Iptables

Az iptables  egy parancssori segédprogram , amely a 2.4-es verzió óta a Linux kernelek szabványos netfilter tűzfalkezelő felülete . Az iptables segédprogram használatához Superuser ( root ) jogosultságok szükségesek .

Történelem

Kezdetben a netfilter és az iptables fejlesztése közös volt, így sok hasonlóság van e projektek korai történetében. Lásd a netfilter cikkét a részletekért .

Az iptables elődjei az ipchains projektek (amelyek a Linux 2.2 kernel tűzfalának adminisztrálására szolgálnak) és az ipfwadm (hasonlóan a Linux 2.0 rendszermagokhoz) voltak. Ez utóbbi a BSD ipfw segédprogramon alapult .

Az iptables megőrzi ugyanazt a filozófiát, mint az ipfwadm: a tűzfal működését szabályok határozzák meg, amelyek mindegyike egy feltételből és egy műveletből áll (pl. DROP vagy ACCEPT), amelyeket az adott feltételnek megfelelő csomagokra alkalmaznak. Az ipchains bevezette a láncok  – független szabálylisták – fogalmát. Külön láncokat vezettek be a bejövő (INPUT), kimenő (OUTPUT) és tranzit (FORWARD) csomagok szűrésére. Ennek az ötletnek a folytatásaként a táblázatok megjelentek az iptables-ban  - független lánccsoportokban. Mindegyik tábla a maga feladatát oldotta meg - a szűrőtábla láncai a szűrésért, a nat tábla láncai a hálózati címfordításért ( NAT ), a mangle tábla feladatai közé tartozott a csomagfejlécek egyéb módosítása (pl. TTL vagy TOS módosítása ). Ezenkívül a láncok logikája némileg megváltozott: az ipchains-ben minden bejövő csomag, beleértve a tranzitokat is, az INPUT láncon ment keresztül. Az iptables-ban csak a gazdagépnek címzett csomagok mennek át az INPUT-on.

A funkcióknak ez a szétválasztása lehetővé tette az iptables számára, hogy az egyes csomagok feldolgozása során a kapcsolati információkat teljes egészében használja fel (korábban ez csak a NAT esetében volt lehetséges). Ez az a pont, ahol az iptables jelentősen felülmúlja az ipchaineket, mivel az iptables képes nyomon követni a kapcsolat állapotát, és átirányítani, módosítani vagy szűrni a csomagokat nem csak a fejléc adatai (forrás, cél) vagy a csomag tartalma, hanem a kapcsolati adatok alapján is. A tűzfalnak ezt a funkcióját állapotalapú szűrésnek nevezik, ellentétben az ipchains-ben megvalósított primitív állapot nélküli szűréssel (a szűrés típusairól bővebben a tűzfalakról szóló cikkben olvashat ). Elmondhatjuk, hogy az iptables nem csak a továbbított adatokat elemzi, hanem az ipchainekkel ellentétben azok átvitelének kontextusát is, így megalapozottabb döntéseket tud hozni az egyes csomagok sorsáról. A netfilter/iptables állapotalapú szűrésével kapcsolatos további információkért lásd: Netfilter#State Mechanism .

A jövőben a netfilter fejlesztői azt tervezik, hogy az iptables-t nftables -re  , egy új generációs eszközre cserélik [3] .

Építészet

Alapfogalmak

Az iptables kulcsfogalmai a következők:

• Szabály – egy feltételből, egy akcióból és egy számlálóból áll . Ha a csomag megfelel a feltételnek, akkor a műveletet alkalmazzuk rá, és beleszámítjuk a számlálóba. Előfordulhat, hogy nincsenek feltételek – ekkor az „összes csomag” feltételt implicit módon feltételezzük. Nem is szükséges műveletet megadni - művelet hiányában a szabály csak számlálóként működik.
  • Feltétel  – egy logikai kifejezés, amely elemzi egy csomag és/vagy kapcsolat tulajdonságait, és meghatározza, hogy az adott csomagra vonatkozik-e az aktuális szabály feltétele.
  • Művelet  - a csomaggal (és/vagy kapcsolattal) végrehajtandó művelet leírása, ha a csomag (és/vagy kapcsolat) e szabály feltétele alá esik. Az akciókat az alábbiakban részletesebben tárgyaljuk.
  • A számláló  a szabály egyik összetevője, amely rögzíti a szabály feltétele alá tartozó csomagok számát. A számláló az ilyen csomagok teljes mennyiségét is figyelembe veszi bájtokban.
• A lánc  egy rendezett szabálysorozat. A láncok egyedi és alap kategóriákra oszthatók .
  • Az alaplánc  az a lánc, amely alapértelmezés szerint a tábla inicializálásakor jön létre. Minden egyes csomagnak, attól függően, hogy magának a gazdagépnek szánja, általa generált vagy tranzit, át kell mennie a hozzá rendelt különféle táblák alapláncain. Ezenkívül az alaplánc különbözik a felhasználói lánctól egy „alapértelmezett művelet” (alapértelmezett házirend) jelenlétében. Ez a művelet azokra a csomagokra vonatkozik, amelyeket a lánc egyéb szabályai nem dolgoztak fel, és az onnan meghívott láncokra. Az alaplánc nevét mindig nagybetűvel írjuk (PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING).
  • Felhasználói lánc  – a felhasználó által létrehozott lánc. Csak saját asztalon belül használható. Javasoljuk, hogy ne használjon nagybetűs neveket az ilyen láncokhoz, hogy elkerülje az összetéveszthetőséget az alapláncokkal és a beépített műveletekkel.
• Táblázat  - alapvető és felhasználói láncok halmaza, amelyeket egy közös funkcionális cél egyesít. A táblák (valamint a feltételmodulok) neveit kisbetűvel írjuk, mivel elvileg nem ütközhetnek az egyéni láncok nevével. Az iptables parancs meghívásakor a tábla a -t táblanév formátumban van megadva . Ha nincs kifejezetten megadva, a szűrőtábla kerül felhasználásra.

Jegyzetek

1. ↑ Az iptables projekt kiadásai
2. ↑ Sutter P. iptables 1.8.8 kiadás  (eng.) – 2022.
3. ↑ A Netfilter fejlesztői bemutatják az iptables cseréjét . Letöltve: 2009. július 16. Az eredetiből archiválva : 2009. március 23.. (határozatlan)

Irodalom

• Gregor N. Purdy. Linux iptables. PocketReference . - O'Reilly, 2004. - S.  97 . - ISBN 0-596-00569-5 .

Linkek

• Netfilter webhely _
•  iptables man oldala
• iptables oktatóprogram (Iptables oktatóprogram 1.1.19) *  (orosz)