<Anterior | Contenido | Siguiente>
7.4.1. Comportamiento de Netfilter
Netfilter utiliza cuatro tablas distintas, que almacenan reglas que regulan tres tipos de operaciones en paquetes:
• filtrar se refiere a las reglas de filtrado (aceptar, rechazar o ignorar un paquete);
• nat (Traducción de direcciones de red) se refiere a la traducción de direcciones de origen o destino y puertos de paquetes;
• desaparecido se refiere a otros cambios en los paquetes IP (incluido el ToS—Tipo de servicio—Campo y opciones);
• crudo permite otras modificaciones manuales en paquetes antes de que lleguen al sistema de seguimiento de conexiones.
Cada tabla contiene listas de reglas llamadas cadenas. El cortafuegos utiliza cadenas estándar para manejar paquetes según circunstancias predefinidas. El administrador puede crear otras cadenas, que solo serán utilizadas cuando sean referidas por una de las cadenas estándar (ya sea directa o indirectamente).
El filtrar La mesa tiene tres cadenas estándar:
• ENTRADA: se refiere a los paquetes cuyo destino es el propio cortafuegos;
• SALIDA: se refiere a los paquetes emitidos por el cortafuegos;
• ADELANTE: se refiere a los paquetes que atraviesan el cortafuegos (que no es ni su origen ni su destino).
El nat La mesa también tiene tres cadenas estándar:
• PREROUTING: para modificar los paquetes tan pronto como lleguen;
• POSTROUTING: para modificar paquetes cuando estén listos para seguir su camino;
• SALIDA: para modificar los paquetes generados por el propio cortafuegos.
Estas cadenas se ilustran en la Figura 7.1, “Cómo se denominan las cadenas de Netfilter”[Página 155].
Figura 7.1 y XNUMX Cómo Netfilter Las cadenas se llaman
Cada cadena es una lista de reglas; cada regla es un conjunto de condiciones y una acción a realizar cuando se cumplen las condiciones. Al procesar un paquete, el firewall escanea la cadena apropiada, una regla tras otra, y cuando se cumplen las condiciones para una regla, salta (de ahí el -j opción en los comandos) a la acción especificada para continuar el procesamiento. Los comportamientos más comunes son estandarizados y existen acciones dedicadas para ellos. Tomar una de estas acciones estándar interrumpe el procesamiento de la cadena, ya que el destino de los paquetes ya está sellado (salvo una excepción que se menciona a continuación). A continuación se enumeran los Netfilter acciones.
• ACEPTAR: permite que el paquete siga su camino.
• RECHAZAR: rechace el paquete con un paquete de error del protocolo de mensajes de control de Internet (ICMP) --rechazar-con tipo opción de iptables determina el tipo de error a enviar).
• DROP: eliminar (ignorar) el paquete.
• LOG: registro (a través de syslogd) un mensaje con una descripción del paquete. Tenga en cuenta que esta acción no interrumpe el procesamiento y la ejecución de la cadena continúa en la siguiente regla, por lo que el registro de paquetes rechazados requiere tanto una regla LOG como una regla REJECT / DROP. Los parámetros comunes asociados con el registro incluyen:
– --nivel de registro, con valor predeterminado advertencia, indica el syslog nivel de severidad.
– --log-prefijo permite especificar un prefijo de texto para diferenciar los mensajes registrados.
– --log-tcp-sequence, --log-tcp-options y --log-ip-options indican datos adicionales que se integrarán en el mensaje: respectivamente, el número de secuencia de TCP, las opciones de TCP y las opciones de IP.
• ULOG: registrar un mensaje a través de ulogd, que puede adaptarse mejor y ser más eficiente que syslogd para manejar una gran cantidad de mensajes; tenga en cuenta que esta acción, como LOG, también devuelve el procesamiento a la siguiente regla en la cadena de llamada.
• nombre_cadena: salta a la cadena dada y evalúa sus reglas.
• DEVOLUCION : interrumpir el procesamiento de la cadena actual y volver a la cadena de llamada; en caso de que la cadena actual sea estándar, no hay una cadena de llamadas, por lo que la acción predeterminada (definida con el -P opción de iptables) se ejecuta en su lugar.
• SNAT (solo en el nat tabla): aplicar Traducción de direcciones de red de origen (SNAT). Las opciones adicionales describen los cambios exactos que se deben aplicar, incluido el --a la fuente dirección:Puerto opción, que define la nueva dirección IP de origen y / o puerto.
