Netfilter

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 15. oktober 2018; checks kræver 8 redigeringer .

netfilter
Type	Firewall
Udvikler	Netfilter Core Team
Skrevet i	Xi
Operativ system	på Linux-kernen
Licens	GNU GPL
Internet side	netfilter.org
Mediefiler på Wikimedia Commons

netfilter  er en firewall (firewall) indbygget i Linux-kernen siden version 2.4.

Titel

iptables  er navnet på et brugerværktøj ( køres fra kommandolinjen) designet til at styre netfiltersystemet. Administratorer bruger det til at oprette og ændre regler, der kontrollerer pakkefiltrering og videresendelse . For at arbejde med IPv6 -protokolfamilien er der en separat version af iptables-værktøjet - ip6tables .

Nogle forfattere under ordet netfilter mener kun de elementer i firewallen, der er direkte en del af kerneprotokolstakken , og alt andet (systemet af tabeller og kæder) kaldes iptables [1] . På grund af den ikke helt klare terminologi [2] er nogle gange hele projektet (intrakerne firewall sammen med brugerværktøjet) blot navngivet netfilter/iptables .

Historie

Netfilter/iptables-projektet blev grundlagt i 1998 af Rusty Russell ( en:Rusty Russell ); han er også forfatter til ipchains forgængerprojekt . Som projektet udviklede sig, blev Netfilter Core Team (forkortet til coreteam) i 1999 dannet. Den udviklede firewall fik officielt navnet netfilter. I marts 2000 blev det inkluderet i Linux 2.3 kernen. I august 2003 blev Harald Welte chef for coreteamet . I 2004 indledte og vandt Welte en retssag mod Sitecom GmbH, som brugte netfilter i sine produkter, men nægtede at følge GNU GPL [3] .

Før fremkomsten af ​​iptables blev Linux 2.2 ipchains og Linux 2.0 ipfwadm- projekterne , som igen er baseret på ipfw fra BSD -systemet , brugt til at levere firewall-funktioner på Linux . Ipchains og ipfwadm-projekterne ændrede, hvordan Linux-kerneprotokolstakken fungerede, fordi før fremkomsten af ​​netfilter var der ingen måde i kernearkitekturen at forbinde yderligere pakkestyringsmoduler. iptables beholdt den grundlæggende idé om ipfwadm - en liste over regler bestående af kriterier og en handling, der skal tages, hvis en pakke matcher kriterierne. Et nyt koncept blev introduceret i ipchains - muligheden for at skabe nye kæder af regler og overgangen af ​​pakker mellem kæder, og i iptables blev konceptet udvidet til fire tabeller, der afgrænser kæder af regler efter opgave: filtrering, NAT og pakkemodifikation. Også iptables har udvidet Linux status, så du kan oprette firewalls, der fungerer på sessionsniveau .

Arkitektur

I netfiltersystemet føres pakker gennem kæder . En kæde er en ordnet liste over regler , og hver regel kan indeholde kriterier og en handling eller overgang . Når en pakke passerer gennem kæden, tjekker netfiltersystemet på skift, om pakken matcher alle kriterierne i den næste regel, og hvis det er tilfældet, udfører den en handling (hvis der ikke er kriterier i reglen, så udføres handlingen for alle pakker, der passerer gennem reglen). Der er mange mulige kriterier. For eksempel matcher en pakke --source 192.168.1.1 , hvis pakkehovedet angiver, at afsenderen er 192.168.1.1. Den enkleste type overgang, --jump, videresender simpelthen pakken til begyndelsen af ​​en anden kæde. Du kan også angive en handling med --jump . De tilgængelige standardhandlinger i alle kæder er ACCEPT (spring over), DROP (slet), KØ (overfør til et eksternt program til analyse) og RETURN (vend tilbage til den forrige kæde for analyse). For eksempel kommandoer

iptables -A INPUT --kilde 192.168.1.1 --jump ACCEPTERER iptables -A INPUT --hop anden_kæde

betyder "tilføj følgende regler til slutningen af ​​INPUT -kæden : spring over pakker fra 192.168.1.1, og send alt, der mangler at blive sendt til den anden_kæde til analyse ".

