Perilaku Netfilter dari Panduan Kali Linux oleh OnWorks

Loncat ke daftar isi

7.4.1. Perilaku Netfilter

Netfilter menggunakan empat tabel berbeda, yang menyimpan aturan yang mengatur tiga jenis operasi pada paket:

• menyaring menyangkut aturan penyaringan (menerima, menolak, atau mengabaikan paket);

• nat (Terjemahan Alamat Jaringan) menyangkut terjemahan alamat sumber atau tujuan dan port paket;

• mengoyakkan menyangkut perubahan lain pada paket IP (termasuk ToS—Jenis Layanan—bidang dan opsi);

• mentah memungkinkan modifikasi manual lainnya pada paket sebelum mencapai sistem pelacakan koneksi.

Setiap tabel berisi daftar aturan yang disebut rantai. Firewall menggunakan rantai standar untuk menangani paket berdasarkan keadaan yang telah ditentukan. Administrator dapat membuat rantai lain, yang hanya akan digunakan jika dirujuk oleh salah satu rantai standar (baik secara langsung maupun tidak langsung).

Grafik menyaring tabel memiliki tiga rantai standar:

• INPUT: menyangkut paket yang tujuannya adalah firewall itu sendiri;

• KELUARAN: menyangkut paket yang dipancarkan oleh firewall;

• MENERUSKAN: menyangkut paket yang melewati firewall (yang bukan sumber maupun tujuannya).

Grafik nat tabel juga memiliki tiga rantai standar:

• PREROUTING: untuk mengubah paket segera setelah mereka tiba;

• POSTROUTING: untuk memodifikasi paket ketika mereka siap untuk pergi;

• KELUARAN: untuk memodifikasi paket yang dihasilkan oleh firewall itu sendiri.

Rantai ini diilustrasikan pada Gambar 7.1, “Bagaimana Rantai Netfilter Disebut” [halaman 155].

gambar

Gambar 7.1 Seterpercayaapakah Olymp Trade? Kesimpulan Filter bersih Rantai Disebut

Setiap rantai adalah daftar aturan; setiap aturan adalah seperangkat kondisi dan tindakan yang harus dilakukan ketika kondisi terpenuhi. Saat memproses paket, firewall memindai rantai yang sesuai, satu demi satu aturan, dan ketika kondisi untuk satu aturan terpenuhi, ia melompat (karenanya -j opsi dalam perintah) ke tindakan yang ditentukan untuk melanjutkan pemrosesan. Perilaku yang paling umum adalah tindakan standar dan ada untuk mereka. Mengambil salah satu dari tindakan standar ini akan menghentikan pemrosesan rantai, karena nasib paket sudah disegel (kecuali pengecualian yang disebutkan di bawah). Tercantum di bawah ini adalah Filter bersih tindakan.

• MENERIMA: memungkinkan paket untuk melanjutkan perjalanannya.

• MENOLAK: menolak paket dengan paket kesalahan protokol pesan kontrol Internet (ICMP) (yang --tolak-dengan mengetik pilihan dari iptables menentukan jenis kesalahan yang akan dikirim).

• DROP: hapus (abaikan) paket.

• LOG: log (melalui syslogd) pesan dengan deskripsi paket. Perhatikan bahwa tindakan ini tidak mengganggu pemrosesan, dan eksekusi rantai berlanjut pada aturan berikutnya, itulah sebabnya logging paket yang ditolak memerlukan aturan LOG dan REJECT/DROP. Parameter umum yang terkait dengan logging meliputi:

- --tingkat log, dengan nilai default peringatan, menunjukkan syslog tingkat keparahan.

- --log-awalan memungkinkan menentukan awalan teks untuk membedakan antara pesan yang dicatat.

- --log-tcp-sequence, --log-tcp-options, dan --log-ip-options menunjukkan data tambahan untuk diintegrasikan ke dalam pesan: masing-masing, nomor urut TCP, opsi TCP, dan opsi IP.

• ULOG: mencatat pesan melalui ulogd, yang dapat diadaptasi dengan lebih baik dan lebih efisien daripada syslogd untuk menangani sejumlah besar pesan; perhatikan bahwa tindakan ini, seperti LOG, juga mengembalikan pemrosesan ke aturan berikutnya dalam rantai pemanggilan.

• nama_rantai: lompat ke rantai yang diberikan dan evaluasi aturannya.

• KEMBALI: interupsi pemrosesan rantai saat ini dan kembali ke rantai panggilan; jika rantai saat ini adalah rantai standar, tidak ada rantai panggilan, jadi tindakan default (didefinisikan dengan -P pilihan untuk iptables) dieksekusi sebagai gantinya.

• SNAT (hanya di nat tabel): berlaku Terjemahan Alamat Jaringan Sumber (SNAT). Opsi tambahan menjelaskan perubahan yang tepat untuk diterapkan, termasuk --ke-sumber alamat:pelabuhan opsi, yang menentukan alamat IP dan/atau port sumber baru.

