4 - Netfilter (Iptables)

O Iptables é um framework capaz de realizar filtros de pacotes, tradução de endereços de rede e tradução de número de portas TCP e UDP, além de outros tipos de manipulação de pacotes TCP/IP.

Ele foi desenvolvido para trabalhar integrado com o Linux kernel 2.4 e 2.6. Surgiu da reescrita e evolução dos códigos do Ipfwadm para o Linux kernel 2.0 e do Ipfluxo para o Linux kernel 2.2.

Uma virtude do Netfilter é suportar módulos, permitindo implementações das mais simples às mais sofisticadas.

Principais características:

Stateless packet filtering (IPv4 e IPv6);
Stateful packet filtering (IPv4 e IPv6);
Tradução de endereço e portas (IPv4);
Desenvolvido para ser flexível e extensível;
API (conjunto de rotinas e padrões estabelecidos por um software para a utilização de suas funcionalidades por programas aplicativos que não precisam envolver-se nos detalhes da implementação do software) de várias camadas para programação de complementos de terceiros;
Grande número de softwares adicionais (plugins) e módulos mantidos no repositório do Netfilter.

Antes de entrar nos comandos de configuração do Iptables, é importante conhecer alguns conceitos envolvidos, apresentados a seguir:

Stateless

é uma técnica de controle simples baseada apenas na verificação de cabeçalhos dos pacotes TCP/IP, não observando o estado da conexão (Three Way Handshake). Atualmente, o Iptables suporta verificação de pacotes TCP/IP versões 4 e 6.

Stateful

é uma técnica de controle de pacotes TCP/IP baseada no estado da conexão, mantendo tabelas com o estado das conexões e criando regras automáticas, quando necessário, para a volta dos pacotes. Também suporta atualmente controle de pacotes IPv4 e IPv6. Corresponde ao stateful inspection.

Tradução de endereços IP e portas TCP ou UDP

São técnicas implementadas pelo Netfilter que visam atender à RFC 1918. O Netfilter denomina de NAT a tradução de endereço IP e de NAPT a tradução de portas TCP e UDP, sendo até o momento suportado apenas no protocolo IPv4.