• DTA (solo en el nat tabla): aplicar Traducción de direcciones de red de destino (DNAT). Las opciones adicionales describen los cambios exactos que se deben aplicar, incluido el - al destino dirección:Puerto opción, que define la nueva dirección IP y / o puerto de destino.
• MASCARADA (solo en el nat tabla): aplicar enmascaramiento (un caso especial de Fuente NAT).
• Redireccionar (solo en el nat table): redirige de forma transparente un paquete a un puerto determinado del cortafuegos; esto se puede utilizar para configurar un proxy web transparente que funcione sin configuración en el lado del cliente, ya que el cliente cree que se conecta con el destinatario, mientras que las comunicaciones en realidad pasan por el proxy. los --a-puertos puerto (s) La opción indica el puerto, o rango de puertos, donde los paquetes deben ser redirigidos.
Otras acciones, en particular las relativas a la desaparecido tabla, quedan fuera del alcance de este texto. los iptables (8) y ip6tables (8) Las páginas man tienen una lista completa.
¿Qué es ICMP? Protocolo de mensajes de control de Internet (ICMP) es el protocolo utilizado para transmitir información auxiliar sobre comunicaciones. Prueba la conectividad de la red con el de ping comando, que envía un ICMP solicitud de eco mensaje, que el destinatario debe responder con un ICMP respuesta de eco mensaje. Señala que un cortafuegos rechaza un paquete, indica un desbordamiento en un búfer de recepción, propone una mejor ruta para los siguientes paquetes en la conexión, etc. Este protocolo está definido por varios documentos RFC. RFC777 y RFC792 fueron los primeros, pero muchos otros ampliaron y / o revisaron el protocolo.
➨ http://www.faqs.org/rfcs/rfc777.html
➨ http://www.faqs.org/rfcs/rfc792.html
Como referencia, un búfer de recepción es una pequeña zona de memoria que almacena datos entre el momento en que llegan de la red y el momento en que el kernel los maneja. Si esta zona está llena, no se pueden recibir nuevos datos e ICMP señala el problema para que el emisor pueda ralentizar su tasa de transferencia (que idealmente debería alcanzar un equilibrio después de un tiempo).
Tenga en cuenta que aunque una red IPv4 puede funcionar sin ICMP, ICMPv6 es estrictamente necesario para una red IPv6, ya que combina varias funciones que estaban, en el mundo IPv4, distribuidas a través de ICMPv4, Protocolo de pertenencia a grupos de Internet (IGMP) y Protocolo de resolucion de DIRECCION (ARP). ICMPv6 se define en RFC4443.
➨ http://www.faqs.org/rfcs/rfc4443.html
¿Qué es ICMP? Protocolo de mensajes de control de Internet (ICMP) es el protocolo utilizado para transmitir información auxiliar sobre comunicaciones. Prueba la conectividad de la red con el de ping comando, que envía un ICMP solicitud de eco mensaje, que el destinatario debe responder con un ICMP respuesta de eco mensaje. Señala que un cortafuegos rechaza un paquete, indica un desbordamiento en un búfer de recepción, propone una mejor ruta para los siguientes paquetes en la conexión, etc. Este protocolo está definido por varios documentos RFC. RFC777 y RFC792 fueron los primeros, pero muchos otros ampliaron y / o revisaron el protocolo.
➨ http://www.faqs.org/rfcs/rfc777.html
➨ http://www.faqs.org/rfcs/rfc792.html
Como referencia, un búfer de recepción es una pequeña zona de memoria que almacena datos entre el momento en que llegan de la red y el momento en que el kernel los maneja. Si esta zona está llena, no se pueden recibir nuevos datos e ICMP señala el problema para que el emisor pueda ralentizar su tasa de transferencia (que idealmente debería alcanzar un equilibrio después de un tiempo).
Tenga en cuenta que aunque una red IPv4 puede funcionar sin ICMP, ICMPv6 es estrictamente necesario para una red IPv6, ya que combina varias funciones que estaban, en el mundo IPv4, distribuidas a través de ICMPv4, Protocolo de pertenencia a grupos de Internet (IGMP) y Protocolo de resolucion de DIRECCION (ARP). ICMPv6 se define en RFC4443.
➨ http://www.faqs.org/rfcs/rfc4443.html