Il sito dedicato all'informatica ideato da Iasparra Francesco

IPTables il firewall di linux

  • Principi di funzionamento del firewall IPTable

  • Data: 07/07/2003 Autore: Iasparra Francesco 

A partire dai kernel 2.4.x e' disponibile il framework NETFILTER utilizzato da IPTables.

Netfilter è un framework per il manipolamento dei pacchetti, esterno alla normale interfaccia socket Berkeley, in cui ogni protocollo definisce degli "hook" (IPv4 ne definisce 5), ovvero punti ben definiti durante il viaggio dei pacchetti nella stackprotocollare. Iptables e’ l’interfaccia utente per l’impostazione di filtri eseguiti da netfilter a livello di Kernel (disponibile in tutte le versioni di Linux).

Prerouting: i pacchetti vengono manipolati prima di essere processati per il routing

Input: filtra i pacchetti dall'interfaccia alle applicazioni residenti sulla stessa macchina in cui gira iptables.

Output: dall'applicazione sulla stessa macchina in cui gira iptables verso l'interfaccia di rete.

Forword: Filtra i pacchetti da una interfaccia verso l'altra, questa catena ha senso se vi sono almeno due interfacce di rete.

Postrouting: Prima di essere rilasciati i pacchetti sono manipolati per poi arrivare a destinazione.Per ogni pacchetto analizzato iptables e’ in grado di applicare le seguenti politiche:

ACCEPT (accetta il pacchetto)

DROP e REJECT (scarta il pacchetto)

QUEUE (passa il pacchetto allo userspace)

RETURN (esce dalla access list della attuale tabella e passa il controllo alla successiva tabella)

La sintassi e’ di tipo command line per la costruzione di ACL sequenziali.

Iptable linux

Utilizzate l'opzione -h insiame alle altre per avere informazioni a riguardo, ad esempio:

iptables -p icmp -h pre avere informazioni sul protocollo icmp

Consigli generali da seguire quando si scrive una regola:

- quando si usa -A INPUT e' consigliabile specifica almeno una interfaccia di ingresso (-i eth0)

- quando si usa -A OUTPUT e' consigliabile specifica almeno una interfaccia di uscita (-o eth0)

- quando si usa -A FORWARD e' consigliabile specifica entrambe le interfacce (-o eth0 -i eth1)

- e' consigliabile per ogni regola specificare almeno un indirizzo (-s ipsorgente/mask -d ipdestinazione/mask)

- e' consigliabile per ogni regola specificare il protocollo utilizzato (-p tcp, udp, icmp, all)

- e' consigliabile per ogni regola indicare la porta del servizio (--sport porta sorgente --dport porta destinazione)


  • Java

  • Php

  • Mysql

  • Apache ant

  • Eclipse

  • Spring

  • Hibernate

  • Netbeans

  • Debian

  • Linux

  • Maven