Виртуална Лаборатория по Компютърни Мрежи и Разпределени ...

Виртуална Лаборатория по Компютърни Мрежи и Разпределени Системигенерираните пакети.Mangle table – използва се за промяна на допълнителните полета в хедърана пакета. Всички пакети преминават през тази таблица. Порадиспецифичните и задачи съдържа всички възможни предефинирани вериги:• PREROUTING – всички пакети влизащи в системата (фигура 4).• INPUT – всички пакети предназначени за системата.• FORWARD – всички пакети преминаващи през системата.• OUTPUT – всички пакети произлизащи от системата.• POSTROUTING – всички пакети напускащи системата.Всяко правило си има цел. Целта може да бъде потребителска верига илинякоя от предефинираните цели:ACCEPT – тази цел указва на netfilter да приеме пакета. В зависимост отверигата това може да означава различни действия над пакета. Примернопакет приет от INPUT веригата се позволява да бъде получен от хоста, напакет приет от OUTPUT веригата се разрешава да напусне хоста, на пакетприет от FORWARD веригата му се разрешава да бъде маршрутизиран.DROP – тази цел указва на netfilter да блокира пакета и да не го обработваповече. На източника не се изпраща никакъв отговор и за него блокиранетосе изразява в изтичането на комуникационния таймаут.Съществуват много допълнителни цели повече за които може да сепрочете от ръководството за iptables – QUEUE, RETURN, REJECT, LOG,ULOG, DNAT, SNAT, MASQUERADE. От тях по-интересна е последната:MASQUERADE – това е специална, ограничена форма на SNAT замрежи, чиито външен IP адрес е динамичен (често срещано условие). В тозислучай вместо да се сменя SNAT правилото при смяна на адреса се използваавтоматично адреса на изходящия интерфейс при транслирането на адресите.Следене на състоянието на връзкитеЕдна важна възможност изградена върху netfilter рамката е следенето насъстоянието на връзката. Тя позволява на ядрото на системата да пази следаза всички логически мрежови връзки и сесии и да определя пакетите от коитосе състои една връзка. NAT използва тази информация за да транслиравсички пакети от една връзка по същия начин. IPTABLES може да използватази информация за изграждане на stateful защитни стени.Следенето на състоянието на връзката класифицира всеки пакет към едноот следните четири състояния: NEW (опит за изграждане на нова връзка),ESTABLISHED (част от вече изградена връзка), RELATED (свързан, но незадължително част от същата връзка) и INVALID (не е част от съществуваща,нито заявка за нова връзка). Нормално първия пакет ще бъде класифициранкато NEW, отговорът като ESTABLISHED и ICMP съобщение катоRELATED. ICMP съобщение което не се отнася за някоя от съществуващитеСтр.56Мрежов слой. Транслиране на адреси (NAT) и защитни стени (Firewalls).