A Netfilter

• Szerző: Sallai András
• Copyright © Sallai András, 2020
• Licenc: CC Attribution-Share Alike 4.0 International
• Web: https://szit.hu

A netfilter egy csomagszűrő szoftver, a 2.4.x és későbbi Linux kernelek számára.

Lehetővé teszik a csomagok:

• szűrését
• címfordítást
• csomagnaplózás
• csomagok sorba állítása a felhasználó térben
• IP fejlécek átírása

A Netfilter kampók, angolul hook, kapcsolódási pontok, ahol beleszólhatunk a csomagok áramlásába.

5 alapértelmezett kampó van, ezeket az alábbi táblázat mutatja be.

A nagybetűs alak a kernel forráskódjában megadott neveket mutatja.

A beállítások során láncokat hozunk létre, amelyeknek a neve célszerűen megegyezik a kampók nevével.

A netfilter beállítás során szabályokat írnunk, amelyek listát alkotnak. A listákat láncokhoz, azokon keresztül pedig a kampókhoz rendeljük.

A táblák egy-egy tevékenység típust jelölnek.

Az alábbi táblázat bemutatja milyen típusú tevékenységeket végezhetünk.

A Netfilter egyik lehetősége a szűrés. Ahogy az előző részben látható volt, a csomagok útjába 5 kampónál szólhatunk bele a csomagok áramlásába. Szűrésre ezek közül 3 áll rendelkezésre. Ezek:

• input
• forward
• output

A csomagokat engedhetjük az útjukra, eldobhatjuk, átadhatjuk egy alrendszernek, sorba állíthatjuk, vagy visszairányíthatjuk szabálylista elejére a láncon.

A csomagok sorsa a következő lehet:

• ACCEPT - a csomagok folytathatják útjukat
• DROP - a csomagokat eldobjuk
• STOLEN - egy alrendszer kezeli tovább a csomagot
• QUEUE - a csomag sorba állítása
• REPEAT - átirányítás újra erre a kampóra

A címfordítás angolul Network Address Translation, vagy csak röviden NAT. IPv4-s címtérben a privát címek nyilvános IP címekké fordítását és nyilvános címek privát címmé fordítását jelentik.

Címfordítást, a következő láncokon végezhetünk:

• prerouting
• input
• postrouting
• output