Iptables

De Viquipèdia
Dreceres ràpides: navegació, cerca
Flow of network packets through Netfilter

Iptables és un sistema de tallafocs vinculat al kernel de linux que ens permet configurar les regles de filtratge de paquets. Un firewall d'iptables no és com un servidor que el parem i l'engeguem sinó el que es fa és aplicar regles, per aplicar aquestes regles utilitzem la comanda iptables amb el que podem afegir, esborrar o modificar regles. Així doncs per configurar-lo només caldrà crear un Intèrpret d'ordres que executi una sèrie de comandes.

El funcionament de l'iptables és simple se li especifiquen unes regles amb unes determinades característiques que ha de complir un paquet, per cada regla s'especifica una acció o target. Les regles tenen un ordre i quan es rep o s'envia un paquet aquestes es recorren en ordre fins que les condicions d'una d'aquestes regles es compleixi en el paquet i la regla s'activa realitzant sobre el paquet l'acció que s'havia especificat.

Aquestes accions es reflecteixen en el que es denominen targets, que indica el que cal fer amb el paquet. Alguns dels targets més utilitzats són:

  • ACCEPT: Es deixa passar el paquet.
  • DROP: S'ignora el paquet com si l'ordinador estigués apagat.
  • REJECT: Ens permet triar de quina manera ha de ser rebutjat el paquet. Alguns possibles valors de REJECT per un paquet ICMP podrien ser icmp-net-unreachable, icmp-host-unreachable, icmp-port-unreachable, icmp-proto-unreachable, icmp-net-prohibited i icmp-host-prohibited.

Però també hi ha altres targets que permeten funcionalitats afegides com són LOG, MIRROR...

Iptables té tres tipus de taules per emmagatzemar les regles:

  • FILTER: És la taula per defecte pels paquets que es refereixen a la nostra màquina, amb tres tipus de regles.
    • INPUT: S'apliquen als paquets que tenen com a destí la nostra màquina.
    • OUTPUT: S'apliquen als paquets generats en el nostre sistema i que són enviats a l'exterior
    • FORWARD: S'apliquen a paquets destinats a altres màquines que han de travessar la nostra.
  • MANGLE: Regles que serveixen per modificar els paquets que travessen el kernel. Té cinc tipus de regles.
    • INPUT
    • OUTPUT
    • FORWARD
    • PREROUTING
    • POSTROUTING
  • NAT: Serveix per fer redireccions (un tipus de packet mangling) de paquets entre ports i Ip's d'origen i destí amb tres tipus de regles.
    • PREROUTING: S'apliquen als paquets tan bon punt arriben al tallafocs.
    • POSTROUNTING: S'apliquen als paquets quan estan a punt de sortir del tallafocs.
    • OUTPUT: S'apliquen als paquets generats en el nostre sistema i que són redirigits a l'exterior.