- Table: o Iptables possui quatro tabelas, cada uma com propósitos específicos: Nat; Mangle; Filter; Raw.
- Match: termo utilizado quando um pacote “encaixa” em uma determinada regra. Diz-se que o pacote “deu match” em uma determinada regra do Iptables. No roteador Cisco a mensagem é a mesma.
- Target: termo utilizado para informar o que será feito com os pacotes que “derem match” em determinada regra; o target pode ser Accept, Drop, Reject ou outros.
- Rule: uma regra é definida como um match ou conjunto de matches de pacotes com um único target.
- Ruleset: conjunto de regras (rules) de todo o firewall, normalmente agrupado em um arquivo de configuração, para inicialização do Iptables.
- Jump: instrução ligada ao target. Se um pacote “der match” em uma instrução de jump, será analisado por um conjunto de regras extras, definidas no próprio jump. A sintaxe é similar à de target (jump em vez de target).
- Connection tracking: característica do firewall de analisar o estado da conexão e manter em uma base de dados interna. Assim, o firewall é capaz de saber a qual conexão pertence um pacote, aumentando de forma drástica a segurança do sistema de firewall, já que pacotes que não fazem parte de conexões legítimas são automaticamente descartados. Essa característica tem um custo computacional elevado para o firewall, o que também ocorre com o Iptables, gerando a necessidade de mais recursos de CPU e memória do sistema.
- Policy: política padrão de funcionamento do firewall (default permit e default deny). No caso do Iptables, define-se a policy como ACCEPT ou DROP, de acordo com a ação padrão que será dada a um pacote que não “der match” em nenhuma regra específica.
Nat
Utilizada para manipulação de tradução de endereços IP. Os pacotes podem ter os endereços de origem, destino, porta de origem e de destino alterados de acordo com o especificado na regra. Para a tradução de pacotes é necessário especificar apenas a tradução do pacote inicial da conexão, de modo que todos os pacotes seguintes pertencentes a essa conexão serão automaticamente traduzidos. Em suma, a tabela Nat é consultada quando o pacote responsável pela criação da nova conexão é encontrado. É utilizada para roteamento de pacotes entre redes diferentes.
X
Mangle
Utilizada para manipulação de pacotes IP. É possível manipular o conteúdo de diferentes pacotes e seus cabeçalhos, como os campos QoS e TTL, entre outros. Em resumo, a tabela Mangle realiza alterações especiais de maneira a auxiliar a filtragem de pacotes. Utiliza nos cabeçalhos dos pacotes o TOS (Type of Service), que especifica o tipo de serviço ao qual o pacote se destina.
X
Filter
Utilizada para filtros de pacotes, de forma a realizar DROP, LOG, ACCEPT e REJECT de pacotes TCP/IP, conforme visto anteriormente.
X
Raw
Utilizada para filtrar um pacote, mas não monitorar o estado da conexão. É a forma de fazer um filtro de pacotes simples. A tabela Raw é utilizada principalmente para configurar exceções no módulo ip_contrack do kernel. Primeira dentre as tabelas no núcleo do netfilter, facilita a exclusão de pacotes antes de serem processados na memória.
X
Copyright © 2014 AIEC.