dokumentasi<Sebelum | Contents [show] | Seterusnya>
7.4.1. Kelakuan Penapis Net
Netfilter menggunakan empat jadual berbeza, yang menyimpan peraturan yang mengawal selia tiga jenis operasi pada paket:
• menapis berkenaan peraturan penapisan (menerima, menolak, atau mengabaikan paket);
• nat (Terjemahan Alamat Rangkaian) melibatkan terjemahan sumber atau alamat destinasi dan port paket;
• mangle melibatkan perubahan lain pada paket IP (termasuk ToS—Jenis Perkhidmatan—medan dan pilihan);
• mentah membenarkan pengubahsuaian manual lain pada paket sebelum ia mencapai sistem pengesanan sambungan.
Setiap jadual mengandungi senarai peraturan yang dipanggil rantaian. Firewall menggunakan rantai standard untuk mengendalikan paket berdasarkan keadaan yang telah ditetapkan. Pentadbir boleh mencipta rantaian lain, yang hanya akan digunakan apabila dirujuk oleh salah satu rantai standard (sama ada secara langsung atau tidak langsung).
. menapis jadual mempunyai tiga rantai standard:
• INPUT: berkenaan paket yang destinasinya ialah tembok api itu sendiri;
• OUTPUT: membimbangkan paket yang dipancarkan oleh tembok api;
• KE DEPAN: membimbangkan paket yang melalui tembok api (yang bukan sumbernya mahupun destinasinya).
. nat jadual juga mempunyai tiga rantai standard:
• PREROUTING: untuk mengubah suai paket sebaik sahaja ia tiba;
• POSTROUTING: untuk mengubah suai paket apabila mereka bersedia untuk meneruskan perjalanan mereka;
• OUTPUT: untuk mengubah suai paket yang dihasilkan oleh tembok api itu sendiri.
Rantaian ini digambarkan dalam Rajah 7.1, “Bagaimana Rantai Penapis Net Dipanggil” [halaman 155].
Rajah 7.1 Cara Penapis bersih Rantai Dipanggil
Setiap rantai adalah senarai peraturan; setiap peraturan adalah satu set syarat dan tindakan yang perlu dilakukan apabila syarat dipenuhi. Apabila memproses paket, tembok api mengimbas rantai yang sesuai, satu demi satu peraturan, dan apabila syarat untuk satu peraturan dipenuhi, ia melompat (oleh itu -j pilihan dalam arahan) kepada tindakan yang ditentukan untuk meneruskan pemprosesan. Tingkah laku yang paling biasa adalah standard dan tindakan khusus wujud untuk mereka. Mengambil salah satu daripada tindakan standard ini mengganggu pemprosesan rantai, kerana nasib paket sudah dimeterai (kecuali pengecualian yang dinyatakan di bawah). Disenaraikan di bawah adalah Penapis bersih tindakan.
• TIDAK AKTIF: benarkan paket itu meneruskan perjalanannya.
• REJEK: menolak paket dengan paket ralat protokol mesej kawalan Internet (ICMP) (the --tolak-dengan jenis pilihan untuk iptables menentukan jenis ralat untuk dihantar).
• GUGUR: padam (abaikan) paket.
• LOG: log (melalui syslogd) mesej dengan penerangan tentang paket. Ambil perhatian bahawa tindakan ini tidak mengganggu pemprosesan, dan pelaksanaan rantai diteruskan pada peraturan seterusnya, itulah sebabnya pengelogan paket yang ditolak memerlukan kedua-dua peraturan LOG dan REJECT/DROP. Parameter biasa yang dikaitkan dengan pengelogan termasuk:
- --peringkat-log, dengan nilai lalai amaran, menunjukkan syslog tahap keterukan.
- --log-awalan membenarkan penetapan awalan teks untuk membezakan antara mesej yang dilog.
- --log-tcp-sequence, --log-tcp-options, dan --log-ip-options menunjukkan data tambahan untuk diintegrasikan ke dalam mesej: masing-masing, nombor urutan TCP, pilihan TCP dan pilihan IP.
• ULOG: log mesej melalui ulogd, yang boleh disesuaikan dengan lebih baik dan lebih cekap daripada syslogd untuk mengendalikan sejumlah besar mesej; ambil perhatian bahawa tindakan ini, seperti LOG, juga mengembalikan pemprosesan kepada peraturan seterusnya dalam rantaian panggilan.
• nama_rantai: melompat ke rantai yang diberikan dan menilai peraturannya.
• PULANG BALIK: mengganggu pemprosesan rantaian semasa dan kembali ke rantaian panggilan; sekiranya rantai semasa adalah yang standard, tiada rantai panggilan, jadi tindakan lalai (ditakrifkan dengan -P pilihan untuk iptables) dilaksanakan sebaliknya.
• SNAT (hanya dalam nat jadual): memohon Terjemahan Alamat Rangkaian Sumber (SNAT). Pilihan tambahan menerangkan perubahan yang tepat untuk digunakan, termasuk --ke-sumber alamat:pelabuhan pilihan, yang mentakrifkan alamat IP sumber baharu dan/atau port.