• DNAT (hanya di nat tabel): berlaku Terjemahan Alamat Jaringan Tujuan (DNA). Opsi tambahan menjelaskan perubahan yang tepat untuk diterapkan, termasuk: --ke-tujuan alamat:pelabuhan opsi, yang menentukan alamat IP dan/atau port tujuan baru.

• MENYAMAR (hanya di nat tabel): berlaku menyamar (kasus khusus dari Sumber NAT).

• MENGALIHKAN (hanya di nat table): secara transparan mengarahkan paket ke port tertentu dari firewall itu sendiri; ini dapat digunakan untuk mengatur proxy web transparan yang bekerja tanpa konfigurasi di sisi klien, karena klien mengira itu terhubung ke penerima sedangkan komunikasi sebenarnya melalui proxy. NS --ke-pelabuhan pelabuhan pilihan menunjukkan port, atau jangkauan port, di mana paket harus diarahkan.

Tindakan lain, terutama yang berkaitan dengan mengoyakkan tabel, berada di luar cakupan teks ini. NS tabel ip(8) dan tabel ip6(8) halaman manual memiliki daftar lengkap.

Apa itu ICMP? Protokol Pesan Kontrol Internet (ICMP) adalah protokol yang digunakan untuk mengirimkan informasi tambahan pada komunikasi. Ini menguji konektivitas jaringan dengan ping perintah, yang mengirimkan ICMP permintaan gema pesan, yang dimaksudkan untuk dijawab oleh penerima dengan ICMP balasan gema pesan. Ini menandakan firewall menolak paket, menunjukkan overflow di buffer penerima, mengusulkan rute yang lebih baik untuk paket berikutnya dalam koneksi, dan seterusnya. Protokol ini didefinisikan oleh beberapa dokumen RFC. RFC777 dan RFC792 adalah yang pertama, tetapi banyak lainnya memperluas dan/atau merevisi protokol.

➨ http://www.faqs.org/rfcs/rfc777.html

➨ http://www.faqs.org/rfcs/rfc792.html

Sebagai referensi, buffer penerima adalah zona memori kecil yang menyimpan data antara waktu tiba dari jaringan dan waktu kernel menanganinya. Jika zona ini penuh, data baru tidak dapat diterima dan ICMP memberi sinyal masalah sehingga emitor dapat memperlambat laju transfernya (yang idealnya mencapai keseimbangan setelah beberapa waktu).

Perhatikan bahwa meskipun jaringan IPv4 dapat bekerja tanpa ICMP, ICMPv6 sangat diperlukan untuk jaringan IPv6, karena menggabungkan beberapa fungsi yang, di dunia IPv4, tersebar di ICMPv4, Protokol Keanggotaan Grup Internet (IGMP), dan Protokol Resolusi Alamat (ARP). ICMPv6 didefinisikan dalam RFC4443.

➨ http://www.faqs.org/rfcs/rfc4443.html

Apa itu ICMP? Protokol Pesan Kontrol Internet (ICMP) adalah protokol yang digunakan untuk mengirimkan informasi tambahan pada komunikasi. Ini menguji konektivitas jaringan dengan ping perintah, yang mengirimkan ICMP permintaan gema pesan, yang dimaksudkan untuk dijawab oleh penerima dengan ICMP balasan gema pesan. Ini menandakan firewall menolak paket, menunjukkan overflow di buffer penerima, mengusulkan rute yang lebih baik untuk paket berikutnya dalam koneksi, dan seterusnya. Protokol ini didefinisikan oleh beberapa dokumen RFC. RFC777 dan RFC792 adalah yang pertama, tetapi banyak lainnya memperluas dan/atau merevisi protokol.

➨ http://www.faqs.org/rfcs/rfc777.html

➨ http://www.faqs.org/rfcs/rfc792.html

Sebagai referensi, buffer penerima adalah zona memori kecil yang menyimpan data antara waktu tiba dari jaringan dan waktu kernel menanganinya. Jika zona ini penuh, data baru tidak dapat diterima dan ICMP memberi sinyal masalah sehingga emitor dapat memperlambat laju transfernya (yang idealnya mencapai keseimbangan setelah beberapa waktu).

Perhatikan bahwa meskipun jaringan IPv4 dapat bekerja tanpa ICMP, ICMPv6 sangat diperlukan untuk jaringan IPv6, karena menggabungkan beberapa fungsi yang, di dunia IPv4, tersebar di ICMPv4, Protokol Keanggotaan Grup Internet (IGMP), dan Protokol Resolusi Alamat (ARP). ICMPv6 didefinisikan dalam RFC4443.

➨ http://www.faqs.org/rfcs/rfc4443.html

Komputasi Awan OS Teratas di OnWorks:

Didukung Oleh Kerangka T3

Hosting Online Gratis untuk WorkStation

menu

Komputasi Awan OS Teratas di OnWorks: