ПорядокпрохожденияпакетоввсистемеNetfilter

Порядокпрохожденияпакетовпоцепочкамследующий.Пакеты,предназначенныелокальномухосту,проходятсначалаправилацепочекPREROUTING в таблицах raw, mangle и nat, затем правила цепочек INPUTв таблицах mangle, filter и security. Транзитные пакеты сначала проходятправила цепочек PREROUTING в таблицах raw, mangle и nat, затем прави-ла цепочек FORWARD в таблицах mangle, filter и security, после чего пра-вила цепочек POSTROUTING в таблицах mangle и nat. Исходящие пакеты(сгенерированные приложениями, работающими на локальном хосте) сна-чала проходят правила цепочек OUTPUT в таблицах raw/rawpost, mangle,nat, filter и security, а затем правила цепочек POSTROUTING в таблицахmangleиnat.Порядокпрохожденияпакетовсхематическиизображеннарис.2.

 

Рисунок 2. Порядок прохождения пакетовпоцепочкамитаблицамNetfilter

Чтопредставляютсобойправила,управляющиеповедениемМЭ?Каждое правило состоит из критериев и действия. Если пакет соответ-ствует критерию (criterion), то выполняется указанное в правиле действие,или цель (target). Будем говорить, что такая ситуация соответствует приме-нению, или срабатыванию, правила. Критерий представляет собой некото-рое условие (предикат) или совокупность условий, с помощью которыхпроверяются атрибуты пакета и соединения и делается вывод о соответ-ствии пакета текущему правилу. Если критерий не задан, то под действиеправила подпадают все проходящие по рассматриваемой цепочке пакеты.Критериев в каждом правиле может быть указано несколько (при этом ониобъединяются неявной конъюнкцией). В случае, если правило сработало,увеличиваются счетчики пакетовибайтов(counters)дляэтогоправила.

Действием, или целью, называется некоторая операция с пакетом, ко-тораяприводитлибокизменениюпорядкаобработкинастоящегопакета

(например, к прекращению проверок и пропуску пакета или передаче паке-та в пользовательскую цепочку), либо к изменению его атрибутов, либо кего маркировке, либо к некоторому побочному эффекту (например, логи-рованиюпакета).

Некоторые действия являются завершающими, или терминальными. Это означает, что пакет перестает обрабатываться правилами МЭ в рас-сматриваемой базовой цепочке (тем не менее, это не значит, что пакет пре-кращает свое прохождение по сетевому стеку; например, к такому эффектуприводитдействиеACCEPT).

Другие действия можно назвать нетерминальными. Это означает, чтопосле выполнения операции с пакетом он проверяется следующим прави-лом в цепочке (так, например, работает действие MARK). Действие такжеможет быть не задано. В этом случае правило считается примененным, ипросто выполняетсянаращивание счетчиков.

ВсоставМЭвОСLinuxвходятследующиекомпонентыядра:

- ip_tables и ip 6 _tables — данные модули обеспечивают основнуюфункциональностьМЭ,втомчислетрансляциюсетевыхадресов(дляIPv4)и фильтрациюпакетов;

- arp_tables —модульфильтрациидляпротоколовARP/RARP;

- ebtables — модуль фильтрации канального уровня, выполняющийпроверку и модификациюEthernet-кадров;

- x_tables —общиймодульподдержкиоперацийМЭ;

- nf_conntrack —модульподдержкиотслеживаниясоединенийиклассификациипакетов.

Для управления МЭ существуют различные пользовательские утили-ты (все они для выполнения требуют наличия прав администратора систе-мы):

- iptables — утилита настройки фильтрации на сетевом и транспорт-номуровне (для стека IPv4);

- iptables-save и iptables-restore — утилиты для сохранения и восста-новления правил фильтрации на сетевом и транспортном уровнях (для сте-каIPv4);

- ip 6 tables — утилита настройки фильтрации на сетевом и транспорт-номуровне (для стека IPv6);

- ip6tables-save и ip6tables-restore — утилиты для сохранения и вос-становления правил фильтрации на сетевом и транспортном уровнях (длястекаIPv6);

- arptables —утилитанастройкифильтрациипротоколовARPиRARP;

- arptables-save и arptables-restore — утилиты для сохранения и вос-становленияправилфильтрациипротоколовARP иRARP;

- ebtables —утилитанастройкифильтрациинаканальном уровне(длясетевыхмостов);

- ebtables-save и ebtables-restore —утилитыдлясохраненияивосста-новленияправилфильтрациинаканальномуровне(длясетевыхмостов);

- ipset —утилитадляманипулированияспискамиIP-адресовипод-сетейдляобеспечения болееэффективнойработыправилМЭ;

- conntrack —утилитауправлениятаблицамисостояниясоединенийидругими функциямиподсистемы conntrack.

 

Вопросыкразделу2

1. Перечислитеосновныеловушки,используемыеМЭNetfilter.Каконисвязаны стаблицами ицепочками?

2. Чемпользовательскиецепочкиотличаютсяотвстроенных?

3. Естьлиупользовательских цепочекдействиепо умолчанию?

4. ПеречислитеосновныетаблицыМЭNetfilter.

5. ОпишитепорядокпрохожденияпакетовпоцепочкамитаблицамNetfilter.

6. Приведитепримерытерминальныхинетерминальныхдействий.

7. КакиеосновныекомпонентыядравходятвсоставМЭNetfilter?

8. ПоддерживаетлиNetfilterотслеживаниесоединений?

9. Длячегонужныутилитыiptables-saveиiptables-restore?

10. Чтосделаеткоманда“iptables-save|grepPREROUTING”?

Раздел3.