Software per il PACKET FILTERING, INSPECTION e NATTING.
Permette di disporre di agganci attraverso i quali intercettare i pacchetti nel sistema; gli agganci (NF_IP_[nome]) sono suddivisi in tre tabelle e vengono associati a delle catene.
Sono presenti 3 TABELLE (con le relative CATENE, ovvero gli agganci, hook, che offrono):
1. FILTER -> INPUT, OUTPUT e FORWARD
2. NAT -> PREROUTING, POSTROUTING e OUTPUT
3. MANGLE -> tutti
Le catene servono per intercettare:
- INPUT: pacchetti destinati alla macchina locale
- OUTPUT: pacchetti uscenti dalla macchina locale
- FORWARD: pacchetti in transito
- PREROUTING: pacchetti non sottoposti a routing
- POSTROUTING: pacchetti sottoposti a routing
Per ogni catena vengono create delle REGOLE tramite appositi comandi, controllate in maniera sequenziale.
Quindi: TABELLA -> CATENA -> REGOLA
Politica di NEGAZIONE IMPLICITA
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP
Struttura comando base
iptables -t [TABELLA] -A[CATENA] <espressione> -j[AZIONE]
Comando per filtraggio pacchetti DINAMICO
iptables -t [TABELLA] -A[CATENA] <espressione> -m state --state NEW,ESTABLISHED,RELATED -j[AZIONE]
In cui si possono inserire le seguenti espressioni (in AND logico)
-s (SOURCE)
-d (DESTINATION)
-i (INPUT), per la scheda di rete in sostituzione di source
-o (OUTPUT), per la scheda di rete in sostituzione di destination
-p (PROTOCOL): tcp, udp, ftp
--sport (SOURCE PORT): si può indicare il nome del protocollo
--dport (DESTINATION PORT): si può indicare il nome del protocollo
Elenco delle regole per ciascuna catena
iptables -t [TABELLA] -L -v -n
Eliminazione di una regola
iptables -t filter [CATENA] [NUMERO RIGA DA ELIMINARE]
Nessun commento:
Posta un commento