنرا به iptables اضافه مىكند . از این گزینه برای LOG بسته های خالی استفاده می‌شود و باید دید در بسته چه اتفاقی مىافتد این برای   و شكای زدایی دست نوشته كه آنرا مىنویسیم نیاز است .
CONFIG- IP- NF- TARGET- TCPMSS - این گزینه مىتواند برای شمارش ارائه دهنده خدماتی اینترنت و سرویس دهنده هایی استفاده شود كه بسته های تجزیه ICMP را كاهش داده اند این خود باعث می‌شود صفحات وب در دسترس قرار گیرند . پت كوچك نیز با بخش بزرگتر عملی است مانند SCP بعد از اینكه طرح معرفی شد ما از هدف TCPMSS برای غلبه بر این مسئله استفاده خواهیم كرد و باید MSS ( اندازه قطعه ماكزیمم ) به DMTU اضافه شود ( واحد انتقال ماكزیمم مسیر ) . این روش مىتواند كنترل Netfilter را نشان دهد و تابع ISP و سرویس دهنده خدماتی در سیستم kernel فراخوانی شود .
CONFIG- IP- NF- COMPAT- IPCHAINS - این گزینه یك مد سازگاری را با ipchains اضافه مىكند . به این مورد توجه نكنید و راه حل بلند مدت را در حل حركت از linux 2/2 به 2/4 ارائه كنید . این جا kernel 2/6 استفاده خواهد شد .
همان طور كه مىتوان دید یك سری گزینه معرفی شده است . در این جا باید دید چه نوع رفتارهای مازادی از مدلها حاصل مىشوند اینها تنها گزینه ها در linux 2,4,9, kernel هستند . اگر بخواهید به این گزینه ها توجه كنید باید تابع patch - o- matic در Netfilter را در نظر داشته باشید و به گزینه ها در kernel توجه كنید . تثبیت POM نیز مىتواند در kernel عملی شود و باید بتوان به kernel دست یافت . این توابع باید در آینده اضافه شوند ولی هنوز ساخته نشده اند . این خود دلایل متفاوت دارد مانند مسیر غیر ثابت به  linux torvalds كه نمىتواند حفظ شود و یا مسیر به kernel جریان اصلی كه هنوز آزمایشی است .
شما به گزینه های زیر به صورت كامپایل در kernel نیاز دارید تا دست نوشته rc…. را اجرا كنید . اگر به گزینه هایی نیاز دارید كه در دیگر دست نوشته ها نیاز هستند به بخش دست نوشته زیر مراجعه كنید .
برنامه
در میزان حداقل باید از دست نوشته rc.Firewall.txt استفاده شود . در دیگر مثالها نشان مىدهم كه چه نوع شرطی در این بخش نیاز است . اكنون باید دست نوشته اصلی مورد مطالعه در نظر باشد .
3-2 : نصب محل كاربر : 
اول از همه باید دید كه چگونه بسته های iptable كامپایل مىشوند باید دید كه در بیشتر سیستم ها و كامپایل iptable باید سیستم و كامپایل kernel صورت گیــــرد . تــــوزیع خاص نیز در بسته iptable عملی است و یكی از آنها RED HAT است . با این وجود RED HAT در هر پیش فرضی غیر فعال است . اكنون باید دید كه چگونه این توزیعات در این فصل بررسی خواهند شد.
1-3-2 : كامپایل برنامه های قلمرو كاربر :
نخست آنكه باید بسته های iptables آزاد شوند . در این جا از iptables 1/26 a و vanilla 2/4 kernel استفاده می‌شود . باز كردن بسته با استفاده از hzip 2 ,…. صورت مىگیرد (این مىتواند با tar - xjvf…. عملی شود كه باید یك دستور مانند دستور اول داشته باشد و با این وجود این با نسخه tar دیده نشده است ).طرح باید به درستی در دایركتوری به نام iptables…. قرار گیرد. برای اطلاعات بیشتر باید iptables….  را بتوانید كه حاوی اطلاعات مفید در مورد كامپایل و دسترسی به اجرای برنامه است . بعد از این باید گزینه طراحی و نصب مدل اضافی برای kernel در نظر گرفته شود . مرحله مورد توصیف كنترل و نصب بخش های استاندارد است كه در kernel در نظر گرفته شده اند. این روند با كمك طرح اجرای عملی است .
