Виртуална Лаборатория по Компютърни Мрежи и Разпределени ...

Виртуална Лаборатория по Компютърни Мрежи и Разпределени Системиточки за достъп за различните протоколи. По този начин след като се„улови” пакет се проверява дали има някой регистрирал се за тазиточка и протокол. Ако има такива на всеки му се дава шанс дапрегледа и евентуално промени пакета и след това да вземе решениеда: блокира пакета (NF_DROP); да го пропусне към следващия(NF_ACCEPT); или направо към края (NF_STOLEN); да го буферирав потребителското пространство (NF_QUEUE).• Пакетите буферирани в потребителското пространство се събират отдрайвера ip_queue и се изпращат до потребителски процес, където сеобработват асинхронно.Iptables – Представлява потребителски инструмент използван отадминистраторите за дефиниране на правила за филтриране на пакети итранслиране на адреси. В практиката често под името iptables се разбирацялата инфраструктура включваща netfilter, следена на връзките, транслиранена адресите и самия инструмент.Netfilter/Iptables инфраструктурата позволява на администраторите дадефинират правила прилагани върху преминаващите през защитната стенапакети. Тези правила се групират във вериги (chains) – всяка веригапредставлява подреден списък от правила. Веригите се групират в таблици –всяка таблица е свързана с различен вид обработка над пакетите.Всяко правило дефинира условие и цел. Целта се прилага върху всичкипакети които изпълняват условието. Всеки пакет преминава през поне еднаверига и се сравнява последователно с всяко от правилата във веригата. Акосе получи съвпадение обхождането на веригата спира и се прилагасъответното правило. Ако пакета не изпълни нито едно условие тогава сеприлага подразбиращата се политика на веригата. Целта на някое правило отверигата може да бъде нова верига. В този случай пакета ще продължи да сесравнява с правилата на първата верига ако премине през втората верига безсъвпадение. Не съществува ограничение за влагането на веригите една вдруга. Съществуват три основни вериги (INPUT, OUTPUT и FORWARD), нопотребителя може да създава неограничен брой нови вериги.Веригите се обединяват в таблици. Съществуват три вградени таблици(FILTER, NAT и MANGLE), всяка от който съдържа някои предефиниранивериги. Също както при веригите потребителите могат да създават новитаблици. Администраторът може да създава и премахва потребителскисъздадени вериги във всяка таблица. Първоначално всички вериги са празни.Пътят на пакетите през отделните таблици е илюстриран на фигура 4.Filter table – тази таблица се използва за филтриране на пакетите(блокиране или разрешаване). Всеки пакет преминава през тази таблица, катозадължително преминава през една от следните предефинирани вериги:• INPUT – всички пакети предназначени за защитната стенапреминават през тази верига (фигура 4), затова понякога се наричаоще LOCAL_INPUT.Стр.54Мрежов слой. Транслиране на адреси (NAT) и защитни стени (Firewalls).