משתמש:Giyora san/ארגז חול
| [[]] | |
| [[]] | |
| מפתח | Rusty Russell |
|---|---|
| גרסה אחרונה | 1.3.8 (14 יוני 2007) |
| מערכת הפעלה | לינוקס |
| סוג רישיון | GPL\MPL |
| קטגוריה | תוכנת אבטחה |
| www.netfilter.org | |
Netfilter זהו ממשק המקושר לליבת מערכת ההםעלה לינוקס ( kernel ) המאפשרת גילוי ושינוי פאקטס (באנגלית: Packet switching). 'פאקטס' מלשון מנה, הן היחידה הבסיסית שבאמצעותן מבוצעת תעבורת המידע ברשת האינטרנט. ,'חומת האש' (באנגלית: Firewall ) הינו הרכיב המפורסם ביותר בממשק Netfilter אך למעשה מכיל ההמשק רכיבים נוספים המאפשרים תרגום כתובות אינטרנט ( Network address translation ) , מעקב התקשריות ( Stateful traking ) ותזמון העברת מנות לסביבת המשתמש ( Userspace ). כל הרכיבים הללו הם למעשה מודולים הנטענים על ידי ליבת הקרנל בעת טעינת מערכת ההפעלה. Netfilter הוא גם שמו של הפרוייקט העומד מאחורי כלים אלו והוא מספק כמו כן ספריות וכלים לניהול הרכיבים. תמיכה לממשק ה Ipchains, הקודם ל Netfilter הופסקה לאחרונה.
היסטוריה
עריכהמאפיינים עיקריים
עריכהNetfilter מקנה ממשק וכלים אשר בעזרתם ניתן לשלוט על סוגי ההתקשרויות המותרים אל / מ המערכת ובפרט אופן הטיפול ב'מנות' מידע. חוקים אלו מקובצים לשרשראות ( Chains ) המקובצות לטבלאות - כאשר כל טבלה מטבלת בסוג שונה של התקשרות. שרשראות לדוגמה הן השרשרת התקשרויות נכנסות ( Input ) ושרשרת התקשרויות יוצאות (Output ).
כל חוק בשרשרת חוקים מכיל אפיון עבור סוג תעבורת מנות מסויימת, ופעולה ( Target ) המבוצעת במידה והתגלתה תעבורה המתאימה לאפיון. כל 'מנה' המגיעה למערכת עוברת בלכל הפחות שרשרת אחת של חוקים. המערכת מנסה להתאים כל חוק בשרשרת למנה. במידה ונמצא חוק מתאים למנה, הפעולה המשוייכת לחוק מבוצעת. 'התאמה למנה' יכולה להעשות לפי קריטריונים רבים לדוגמא כתובת מקור המנה ( source ip address ) או סוג הםרוטוקול שבו התקבלה המנה ( ֹUDP \ TCP ). אם לא נמצא שום חוק המתאים למנה מבוצעת הפעולה המוגרת כברירת מחדל ( policy )
מעקב התקשרויות
עריכהמעקב התקשריות הינו אחד האלמנטים החשובים הבנויים לתוך ממשק ה Netfilter. מעקב התקשרויות מאפשר לסווג תעבורת מידע מ/אל מערכת על פי ההקשר שבו היא נוצרה. ליבת הקרנל למעשה מנהלת מעקב אחרי ההתקשריות הנוצרת ומסוגלת לסווג תעבורה חדשה כשייכת / לא שייכת לתעבורה קודמת. דוגמא מופשטת היא למשל משתמש הטעון את דף הבית של ויקיפדיה בדפדפן אינטרנט. בכך יוצר המשתמש תעבורת מידע אל שרתי אתר ההאינטרנט. תעבורת המידע הנכנסת כאשר השרת משיב מסווגת כשייכת לתעבורה הראשונית של המשתמש ולפיכך מהווה תעבורה לגיטימית. לעומת זאת, התקשרות חדשה מצד שרת כשהו למערכת מהווה בסבירות גבוהה תעבורה שאינה לגיטימית, ולפיכך ניתנת לסינון, שכן לא קדמה לה דרישה מצד המשתמש.
המצבים השונים לפיהן מסווגות מנות נכנסות:
חדש ( New )
עריכהקיים ( Established )
עריכהקשור ( Related )
עריכהלא תקין ( Invalid )
עריכהIptables
עריכהIptables זוהי אפליקצית המאפשרת להתאים את טבלאות הסינון, והחוקים של ממשק ה Netfilter על מנת להגדיר את האופן שבו מטפלת מערכת מחשב ב 'מנות' ( Packets ).
דוגמאות
עריכההזנת הפקודה הבאה במע' לינוקס תאפשר התקשרות לאתר ויקיפדיה באמצעות פקוטוקול TCP בפורט 80 . ACCEPT היא ההפעולה שתתבצע בדוגמא זו.
iptables -A INPUT -s 192.168.1.2 -d 145.97.39.155 -p tcp -dport 80 -j ACCEPT
ראו גם
עריכה- Shorewall : תוכנה לניהול טבלאות Iptable