بعضی از این طرح ها آزمایشی هستند و مىتوانند برای نصب مفید باشند . با این وجود باید هماهنگی جالب و اهداف در مرحله نصب صورت گیرد و این خود به روند خاص نیاز دارد برای انجام این مرحله باید این شكل از بسته iptables معرفی شود .
تولید patch فوریKERNEL- DIR/ USR/ SRC/ linux
متغییر KERNEL- DIR باید به محل واقعی اشاره كند كه منبع kernel شما در آن واقع است . به طور طبیعی این به صورت usr/src… است ولی مىتواند متغییر باشد و شاید در این منبع kernel در اختیار باشد .
این خود patch خاص را در مورد ورود به kernel گزارش مىكند . patch بیشتر نیز توسط توسعه دهنده Netfilter مىتواند به kernel اضافه شود . این روند به طور واقعی انجام می‌شود یك روش نصب دستور زیر است . 
برنامه
دستور فوق در مورد نصب قطعات دنیای Netfilter است كه patch - o- metic نام دارد ولی حذف patch اضافی نیز عملی است .
توجه كنید كه این بدان علت است كه این دستورات واقعی اجرا مىشوند آنها قبل از این كه چیزی در منبع kernel تغییر كند مورد سوال قرار گیرند برای نصب تمام patch - o- metic باید دستور زیر اجرا شود .
برنامه
فراموش نكنید كه هر patch را بطور كامل قبل از روند اجرا مطالعه كنید . بعضی از آنها patch دیگر را تخریب مىكنند ولی مابقی kernel را تخریب مىكنند در صورتی كه با patch در patch - o- metic استفاده شوند.
نكته :شما مىتوانید مراحل فوق را نادیده بگیرد در صورتی كه نخواهید kernel را جمع كنید و به عبارت دیگر لازم نیست موارد فوق را انجام دهید . با این وجود چیزهای جالب در patch - o- metic وجود دارد كه مىتوانید جستجو كنید . بنابراین دستور اجرایی غلط نیز در نظر گرفته می‌شود .
بعد از این باید قطعه patch - o- metic نصب كامل شود و شما اكنون مىتوانید یك kernel جدید را كامپایل كنید و از patch جدید برای اضافه كردن به منبع استفاده كنید سیستم باید طراحی شود و در این جا باید گزینه ها اضافه شوند . باید صبر كنید تا كامپایل كامل شود تا این كه iptable برنامه اجرا شود.
كار را با كامپایل برنامه iptable ادامه دهید . برای كامپایل iptable یك دستوری مشابه دستور زیر صادر می‌شود.
برنامه
برنامه قلمرو كاربر باید به درستی كامپایل شود . در غیر این صورت باید بتوانید در لیت پست Netfilter عضو شوید . در این جا شانس كمك فراوان است . چندین چیز اشتباه در مورد نصب iptable وجود دارد و بنابراین اگر اقدام صورت نمىگیرد نگران نباشید . سعی كنید تا به روش منطقی اشكال را بشناسید و از كسی كمك بخواهید . اگر همه چیز درست است آماده نصب   هستند . برای این كار باید دستور زیر ارسال شود .
برنامه
همه چیز باید در برنامه اجرا شود . برای استفاده از هر برنامه iptable باید اكنون نصب مجدد سیستم و kernel را انجام دهید در صورتی كه قبلاً آن را انجام نداده اید . برای اطلاعات بیشتر در مورد نصب برنامه كاربر از منبع بر فایل INSTALL در منبع مراجعه كنید كه حاوی اطلاعات خارجی در مورد موضوع نصب است .
2-3-2 : نصب بر Red Hat 7/1
Red Hat از قبل با یك kernel x2/4نصب می‌شود كه دارای Netfilter و iptable كامپایل شده در آن است . این طرح دارای تمام برنامه های كاربر و فایل سیستم برای اجرا است . با این وجود افراد Red Hat همه چیز را با استفاده از سیستم ipchain هماهنگ ناتوان كرده اند . برای رفع مشكل باید لیست متفاوت بستی در نظر گرفته شد. و به این دلیل است كه iptable عمل نمىكند بنابراین باید دید كه سیستم ipchain چگونه عمل مىكند نصب iptable چگونه است .
نكته : امروزه نصب Red Hot 7/1 پیش فرض با نسخه قدیمی برنامه فضای كاربر عملی است و بنابراین ممكن است بخواهید تا نسخه جدید برنامه را كامپایل كنید و یك kernel  كامپایل شده را نصب كنید قبل از این كه به طور كامل از iptable استفاده شود. ابتدا باید طرح ipchains را غیر فعال كنید . بنابراین در آینده لجرا نمی‌شود برای این كار باید نام فایل را در ساختار دایركتوری etc/rcod/ تغییر دهید . دستور زیر باید استفاده شود .  
برنامه
به این ترتیب به روابط نرم و رسم كردن دست نوشته Htcl…. در k 92 ipchain اشاره دارند . اولین مرحله كه در هر پیش فرض 6 است اولین دست نشته را نشان مىدهد . با تغییر این حالت به این k مىگوییم كه خدمات را kill كنید و یا این كه آنرا در صورتی كه قبلاً اجرا نشده است اجرا نكنید . اكنون این خدمات در آینده اجرا نخواهد شد .
با این وجود برای توقف خدمات از حالت اجرایی باید دستور دیگر را اجرا كنیم. این یك دستور خدماتی است كه مىتواند برای اجرای فعلی استفاده شود این دستور برای توقف خدمات ipchain ارائه می‌شود.
دستور
در نهایت برای راه اندازی خدمات iptable اقدام خواهد شد . ابتدا باید بدانیم كدام سطح اجرایی را مىخواهیم اجرا كنیم این خود در سطح 2، 3، 5 قرار مىگیرد این سطوح اجرایی برای موارد زیر استفاده مىشوند .
-    2 Multiuser بدون NFS و یا 3 در صورتی كه شبكه وجود نداشته باشند .
-    3 مد چند كاربر كامل یعنی سطح اجرایی طبیعی
-    xll 5 این در صورتی استفاده می‌شود كه به طور خودكار در x windows باشید.
برای تولید iptable در این سطوح اجرایی به دستور زیر نیاز است :    
برنامه
دستورات فوق به عبارت دیگر اجرای iptable را در سطح 2، 3، 5 باعث مىشوند . اگر مایل هستید خدمات iptable در دیگر سطوح اجرا شوند باید كه دستور صادر شود . با این وجود هیچ یك از سطوح اجرایی استفاده نمىشوند و بنابراین نباید آنرا برای سطوح اجرایی فعال كرد . سطح 1 برای حالت كاربر واحد است یعنی وقتی كه یك جعبه نثبیت می‌شود سطح 4 باید غیر استفاده باشد و سطح 6 برای shut down كامپیوتر است. برای  فعال كردن خدمات iptable دستور زیر اجرا می‌شود.
دستور
هیچ قانونی در دست نوشته iptable وجود ندارد . برای اضافه كردن قوانین به یك جعبه Red Hot 7/1 دو روش وجود دارد .نخست آنكه باید دست نوشته etc/rc… را ویرایش كنید . این اثر غیر مطلوب حذف تمام قوانین را دارد در صورتی كه بسته iptable یا RPM ارتقا یافته باشد . این روش به صورت 10 ad كردن مجموعه قوانین و ذخیره با دستور iptable- SNC است پس باید 10 ad خودكار یا rcod صورت گیرد.
ابتدا باید دید كه چگونه نصب iptable با cut و past كردن iptable initod عملی است . برای اضافه كردن قوانینی كه زمان شروع خدمات كامپیوتر اجرا مىشوند باید آنها را تحت عنوان در تابع starto اضافه كنید . توجه كنید كه اگر تحت بخش start عمل كنید تابع starto اجرا میشود ویرایش بخش stop) ) تغییر مىتواند نشان دهد كه كدام دست نوشته و در چه زمانی اجرا می‌شود و یا چه چیز وارد سطح اجرایی می‌شود كه به iptables نیاز ندارد باید بخش restart و (ondrestarte) كنترل شود . توجه كنید كه تمام این اقدامات در صورتی كنترل مىشوند كه دارای شبكه Red Hot خودكار برای ارتقای بسته‌ها باشید . این مىتواند با ارتقا از بسته iptable RPM حاصل شود .
روش دوم :نصب مستلزم این موارد است : ابتدا باید یك مجموعه قانون در فایل دست نوشته لایه ای نوشته شود و با تصمیم در iptable نوشته شود كه نیاز شما را برآورد این بار آزمایش را فراموش نكنید . وقتی یك نصب بدون مسئله صورت گیرد همان طور كه بدون اشكال دیده شد از دستور iptables - save استفاده كنید . شما م/یتوانید از آن به طور طبیعی استفاده كنید و یا این كه iptables - saves…. را استفاده كنید كه ذخیره مجموعه قوانین در فایل etc/sy…. است . این فایل به طور خودكار توسط دست نوشته iptable rcd برای احیای مجموعه قوانین در آینده استفاده خواهد شد روش دیگر ذخیره دست نوشته با service iptable save خودكار etc/syscn…. است بعداً كامپیوتر دوباره راه اندازی می‌شود و دست نوشته iptable rcd از دستور iptable -restart برای ذخیره مجموعه قوانین از فایل save /etc/…. استفاده مىكند .
این دو روش را با هم تركیب نكنید زیرا ممكن است به هم آسیب برسانند و سیستم Firewall را تبدیل كنند .
وقتی تمام این مراحل كامل شد مىتوانید نصب ipchain و بسته iptable را كنسل كنید . این بدان علت است كه نمىخواهید سیستم ما برنامه جدید iptable كاربر را با برنامه قدیمی از پیش نصب شده iptable تركیب كند. این مرحله در صورتی نیاز است كه بخواهید iptable را از بسته منبع نصب كنید .غیر معمول نیست كه بسته جدید و قدیم مخلوط شوند زیرا نصب مبنای rpm مىتواند بسته را در محل غیر استاندارد نصب كند و ما با نصب بسته iptable مىتوانیم عمل نوشتن را تكرار كنیم . برای این كار از دستور زیر استفاده می‌شود .  برنامه
چرا ipchains در صورتی كه از آن استفاده نمىكنید در اطراف باقی مىماند . حذف آن مانند روش بانیری های iptable است.
برنامه
بعد از این كه كار كامل شد با ارتقای بسته از منبع روبرو شده اید و دستوالعمل نصب منبع دنبال خواهد شد هیچ یك از بانیری های قدیمی ، كتابخانه ها و یا فایل شمول نباید در اهداف باشند .
 
 فصل 3 : عبور از جداول و زنجیره ها 
در این فصل عبور بسته ها از زنجیره های متفاوت و با نظم خود توصیف خواهند شد همچنین نظم عبور جداول بررسی می‌شود و خواهیم دید كه این روند بعداً تا چه حد با ارزش خواهد بود در صورتی كه قوانین خاص را مىنویسیم.همچنین نقاط ورود مولف های وابسته به kernel به تصویر را بررسی خواهیم كرد تصمیمات ردیابی نیز بررسی مىشوند . این امر در صورتی مهم است كه بخواهیم قوانین iptable را كه تغییر الگوی ردیابی را برای بسته ها نشان دهند بنویسیم . باید دید كه چرا و چگونه این بسته ها ردیابی مىشوند . و نمونه های عالی DNAT و SNAT است بیت های Tos نباید فراموش شوند .
1-3 : كلیات :  
وقتی كه بسته ها ابتدا وارد Firewall شود با سخت افزار برخورد مىكند و سپس وارد درایو وسیله مناسب در kernel می‌شود . پس بسته از یك مجموعه مراحل در kernel عبور خواهد كرد قبل از این كه به برنامه صحیح ارسال شود و یا به میزبان دیگر برود. ابتدا بسته ای را بررسی مىكنیم كه برای میزبان داخلی مفروض است . از چندین نرحله باید عبور كرد قبل از اینكه به برنامه دریافت كننده برسیم .