Nächste Seite: ./vhdl20250304/iptables20250304.txt Aufwärts: html20250116 Vorherige Seite: ./vhdl20250304/int20250125.txt
paketfilter
paketfilter des kernels ist aktiv
filterregel
1. router
2. firewall
netfilter im linux kernel
Network Address Translation NAT
1. paketfilterung
2. network address translation
1. ankommende pakete pruefen,
2. ausgehende pakete pruefen
1. ankommende pakete pruefen, bevor sie an anwendung geleitet werden
2. ausgehende pakete pruefen, bevor sie rechner verlassen
3 stufig
1. tabellen (tables)
2. regelkatten (chains)
3. eigentliche filterregeln
tables, chains, rules
regelketten = prozedur in reihenfolge
BSP:
1. kette:
1. filterregel
2. filterregel
3. filterregel
2. kette:
3. filterregel
1. filterregel
5. filterregel
paket trifft ein
interface 1-N
Routing
INPUT
FORWARD
Warteschlangen:
INPUT lokal
FORWARD an andere Rechner
conntrack
OUTPUT
INPUT
FORWARD
PREROUTING
POSTROUTING
1. bearbeiten
2. endgueltig verwerfen, DROP
3. akzeptieren: ACCEPT
a) empfaenger-addresse
b) protokoll
c) empfaenger port
1. eine regel trifft zu
1. eine regel trifft zu => action
2. keine: Policy
1. action
2. policy
tabelle
filter
nat
mangle
raw
filter nat mangle raw
filter: reine filterregeln
nat: Addressumsetzung = NAT network address translation
mangle: manipulation eines pakets
filter, addressumsetzen, manipulieren
-t TABLE
-A CHAIN
-I CHAIN INDEX
-D CHAIN INDEX
t table, A append, I Index, D Delete
-i INTERFACE
-o INTERFACE
i input/o output
-s IP-Address
-d IP-Address
s Source, d Destination
-i INTERFACE
-o INTERFACE
-s IP-Address
-d IP-Address
-p PROTOCOL
-j Action
Action:
ACCEPT
DROP
REJECT
|