IPTABLES

Iptables este folosit pentru mai multe servicii precum : translatare de adrese
sursa sau destinatie (SNAT / DNAT ) , port forwading sau pur si simplu rejectare sau
forwadare de pachete , routing.
In iptables exista mai multe tabele care contin lanturi predefinite si lanturi
definite de utilizator. Aceste tabele au fost introduse pentru a separa intr-un fel
tipurile de mecanisme oferite. Din acest motiv cand lucram cu regului sau lanturi
trebuie sa specificam tabela in care lucram folosind optiunea -t. In fiecare din tabele
sunt valide numai anumite lanturi predefinite si targeturi.
 Procesarea de pachete in IPTABLES
Toate pachetele inspectate de iptables trec printr-o secventa de tabele (cozi)
pentru prelucrare. Fiecare dintre aceste cozi este dedicata unui anumit tip de
activitate de pachete si este controlata de un lanţ de filtrare asociat.

Tabela filter

Se foloseste pentru filtrarea de pachete. Exista trei lanturi predefinite (case

sensitive!!)
INPUT
pachete ce intra in ruter
OUTPUT
pachete generate de ruter
FORWARD
pachete care sunt inaintate catre alta retea in procesul de rutare
Targeturile valide includ:
ACCEPT
pachetele sunt lasate sa treaca
DROP
pachetele sunt ignorate
QUEUE
pachetele sunt copiate in user-space pentru analize
REJECT
pachetele sunt ignorate dar sursa este notificata; la acest target se poate
specifica tipul mesajului icmp folosit pentru notificare cu optinunea -reject-
with
LOG
pachetele sunt scrise in log

Tabela nat

Aceasta tabela se foloseste pentru Network Address Translation. Exista trei lanturi
predefinite (case sensitive):
PREROUTING
modifica pachetul imediat ce acesta intra in ruter (deci inainte de procesul
de rutare)
OUTPUT
modifica pachetele generate local inainte ca acestea sa intre in procesul de
rutare
POSTROUTING
modifica pachetele ce urmeaza sa plece din ruter (deci dupa procesul de
rutare)
Targeturile valide includ ACCEPT, DROP, QUEUE, REJECT, LOG precum si:

MASQUARADE
 pachetele vor fi mascaradate
SNAT
adresa sursa a pachetului va fi modificata la cea specificata prin optiunea -
to-source; aceast target este valid numai in lantul POSTROUTING (si
lanturile chemate din acest lant)
DNAT
adresa destinatie a pachetului va fi modificata la cea specificata prin
optiunea -to-destination; acest target este valid numai un lanturile
PREROUTING si OUTPUT
REDIRECT
redirecteaza pachetul local pe portul specificat de optiunea -to-port; acest
target este valid numai in lanturile PREROUTING si OUTPUT

Tabele mangle

Aceasta tabele este folosita pentru a modifica pachetele intr-un mod mai special.
In general in NAT modifica doar adresele dintr-un pachet. Tabela mangle poate fi
folosita pentru a schimba informatii precum TTL, TOS sau pentru a marca un
pachet. Marcarea pachetelor este folosita doar in cadrul ruterului. Odata ce un
pachet paraseste ruterul informatiile adaugate in cadrul marcarii vor fi
indepartate. In prezent marcarea pachetelor este folosita de catre sitemul de
Quality of Service (QoS).
Exista doua lanturi predefinite (case sensitive):
PREROUTING
modifica pachetele imediat ce ele au intrat in ruter, inainte de rutare
OUTPUT
modifica pachetele generate de ruter, inainte de rutare
Targeturile valide includ ACCEPT, DROP, QUEUE, REJECT, LOG precum si:
MARK
marcheaza pachetul cu valoarea specificata prin optiunea -set-mark
TOS
seteaza campul de type of service la valoarea specificata prin optiunea -set-
tos
TTL
seteaza campul time to live la valoarea specificata prin optiunea -ttl-set sau
decrementeaza valoarea acestuia (daca se foloseste optiunea -ttl-dec) sau
se incrementeaza valoarea acestuia (daca se foloseste optiunea -ttl-inc)