• DNAT (hanya dalam nat jadual): memohon Terjemahan Alamat Rangkaian Destinasi (DNAT). Pilihan tambahan menerangkan perubahan yang tepat untuk digunakan, termasuk --ke-destinasi alamat:pelabuhan pilihan, yang mentakrifkan alamat IP destinasi baharu dan/atau port.
• BERTOKOR (hanya dalam nat jadual): memohon menyamar (kes khas Sumber NAT).
• UBAH ARAH (hanya dalam nat jadual): mengubah hala paket secara telus ke port tertentu pada tembok api itu sendiri; ini boleh digunakan untuk menyediakan proksi web telus yang berfungsi tanpa konfigurasi pada sisi klien, kerana klien berpendapat ia bersambung kepada penerima sedangkan komunikasi sebenarnya melalui proksi. The --ke-pelabuhan pelabuhan pilihan menunjukkan port, atau julat port, di mana paket harus diubah hala.
Tindakan lain, terutamanya yang berkaitan dengan mangle jadual, berada di luar skop teks ini. The iptables(8) and ip6tables(8) halaman manual mempunyai senarai yang komprehensif.
Apakah ICMP? Protokol Mesej Kawalan Internet (ICMP) ialah protokol yang digunakan untuk menghantar maklumat sampingan mengenai komunikasi. Ia menguji ketersambungan rangkaian dengan ping arahan, yang menghantar ICMP permintaan gema mesej, yang dimaksudkan untuk dijawab oleh penerima dengan ICMP balas bergema mesej. Ia menandakan tembok api menolak paket, menunjukkan limpahan dalam penimbal terima, mencadangkan laluan yang lebih baik untuk paket seterusnya dalam sambungan, dan sebagainya. Protokol ini ditakrifkan oleh beberapa dokumen RFC. RFC777 dan RFC792 adalah yang pertama, tetapi ramai yang lain melanjutkan dan/atau menyemak protokol.
➨ http://www.faqs.org/rfcs/rfc777.html
➨ http://www.faqs.org/rfcs/rfc792.html
Sebagai rujukan, penimbal terima ialah zon memori kecil yang menyimpan data antara masa ia tiba dari rangkaian dan masa kernel mengendalikannya. Jika zon ini penuh, data baharu tidak boleh diterima dan ICMP memberi isyarat masalah supaya pemancar boleh memperlahankan kadar pemindahannya (yang idealnya akan mencapai keseimbangan selepas beberapa ketika).
Ambil perhatian bahawa walaupun rangkaian IPv4 boleh berfungsi tanpa ICMP, ICMPv6 amat diperlukan untuk rangkaian IPv6, kerana ia menggabungkan beberapa fungsi yang, dalam dunia IPv4, tersebar di seluruh ICMPv4, Protokol Keahlian Kumpulan Internet (IGMP), dan Protokol Resolusi Pakaian (ARP). ICMPv6 ditakrifkan dalam RFC4443.
➨ http://www.faqs.org/rfcs/rfc4443.html
Apakah ICMP? Protokol Mesej Kawalan Internet (ICMP) ialah protokol yang digunakan untuk menghantar maklumat sampingan mengenai komunikasi. Ia menguji ketersambungan rangkaian dengan ping arahan, yang menghantar ICMP permintaan gema mesej, yang dimaksudkan untuk dijawab oleh penerima dengan ICMP balas bergema mesej. Ia menandakan tembok api menolak paket, menunjukkan limpahan dalam penimbal terima, mencadangkan laluan yang lebih baik untuk paket seterusnya dalam sambungan, dan sebagainya. Protokol ini ditakrifkan oleh beberapa dokumen RFC. RFC777 dan RFC792 adalah yang pertama, tetapi ramai yang lain melanjutkan dan/atau menyemak protokol.
➨ http://www.faqs.org/rfcs/rfc777.html
➨ http://www.faqs.org/rfcs/rfc792.html
Sebagai rujukan, penimbal terima ialah zon memori kecil yang menyimpan data antara masa ia tiba dari rangkaian dan masa kernel mengendalikannya. Jika zon ini penuh, data baharu tidak boleh diterima dan ICMP memberi isyarat masalah supaya pemancar boleh memperlahankan kadar pemindahannya (yang idealnya akan mencapai keseimbangan selepas beberapa ketika).
Ambil perhatian bahawa walaupun rangkaian IPv4 boleh berfungsi tanpa ICMP, ICMPv6 amat diperlukan untuk rangkaian IPv6, kerana ia menggabungkan beberapa fungsi yang, dalam dunia IPv4, tersebar di seluruh ICMPv4, Protokol Keahlian Kumpulan Internet (IGMP), dan Protokol Resolusi Pakaian (ARP). ICMPv6 ditakrifkan dalam RFC4443.
➨ http://www.faqs.org/rfcs/rfc4443.html