Iptables

iptables  este un utilitar de linie de comandă care este interfața standard de gestionare a firewall-ului netfilter pentru nucleele Linux începând cu versiunea 2.4. Sunt necesare privilegii de superutilizator ( rădăcină ) pentru a utiliza utilitarul iptables .

Istorie

Inițial, dezvoltarea netfilter și iptables a fost comună, așa că există multe asemănări în istoria timpurie a acestor proiecte. Consultați articolul netfilter pentru detalii .

Predecesorii iptables au fost proiectele ipchains (folosite pentru a administra firewall-ul nucleului Linux 2.2) și ipfwadm (similar cu nucleele Linux 2.0). Acesta din urmă a fost bazat pe utilitarul BSD ipfw .

iptables păstrează aceeași filozofie ca ipfwadm: funcționarea unui firewall este definită de un set de reguli, fiecare constând dintr-o condiție și o acțiune (de ex. DROP sau ACCEPT) aplicate pachetelor care corespund acelei condiții. ipchains a introdus conceptul de lanțuri  - liste independente de reguli. Au fost introduse lanțuri separate pentru a filtra pachetele de intrare (INPUT), de ieșire (OUTPUT) și de tranzit (FOWARD). În continuarea acestei idei, au apărut tabele în iptables  - grupuri independente de lanțuri. Fiecare tabel și-a rezolvat propria sarcină - lanțurile tabelului de filtrare erau responsabile pentru filtrare, lanțurile tabelului nat erau responsabile pentru traducerea adreselor de rețea ( NAT ), sarcinile tabelului Mangle includeau alte modificări ale antetelor pachetelor (de exemplu, schimbarea TTL sau TOS ). În plus, logica lanțurilor a fost ușor modificată: în ipchains, toate pachetele de intrare, inclusiv cele de tranzit, au trecut prin lanțul INPUT. În iptables, numai pachetele adresate gazdei în sine trec prin INPUT.

Această separare a funcționalității a permis iptables să folosească informațiile de conexiune în întregime atunci când procesează pachete individuale (anterior acest lucru era posibil numai pentru NAT). Aici iptables depășește cu mult ipchains, deoarece iptables poate urmări starea unei conexiuni și poate redirecționa, modifica sau filtra pachetele nu numai pe baza datelor antet (sursă, destinație) sau a conținutului pachetului, ci și pe datele conexiunii. Această caracteristică a firewall-ului se numește filtrare cu stare, spre deosebire de filtrarea primitivă fără stat implementată în ipchains (pentru mai multe informații despre tipurile de filtrare, consultați articolul despre firewall -uri ). Putem spune că iptables analizează nu numai datele transmise, ci și contextul transmiterii acestora, spre deosebire de ipchains și, prin urmare, poate lua decizii mai informate cu privire la soarta fiecărui pachet anume. Pentru mai multe informații despre filtrarea cu stare în netfilter/iptables, consultați Netfilter#State Mechanism .

În viitor, dezvoltatorii netfilter plănuiesc să înlocuiască iptables cu nftables  , un instrument de nouă generație [3] .

Arhitectură

Concepte de bază

Conceptele cheie ale iptables sunt:

• Regula - constă dintr-o condiție, o acțiune și un contor . Dacă pachetul se potrivește cu condiția, i se aplică acțiunea și este numărat pentru contor. S-ar putea să nu existe condiții - atunci condiția „toate pachetele” este implicit asumată. De asemenea, nu este necesar să specificați o acțiune - în absența unei acțiuni, regula va funcționa doar ca un contor.
  • Condiție  - o expresie logică care analizează proprietățile unui pachet și/sau conexiune și determină dacă acest pachet particular este supus condiției regulii curente.
  • Acțiune  - o descriere a acțiunii care trebuie întreprinsă cu pachetul (și/sau conexiunea) dacă pachetul (și/sau conexiunea) se încadrează în condiția acestei reguli. Acțiunile vor fi discutate mai detaliat mai jos.
  • Contorul  este o componentă a regulii care oferă o înregistrare a numărului de pachete care s-au încadrat în condiția acestei reguli. Contorul ia în considerare și volumul total al unor astfel de pachete în octeți.
• Un lanț  este o succesiune ordonată de reguli. Lanțurile pot fi împărțite în personalizate și de bază .
  • Lanțul de bază  este lanțul care este creat implicit atunci când tabelul este inițializat. Fiecare pachet, în funcție de faptul că este destinat gazdei în sine, generat de acesta sau este în tranzit, trebuie să treacă prin setul de lanțuri de bază ale diferitelor tabele alocate acestuia. În plus, lanțul de bază diferă de lanțul de utilizatori prin prezența unei „acțiuni implicite” (politica implicită). Această acțiune se aplică acelor pachete care nu au fost procesate de alte reguli ale acestui lanț și lanțuri numite din acesta. Numele lanțurilor de bază sunt întotdeauna scrise cu majuscule (PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING).
  • Lanț de utilizatori  - un lanț creat de utilizator. Poate fi folosit numai în cadrul propriului său tabel. Vă recomandăm să nu utilizați nume mari pentru astfel de lanțuri pentru a evita confuzia cu lanțurile de bază și acțiunile încorporate.
• Tabel  - un set de lanțuri de bază și de utilizator , unite printr-un scop funcțional comun. Numele tabelelor (precum și modulele de condiții) sunt scrise cu litere mici, deoarece în principiu nu pot intra în conflict cu numele lanțurilor personalizate. La apelarea comenzii iptables, tabelul este specificat în formatul -t table_name . Dacă nu este specificat în mod explicit, se utilizează tabelul de filtrare.

Note

1. ↑ Lansări ale proiectului iptables
2. ↑ Lansarea Sutter P. iptables 1.8.8  (ing.) - 2022.
3. ↑ Dezvoltatorii Netfilter dezvăluie înlocuirea iptables . Consultat la 16 iulie 2009. Arhivat din original la 23 martie 2009. (nedefinit)

Literatură

• Gregor N. Purdy. Linux iptables. PocketReference . - O'Reilly, 2004. - S.  97 . - ISBN 0-596-00569-5 .

Link -uri

• Site-ul web Netfilter _
• pagina de manual a  iptables
• Tutorial iptables (Tutorial Iptables 1.1.19) *  (rusă)