Myself

Having many task for my plan , keep moving, only way ahead, don't stop, don't go back. Everything come be easy when you try your best.

I just read " The world is flat". And we know one of element is making a flat world as Internet. May be, someone from East don't like but Asia countries is most important position within processing to make a flat world. And in my work, Flat world is a theory of Company. Of course, My company need Internet more than anything.

In 21 Century, border area between countries will destroy. It is dangerous T_Y

Internet? Good or not good??.

Trước khi tìm hiểu iptables thì ta tìm hiểu cái framework của nó là netfilter.

1. Netfilter

Từ phiên bản nhân 2.4.x của Linux trở về sau có tích hợp một hệ thông con được gọi là netfilter. Netfilter cho phép người quản trị cài đặt, duy trì và kiểm tra các tập luật dùng trong quá trình lọc gói tin trong nhân của Linux. Đối với những phiên bản nhân trước 2.4.x thi netflter vẫn hỗ trợ nhưng chưa được tích hợp sãn nên người quan trị phải cài đặt thêm. Netfilter là một nền đầy đủ mà trên đó người quản trị có thể thao tác, điều khiển các gói tin.

Netfilter gồm có:

- Quá trình lọc gói tin, Ip giả , NAT

- Hỗ trợ kiểm tra gói tin

- Hỗ trợ phát triển theo hướng khách hàng để phù hợp với tưng bối cảnh cụ thể.

Netfilter chứa các cấu trúc dữ liệu được gọi là các bảng (tables). Mỗi tables lại chứa một danh sách các luật gọi là quy tắc ( chain). Có 3 bảng.

- Filter

- NAT

- Mangle

Mỗi luật bao gồm một bộ các điều kiện và mục tiêu. Khi các điều kiện được thõa mãn thì mục tiêu được chấp nhận.


Netfilter là thành phần cơ bản API (Application Program Interface) cho phép giao diện ở các lớp trên như Iptables có thể dùng nó để thao tác trên các mạng gói. Chính vì vậy có thể xem netfilter như là một framework của iptables. Để dễ hình dung cái netfilter này các bạn cứ tưởng tượng nó như cái nền tảng cho các ứng dụng khác chạy. Như cái nền .NET dung để chay C# ý



2. Iptables


2.1 Giới thiệu và chức năng của Iptables

Iptables là chương trình được sử dụng để quản lý các luật lọc gói tin dưới cơ sỡ của netfilter. Iptables hiện nay là công cụ bảo mật được phổ biến trên nên Linux. Iptables là phiên bản cải tiến của 2 phiên bản trước đó là ipchain ở Linux kenel 2.2 và ipfwadm ở linux kenel 2.0.

Vì tham gia quá trình bảo mật nên Iptables có đầy đủ chức năng sau

- Quan sát ký các gói dữ liệu. Điều này giúp firewall theo dõi được các kết nối qua n. Xem xét nội dung từng gói dữ liệu để từ đó đưa ra được tiên đoán hành động kế tiếp của các giao thức. Điều này rất quan trọng trong viêc hỗ trợ các giao thức FTP,DNS…

- Lọc gói dữ liệu dựa trên địa chi MAC và các cờ trong TCP header. Điều này giúp ngăn chặn việc tấn công bằng các gói dị dạng và ngăn chặn việc truy cập từ mạng nội bộ đến một mạng khác bất chấp Ip của nó

- Chức năng ghi chép hệ thống.

- Hỗ trợ việc tích hợp các Wed proxy.

- Ngăn chăn kiểu tấn công DOS

2.2 Xử lý gói tin trong Iptables:

Tất cả các gói dữ liệu được kiểm tra bởi Iptables bằng cách dùng các bảng tuần tự xây dựng sãn. Có 3 loại bảng này:

· Mangle : Là bảng dùng để thay đổi các bít trong TCP hearder

· Filter : Là bảng chịu trách nhiệm về lọc gói dữ liệu. Nó gồm có 3quy tắc nhỏ

+ Forward chain: Lọc gói dữ liệu khi đi tới một server khác

+ Input chain: Lọc gói dữ liệu đi vào.

+ Output chain: Lọc gói dữ liệu đi ra.

· NAT : Là chain có chức năng thay đổi địa chỉ nguồn hoặc địa chỉ đích.

+ Pre-routing chain: Thay đổi địa chỉ đích của gói dữ liệu

+ Post-routing chain: Thay đổi địa chỉ nguồn của gói dữ liệu


Hình dưới cho ta cái nhìn tổng quát về vi FORWARD ệc lọc và xử lý gói tin trong iptables

Còn hình dưới sẽ mô ta chi tiết đường đi một gói dữ liệu qua cơ chế kiểm soát của iptable



( phù...buổi sau post tiếp nhé, phải chơi đã . Cả nhà vui vẻ )