研究ネットワークのセキュリティ分析に、ファイアウォール(ファイアウォール)しばしば強調は、基本的な機能をフィルタリングしているネットワークやインターネットデータの特定の部分(データパケット間で転送)ローカルネットワークをブロックすることがあります。実際にもその先に必要な情報によってそれらを送るために使われ、パケットデータのセクションを指定します。
あなたはデータパケットのパケットの考えることができます:データパケットをパケットデータ自体では、封筒は、すべての権利のマシンに、文字の上昇に正しい手順この情報を送信するために使用している間、それもまた含まれています情報の戻りアドレスについて。その特定のフィルタ処理の作業は、ファイアウォール、インターネットルーティング設定から、インターネットと内部ネットワークのネットワークアクセスから内部にアクセスする前に引き継ぎます。
は、その関数はだけでなく、データパケットをフィルタリングするには、増加している私たちの印象は、以前のファイアウォールのいくつかの違法パケット、または理由を入力パケットとして?開発それを現在のフィルタリングファイアウォール知られている1つのフィルタリングに設計されネットワークアドレス変換は、エージェントの等行うことができます。 Linuxカーネル2.4ファイアウォール実装netfilterのは、このようなものです。
ファイアウォールの場所を見てみましょう、私の理解では、いずれそれがマシンパーソナルファイアウォールで、インストールまたはマシンのローカルエリアネットワークへのゲートウェイ機能を提供するためにインストールされ、次に状況の種類を以下に示しますです:
ペアの図は、パケットの図から[]を使用してパスを介して行くかもしれない見ることができますnetfilterをフレーム構造図のゲートウェイにインストールされ要約イースト、チェックポイントは、データパケットが到着として知られてまで延長ポイントは、我々は、いくつかのチェックを停止する必要があります。チェックポイントのここでの名前は、iptablesの名前では、netfilterの特定のいわゆるフック(フック)の機能が付属してあります使用されます。
netfilterは要するに、それは次の3つの基本的な機能を備えて:
1は、データ(フィルタテーブル)のフィルタリング
2、ネットワークアドレス変換(natテーブル)
3、データパケットの処理(mangleテーブル)
5チェックポイント、これらの3つの関数によれば、上記の関数によって分類された。各関数はnetfilter内のテーブルに対応し、以来、各チェックポイントが一致するルールの数は、これらのルールは、そうそこに次のステートメントは:"netfilterのは、コンテナのテーブルですチェーンを形成して、テーブルは、チェーンのコンテナ、チェーンですコンテナのルール"
チェーンは(チェーン)実際にはチェックリスト(チェックリストの規則(ルール)の数)です。各チェーンは、それぞれこのようなルールで定義された1つまたは複数のルールを持つことができます、"もしこれらの条件にヘッダ行なので、パケットを処理します。"パケットがチェーンに到着すると、システムが最初のルールをチェックから条件をルールで定義されて:システムに従ってパケットにルールアプローチで定義される場合は満たしているかどうかが開始されます。場合満足していない次のルールを確認し続けた。パケットはすべてのチェーンのルールを満たしていない場合は最後に、システムがあらかじめ定義されたチェーンの戦略(政策)にパケットを処理するためによるとされます。
そして、基本的に以下の5つの部分から構成iptablesコマンドは:で動作するどのような形態、西王は、チェーンは、陳興のCaozuoは(Charu、シャンチュー、Xiugai追加テーブルを使用)、特定のルールMubiaodongzuoと一致するシュウチュバオTiaojian 。
基本的な構文:iptablesの- tテーブル - 操作チェーンは、- jターゲットマッチ(es)を("フィルタのシステムデフォルトのテーブル")
次のように基本的な操作が:
テールチェーン内の規則を追加する
- Iは挿入規則
- Dの削除ルール
- Rの置換ルール
- Lはルールが表示されます
すべてのリンクに適用される基本的な客観的行動、:
ACCEPTはパケットを受信
破棄パケットのDROP
QUEUEはユーザーにスペースをパケットをキューに入れる
RETURNは、以前の呼び出しにチェーン戻る
foobarにユーザ定義チェイン
すべてのリンクに適用される基本的なマッチング条件:
- Pは、プロトコル(TCP / ICMPの/ UDPの/...)指定
- Sのソースアドレス(IPアドレス/ masklenを)
- Dの宛先アドレス(IPアドレス/ masklenを)
- Iは、パケットの入力インターフェイス
- Oパケットの出力インターフェイス
拡張マッチング条件:
TCPの-----一致する送信元ポート、宛先ポート、およびタグの任意の組み合わせは、TCP、TCPオプション。
updを-----は一致するソースポートと宛先ポート
マッチのICMPタイプのICMP ----
のMAC -----データをMACアドレスに一致する受信
マーク----マッチnfmark
OWNEは----(ローカルでのみ生成されたパケット)にプロセスIDとセッションIDをユーザーID、グループID、一致するように適用されます
LIMITは---パケット時間の制約が特定の期間に一致する。この拡張は制限のデータフローを一致非常に便利なDoS攻撃です。
状態は---)パケットの特定の状態(接続追跡サブシステムの状態によって決定さと一致する、可能な状態が含まれます:
INVALIDは()すべての接続が一致しない
確立されたが(リンクに属する)パケットを確立されている
新しい(接続のデータパケット)
関連(およびICMPエラーメッセージまたはftpのデータ接続などの特定の関連するデータパケットが既に確立された接続)
TOSは - IPヘッダーのTOSフィールドの値と一致します。