Kæder

Der er 5 typer standardkæder indbygget i systemet:

• PREROUTING  - til indledende behandling af indgående pakker.
• INPUT  - for indgående pakker adresseret direkte til den lokale proces ( klient eller server ).
• FORWARD  - for indgående pakker, der omdirigeres til udgangen (bemærk, at videresendte pakker går gennem PREROUTING -kæden først , derefter FORWARD og POSTROUTING ).
• OUTPUT  - for pakker genereret af lokale processer.
• POSTROUTING  - til endelig behandling af udgående pakker.

Du kan også oprette og ødelægge dine egne kæder ved hjælp af iptables-værktøjet. [fire]

Tabeller

Kæderne er organiseret i 4 borde:

• rå  - Inspiceres før pakken sendes til tilstandsdetektionssystemet. Bruges sjældent, for eksempel til at markere pakker, der IKKE skal behandles af statssystemet. For at gøre dette er NOTRACK- handlingen angivet i reglen . Indeholder PREROUTING- og OUTPUT -kæderne .
• mangle  - indeholder reglerne for ændring af (normalt headeren) IP-pakker. Den understøtter blandt andet TTL ( Time to live ) , TOS ( Type af Service ) og MARK- handlinger (til ændring af TTL- og TOS-felter og til ændring af pakkemarkører). Det er sjældent nødvendigt og kan være farligt. Findes i alle fem standardkæder.
• nat  - Søger kun efter pakker, der skaber en ny forbindelse (i henhold til tilstandssystemet). Understøtter DNAT- , SNAT- , MASQUERADE- , REDIRECT -handlinger . Indeholder PREROUTING- , OUTPUT- og POSTROUTING- kæderne . For kerneversioner > 2.6.35 er INPUT [5] [6] -kæden også blevet tilføjet til nat -tabellen .
• filter  - hovedtabellen, bruges som standard, hvis tabelnavnet ikke er angivet. Indeholder INPUT- , FORWARD- og OUTPUT- kæderne .

Kæder med samme navn, men i forskellige tabeller, er helt uafhængige objekter. For eksempel indeholder rå PREROUTING og mangle PREROUTING normalt et andet sæt regler; pakker går først gennem den rå PREROUTING-kæde og derefter gennem mangle PREROUTING .

Tilstandsmekanisme

Tilstandsmaskinen (forbindelsessporing) er et forbindelsessporingssystem, en vigtig del af netfilter, som implementerer en stateful firewall på sessionsniveau. Systemet giver dig mulighed for at bestemme, hvilken forbindelse eller session en pakke tilhører. Tilstandsmotoren analyserer alle pakker undtagen dem, der er markeret med NOTRACK i råtabellen .

I netfiltersystemet kan hver pakke, der passerer gennem tilstandsmekanismen, have en af ​​fire mulige tilstande:

• NYHED  - Pakken åbner en ny session. Et klassisk eksempel er en TCP- pakke med SYN-flaget.
• ETABLERET  - Pakken er en del af en allerede eksisterende session.
• RELATED  - Pakken åbner en ny session forbundet med en allerede åben session. For eksempel, under en passiv FTP -session, forbinder klienten til port 21 på serveren, serveren fortæller klienten nummeret på en anden, tilfældigt valgt port, hvorefter klienten forbinder til den anden port for at overføre filer. I dette tilfælde er den anden session (filoverførsel på den anden port) knyttet til en allerede eksisterende session (oprindelig forbindelse til port 21).
• Ugyldig  - alle andre pakker.

Denne klassificering af pakker adskiller sig i mange tilfælde fra den officielle beskrivelse af netværksprotokoller. For eksempel, ifølge netfilter, er en TCP SYN ACK-pakke en del af en eksisterende session, mens en sådan pakke ifølge TCP-definition blot er et sessionsåbningselement.

Det er meget enkelt at definere sessioner for nogle protokoller; for eksempel et tegn på en UDP -session  - en klient fra port X sender pakker til serveren på port Y (eller omvendt) mindst én gang hvert 30. sekund. For andre protokoller ( FTP , SIP , H.323 , etc.) er sessionen sværere at bestemme, og netfilter skal parse indholdet af pakkerne for korrekt at bestemme deres tilstand.

Du kan se attributterne for aktive forbindelser i pseudo -filen /proc/net/nf_conntrack (eller /proc/net/ip_conntrack) . For hver forbindelse er følgende oplysninger angivet:

tcp 6 117 SYN_SENT src=192.168.1.6 dst=192.168.1.9 sport=32775 dport=22 [UNREPLIEED] src=192.168.1.9 dst=192.168.1.6 sport=22 dport=32775 [ASSURED] use=2

Conntrack -værktøjet giver dig mulighed for at kontrollere tilstandsdetektionsmekanismen.

Se også

nftables er et projekt, der er designet til at erstatte den eksisterende {ip,ip6,arp,eb}tables bundle.

Noter

1. ↑ Coulson, David Mastering IPTables  (engelsk)  (link ikke tilgængeligt) . www.linuxformat.co.uk (4. april 2001). Hentet 14. juli 2007. Arkiveret fra originalen 13. februar 2007.
2. ↑ Chris Kaspersky "Teknikker til netværksangreb. Modforanstaltninger. Kapitel 'Hvad er internettet' (internetarkitektur. Protokoltræ. Pakker på internettet. Porttildeling.)"
3. ↑ Urteil Harald Welte gegen Sitecom Deutschland GmbH  (tysk)  (utilgængeligt link) . München-domstolen (19. maj 2004). Arkiveret fra originalen den 24. februar 2012.
4. ↑ Denis Kolisnichenko. Linux server applikation. 3. udgave. Kapitel "Konfiguration af firewallen", side 372.
5. ↑ iptables: indbygget INPUT-kæde i nat-tabel? - Serverfejl . Hentet 22. april 2014. Arkiveret fra originalen 11. marts 2014. (ubestemt)
6. ↑ kernel/git/torvalds/linux.git - Linux-kernens kildetræ

Links

• Projektside
• Tutorial til iptables i russisk oversættelse
• En artikel om mekanismen til at bestemme tilstande i netfilter

netfilter administration

• Firewall Builder
• dwall Firewall-generator til alle formål
• Firestarter Visual Editor
• NetfilterOne Et gratis grafisk værktøj til styring af Netfilters sikkerhedspolitik (Denne software er ikke længere tilgængelig direkte fra Solsoft)
• KMyFirewall Grafisk brugergrænseflade ( GUI ) baseret på KDE / Qt
• GIPT  - C++ / Qt API
• firehol  - et værktøj, der giver dig mulighed for kompakt at beskrive firewalls

Firewalls
Ledig	BSD : ipfw IPFilter PF NPF Linux : netfilter ( iptables ebtables nftables Firestarter iplist NuFW Shorewall ufw ) Windows : iSafer PeerBlock
Ledig	Ashampoo FireWall gratis Comodo kernekraft Online rustning Forpost PC-værktøjer PeerGuardian Privat firewall Sygate
Kommerciel	Ashampoo FireWall Pro AVG Internet Security CA Personal Firewall Dr. Web Ideco UTM Jetico Personal Firewall Kaspersky Kerio kontrol Foran TMG Norton Forpost Panda Cloud Solbælte Trafikinspektør Trend Micro Internet Security UserGate VIPnet personlig firewall ZoneAlarm Windows Firewall Internet kontrolserver Mac OS : NetBarrier Mac OS : Lille Snitch
Hardware	kontrolpunkt Cisco Fortinet Enebær ViPNet-koordinator HW Kontinent