Per ogni sistema, il firewall è un must per la sicurezza. Nei sistemi Linux, un firewall può essere implementato utilizzando l'utilità della riga di comando iptables. È molto potente per impostare le regole del firewall per una maggiore sicurezza. Sotto il cofano, iptables interagisce con gli hook di filtraggio dei pacchetti dello stack di rete del kernel noto come framework Netfilter (http://www.netfilter.org/). Può gestire il filtraggio dei pacchetti e le regole NAT.
Nota:in pratica iptables gestisce le regole IPv4 e ip6tables http://linux.die.net/man/8/ip6tables gestisce le regole IPv6.
Guida introduttiva a iptables
L'utilità iptables utilizza il concetto di tabella per organizzare le regole del firewall. Le tabelle, a loro volta, contengono una serie di catene. E le catene contengono un insieme di regole.
Esistono quattro tipi di tabelle.
1. Filtra tabella
2. Tabella NAT
3. Tavolo Mangle
4. Tavolo grezzo
5. Tabella di sicurezza
Tabella dei filtri
È l'iptable predefinito. Questa tabella decide se un pacchetto deve essere consentito o meno a destinazione. Un pacchetto tipico che ha raggiunto la tabella dei filtri passerà attraverso una delle tre catene seguenti.
1. Catena di input:se un pacchetto è destinato al tuo server, passa attraverso la catena INPUT.
2. Output:se l'origine dei pacchetti è il tuo server, passa attraverso la catena di output.
3. Inoltra:se i pacchetti, né l'origine né la destinazione appartengono al tuo server, passa attraverso la catena di inoltro. Significa che il pacchetto da un'altra NIC del tuo server viene instradato. Questo accade normalmente quando il tuo sistema Linux funge da router.
Puoi visualizzare la tabella dei filtri nel tuo sistema usando il seguente comando.
sudo iptables -t filter --list
Tabella NAT
La tabella NAT contiene le seguenti catene.
1. Catena PREROUTING – Questa catena è principalmente per DNAT (Destination NAT)
2. Catena POSTROUTING – Questa catena è principalmente per SNAT (Source NAT)
Nota:leggi DNAT e SNAT con l'esempio da qui .
3. Catena di OUTPUT:se i pacchetti vengono consegnati localmente, viene utilizzata questa catena.
Puoi visualizzare la tabella NAT usando il seguente comando.
sudo iptables -t filter --list
Tabella Mangle
Questa tabella viene utilizzata principalmente per modificare le intestazioni IP. Ha le seguenti catene.
1. PREROUTING
2. USCITA
3. AVANTI
4. INGRESSO
5. POSTERIORE
Visualizza l'elenco delle tabelle mangle utilizzando il comando seguente.
sudo iptables -t mangle --list
Tabella grezza
Questa tabella fornisce un meccanismo per contrassegnare i pacchetti per la disattivazione del rilevamento della connessione. http://people.netfilter.org/pablo/docs/login.pdf
Il tavolo Mangle ha le seguenti catene
1. PREROUTING
2. Catena di USCITA
Visualizza l'elenco delle tabelle non elaborate utilizzando il comando seguente.
sudo iptables -t raw --list
Tabella di sicurezza
Questa tabella è correlata a SELINUX. Imposta il contesto SELINUX sui pacchetti. Per essere più specifici, viene utilizzato per il controllo di accesso obbligatorio https://en.wikipedia.org/wiki/Mandatory_access_control
Visualizza l'elenco della tabella di sicurezza utilizzando il comando seguente.
sudo iptables -t security --list