Iptables

iptables  är ett kommandoradsverktyg som är standardgränssnittet för netfilter brandvägg för Linux - kärnor sedan version 2.4. Superanvändarbehörighet ( rot ) krävs för att använda iptables-verktyget .

Historik

Till en början var utvecklingen av netfilter och iptables gemensam, så det finns många likheter i dessa projekts tidiga historia. Se artikeln om nätfilter för detaljer .

Föregångarna till iptables var ipchains- projekten (används för att administrera Linux 2.2 kärnans brandvägg) och ipfwadm (liknande Linux 2.0 kärnor). Det senare baserades på BSD - verktyget ipfw .

iptables behåller samma filosofi som ipfwadm: driften av en brandvägg definieras av en uppsättning regler, som var och en består av ett villkor och en åtgärd (t.ex. DROP eller ACCEPT) som tillämpas på paket som matchar det villkoret. ipchains introducerade begreppet kedjor  – oberoende listor med regler. Separata kedjor introducerades för att filtrera inkommande (INPUT), utgående (OUTPUT) och transit (FRAMÅT) paket. I fortsättningen på denna idé dök tabeller upp i iptables  - oberoende grupper av kedjor. Varje tabell löste sin egen uppgift - kedjorna i filtertabellen ansvarade för filtrering, kedjorna i nat-tabellen ansvarade för nätverksadressöversättning ( NAT ), uppgifterna i mangletabellen inkluderade andra modifieringar av pakethuvuden (till exempel, ändra TTL eller TOS ). Dessutom ändrades logiken i kedjorna något: i ipchains gick alla inkommande paket, inklusive transit, genom INPUT-kedjan. I iptables passerar endast paket adresserade till själva värden genom INPUT.

Denna separation av funktionalitet gjorde det möjligt för iptables att använda anslutningsinformationen som en helhet vid behandling av enskilda paket (tidigare var detta endast möjligt för NAT). Det är här iptables presterar betydligt bättre än ipchains, eftersom iptables kan spåra tillståndet för en anslutning och omdirigera, modifiera eller filtrera paket baserat inte bara på deras rubrikdata (källa, destination) eller paketinnehåll, utan också på anslutningsdata. Denna funktion i brandväggen kallas för stateful filtrering, i motsats till den primitiva tillståndslösa filtreringen som implementeras i ipchains (för mer information om typerna av filtrering, se artikeln om brandväggar ). Vi kan säga att iptables analyserar inte bara de överförda data, utan också sammanhanget för deras överföring, till skillnad från ipchains, och därför kan fatta mer informerade beslut om ödet för varje särskilt paket. För mer information om stateful filtrering i netfilter/iptables, se Netfilter#State Mechanism .

I framtiden planerar utvecklare av netfilter att ersätta iptables med nftables  , en ny generations verktyg [3] .

Arkitektur

Grundläggande begrepp

Nyckelbegreppen för iptables är:

• Regel - består av ett villkor, en åtgärd och en räknare . Om paketet matchar villkoret, tillämpas åtgärden på det och det räknas mot räknaren. Det kanske inte finns några villkor - då antas villkoret "alla paket" implicit. Det är inte heller nödvändigt att specificera en åtgärd - i avsaknad av en åtgärd kommer regeln bara att fungera som en mot.
  • Villkor  - ett logiskt uttryck som analyserar egenskaperna hos ett paket och/eller en anslutning och avgör om just detta paket är föremål för villkoret för den aktuella regeln.
  • Åtgärd  - en beskrivning av åtgärden som ska vidtas med paketet (och/eller anslutningen) om paketet (och/eller anslutningen) faller under villkoret i denna regel. Åtgärderna kommer att diskuteras mer i detalj nedan.
  • Räknaren  är en komponent i regeln som tillhandahåller ett register över antalet paket som föll under denna regels villkor. Räknaren tar också hänsyn till den totala volymen av sådana paket i byte.
• En kedja  är en ordnad sekvens av regler. Kedjor kan delas in i custom och basic .
  • Baskedjan  är den kedja som skapas som standard när tabellen initieras. Varje paket, beroende på om det är avsett för värden själv, genererat av det eller är transit, måste gå igenom uppsättningen av baskedjor av olika tabeller som tilldelats det. Dessutom skiljer sig baskedjan från användarkedjan genom närvaron av en "standardåtgärd" (standardpolicy). Denna åtgärd tillämpas på de paket som inte behandlades av andra regler i denna kedja och kedjor som anropats från den. Baskedjenamn skrivs alltid med stora bokstäver (FÖREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING).
  • Användarkedja  - en kedja skapad av användaren. Kan endast användas inom sitt eget bord. Vi rekommenderar att du inte använder versaler för sådana kedjor för att undvika förväxling med baskedjor och inbyggda åtgärder.
• Tabell  - en uppsättning grundläggande och användarkedjor , förenade av ett gemensamt funktionellt syfte. Namnen på tabeller (liksom villkorsmoduler) skrivs med gemener, eftersom de i princip inte kan komma i konflikt med namnen på anpassade kedjor. När kommandot iptables anropas specificeras tabellen i formatet -t tabellnamn . Om det inte uttryckligen anges används filtertabellen.

Anteckningar

1. ↑ Releaser av iptables-projektet
2. ↑ Sutter P. iptables 1.8.8 release  (eng.) - 2022.
3. ↑ Netfilter-utvecklare presenterar ersättning för iptables . Hämtad 16 juli 2009. Arkiverad från originalet 23 mars 2009. (obestämd)

Litteratur

• Gregor N. Purdy. Linux iptables. PocketReference . - O'Reilly, 2004. - S.  97 . - ISBN 0-596-00569-5 .

Länkar

• Netfilter webbplats _
• man page för  iptables
• iptables Tutorial (Iptables Tutorial 1.1.19) *  (ryska)