IPTables il firewall di linux

Principi di funzionamento del firewall IPTable
Data: 07/07/2003 Autore: Iasparra Francesco 

A partire dai kernel 2.4.x e' disponibile il framework NETFILTER utilizzato da IPTables.

Netfilter è un framework per il manipolamento dei pacchetti, esterno alla normale interfaccia socket Berkeley, in cui ogni protocollo definisce degli "hook" (IPv4 ne definisce 5), ovvero punti ben definiti durante il viaggio dei pacchetti nella stackprotocollare. Iptables e’ l’interfaccia utente per l’impostazione di filtri eseguiti da netfilter a livello di Kernel (disponibile in tutte le versioni di Linux).

Prerouting: i pacchetti vengono manipolati prima di essere processati per il routing

Input: filtra i pacchetti dall'interfaccia alle applicazioni residenti sulla stessa macchina in cui gira iptables.

Output: dall'applicazione sulla stessa macchina in cui gira iptables verso l'interfaccia di rete.

Forword: Filtra i pacchetti da una interfaccia verso l'altra, questa catena ha senso se vi sono almeno due interfacce di rete.

Postrouting: Prima di essere rilasciati i pacchetti sono manipolati per poi arrivare a destinazione.Per ogni pacchetto analizzato iptables e’ in grado di applicare le seguenti politiche:

ACCEPT (accetta il pacchetto)

DROP e REJECT (scarta il pacchetto)

QUEUE (passa il pacchetto allo userspace)

RETURN (esce dalla access list della attuale tabella e passa il controllo alla successiva tabella)

La sintassi e’ di tipo command line per la costruzione di ACL sequenziali.

Iptable linux

Utilizzate l'opzione -h insiame alle altre per avere informazioni a riguardo, ad esempio:

iptables -p icmp -h pre avere informazioni sul protocollo icmp

Consigli generali da seguire quando si scrive una regola:

- quando si usa -A INPUT e' consigliabile specifica almeno una interfaccia di ingresso (-i eth0)

- quando si usa -A OUTPUT e' consigliabile specifica almeno una interfaccia di uscita (-o eth0)

- quando si usa -A FORWARD e' consigliabile specifica entrambe le interfacce (-o eth0 -i eth1)

- e' consigliabile per ogni regola specificare almeno un indirizzo (-s ipsorgente/mask -d ipdestinazione/mask)

- e' consigliabile per ogni regola specificare il protocollo utilizzato (-p tcp, udp, icmp, all)

- e' consigliabile per ogni regola indicare la porta del servizio (--sport porta sorgente --dport porta destinazione)



  • Java
  • Php
  • Mysql
  • Apache ant
  • Eclipse
  • Spring
  • Hibernate
  • Netbeans
  • Debian
  • Linux
  • Maven

by Iasparra Francesco - © Copyright 2021

E' vietata la riproduzione anche parziale dei materiali presenti in questo sito.

I marchi e le immagini esposti sono Copyright dei rispettivi proprietari.