| SUSE Linux Enterprise Desktop dokumentáció V. rész - Biztonság / 39. fejezet - Álcázás és tűzfalak | ||||
|---|---|---|---|---|
 | V. rész - Biztonság | 39.2. Álcázás – alapok |  | |
| SUSE Linux Enterprise Desktop dokumentáció V. rész - Biztonság / 39. fejezet - Álcázás és tűzfalak | ||||
|---|---|---|---|---|
| V. rész - Biztonság | 39.2. Álcázás – alapok | | |
Tartalomjegyzék
Hálózati környezetben üzemeltetett Linux-rendszereken használhatók azok a kernelfunkciók, amelyek lehetővé teszik a hálózati csomagok előfeldolgozását a belső és külső hálózati terület határozott szétválasztása érdekében. A Linux hálózati szűrő keretrendszer biztosítja egy hatékony tűzfal létrehozásának lehetőségét, amely a különböző hálózatokat szétválasztja. Az iptables – ez egy általános táblázatos struktúra a szabályhalmazok meghatározásához – segítségével precízen szabályozható, hogy a hálózati csatolón milyen csomagok haladhatnak át. A SuSEfirewall2 és a megfelelő YaST-modul segítségével egyszerűen beállítható egy ilyen csomagszűrő.
A netfilter és iptables komponens felelős a hálózati csomagok szűréséért és kezeléséért, valamint a hálózati címfordításért (network address translation, NAT). A szűrési feltételek és a hozzájuk tartozó tevékenységek láncokként tárolódnak és az érkező hálózati csomagok sorban, a lánc összes feltételének meg kell, hogy feleljenek. A feltételláncokat táblázatok tartalmazzák. A táblák és a szabályhalmazok az iptables parancs segítségével módosíthatók.
A Linux-kernel három táblázatot tart fenn, a csomagszűrő funkcióinak megfelelő kategóriáihoz:
Ez a táblázat tárolja a szűrőszabályok nagy részét, mivel szigorúbb értelemben ez valósítja meg a csomagszűrési mechanizmust, amely meghatározza, hogy a csomagok átengedésre (ACCEPT) vagy eldobásra (DROP) kerüljenek.
Ez a táblázat a csomagok forrás -és célcímének módosításait határozza meg. E funkciók segítségével álcázás is megvalósítható, amely a NAT egy speciális esete egy magánhálózat és az Internet összekapcsolásakor.
Az ebben a táblázatban tárolt szabályok lehetővé teszik az IP-csomagok fejléceiben tárolt értékek módosítását (mint például a szolgáltatás típusa).
A fent említett táblázatok előre meghatározott láncokat is tartalmaznak a csomagok ellenőrzéséhez:
Ez a lánc a bejövő csomagokra vonatkozik.
Ez a lánc a rendszer belső folyamataihoz címzett csomagokra vonatkozik.
Ez a lánc a rendszeren keresztül csak továbbított csomagokra vonatkozik.
Ez a lánc a rendszertől származó csomagokra vonatkozik.
Ez a lánc a kimenő csomagokra vonatkozik.
Az 39.1. ábra - iptables: A csomag lehetséges útjai ábra bemutatja az utakat, amelyeken keresztül a hálózati csomag mozog egy adott rendszeren. Az egyszerűség kedvéért az ábra a táblázatokat a láncok részeként jeleníti meg, de valójában a láncok kerülnek a táblázatokon belül tárolásra.
Legegyszerűbb esetben a rendszerhez címzett bejövő csomag az eth0 csatolón keresztül érkezik. A csomag először a mangle táblázat PREROUTING láncához, majd a nat táblázat PREROUTING láncához kerül. A csomag irányítására vonatkozó következő lépésben kiderül, hogy a csomag valódi célja a rendszer egy folyamata. A mangle és filter táblázat INPUT láncainak átadás után a csomag végül eléri a célját, feltéve, hogy a filter táblázat szabályainak is megfelel.
