КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Работа NAT в МСВС
|
|
|
|
Порядок прохождения таблиц и цепочек
В этом разделе рассмотрен порядок прохождения таблиц и цепочек в каждой таблице. Эта информация будет важна при построении наборов правил, особенно когда в наборы правил будут включаться такие действия как DNAT, SNAT.
Когда пакет приходит на межсетевой экран[9] (МСЭ), то он сначала попадает на сетевое устройство, перехватывается соответствующим драйвером и передаётся в ядро. Далее пакет проходит ряд таблиц и затем передается либо локальному приложению, либо переправляется на другую машину. Порядок движения транзитных пакетов представлен в таблице 3.1.
Таблица 3.1. Порядок движения транзитных пакетов.
| Шаг | Таблица | Цепочка | Примечание |
| | | Кабель (то есть Интернет). | |
| | | Сетевой интерфейс (например, eth0). | |
| Mangle | PREROUTING | Обычно эта цепочка используется для внесения изменений в заголовок пакета, например для изменения битов TOS и пр. | |
| Nat | PREROUTING | Эта цепочка используется для трансляции сетевых адресов (Destination Network Address Translation). Source Network Address Translation выполняется позднее, в другой цепочке. Любого рода фильтрация в этой цепочке может производиться только в исключительных случаях. | |
| | | Принятие решения о дальнейшей маршрутизации, то есть в этой точке решается, куда пойдет пакет - локальному приложению или на другой узел сети. | |
| Filter | FORWARD | В цепочку FORWARD попадают только те пакеты, которые идут другому хосту. Вся фильтрация транзитного трафика должна выполняться здесь. Не забывайте, что через эту цепочку проходит трафик в обоих направлениях, обязательно учитывайте это обстоятельство при написании правил фильтрации. | |
| Mangle | FORWARD | Далее пакет попадает в цепочку FORWARD таблицы mangle, которая должна использоваться только в исключительных случаях, когда необходимо внести некоторые изменения в заголовок пакета между двумя точками принятия решения о маршрутизации. | |
| | | Принятие решения о дальнейшей маршрутизации, то есть в этой точке, к примеру, решается на какой интерфейс пойдет пакет. | |
| Nat | POSTROUTING | Эта цепочка предназначена в первую очередь для Source Network Address Translation. Не используйте ее для фильтрации без особой на то необходимости. Здесь же выполняется и маскировка (Masquerading). | |
| Mangle | POSTROUTING | Эта цепочка предназначена для внесения изменений в заголовок пакета уже после того, как принято последнее решение о маршрутизации. | |
| | | Выходной сетевой интерфейс (например, eth1). | |
| | | Кабель (например, LAN). |
Из таблицы 3.1 видно, что пакет проходит несколько этапов прежде, чем он будет передан далее. На каждом из них пакет может быть остановлен, будь то цепочка IPTABLES или что-либо ещё, но наибольший интерес представляет цепочка IPTABLES. Следует заметить, что нет каких-либо цепочек, специфичных для отдельных интерфейсов или чего-либо подобного. Цепочку FORWARD проходят все пакеты, которые движутся через данный МСЭ/маршрутизатор. Не следует использовать цепочку INPUT для фильтрации транзитных пакетов, так как они туда просто не попадают. Через эту цепочку движутся только те пакеты, которые предназначены данной машине.
Далее будет рассмотрен порядок движения пакета, предназначенного локальному процессу/приложению. Порядок движения пакетов, предназначенных локальному процессу/приложению представлен в таблице 3.2.
Таблица 3.2. Порядок движения пакетов для локального хоста.
| Шаг | Таблица | Цепочка | Примечание |
| | | Кабель (то есть Интернет). | |
| | | Входной сетевой интерфейс (например, eth0). | |
| Mangle | PREROUTING | Обычно используется для внесения изменений в заголовок пакета, например, для установки битов TOS и пр. | |
| Nat | PREROUTING | Преобразование адресов (Destination Network Address Translation). Фильтрация пакетов здесь допускается только в исключительных случаях. | |
| | | Принятие решения о маршрутизации. | |
| Mangle | INPUT | Пакет попадает в цепочку INPUT таблицы mangle. Здесь вносятся изменения в заголовок пакета перед тем, как он будет передан локальному приложению. | |
| Filter | INPUT | Здесь производится фильтрация входящего трафика. Помните, что все входящие пакеты, адресованные нам, проходят через эту цепочку, независимо от того, с какого интерфейса они поступили. | |
| | | Локальный процесс/приложение. |
Здесь пакеты идут через цепочку INPUT, а не через FORWARD. И в заключении будет рассмотрен порядок движения пакетов, созданных локальными процессами. Порядок движения пакетов от локального процесса/приложения представлен в таблице 3.3.
Таблица 3.3. Порядок движения пакетов от локального хоста.
| Шаг | Таблица | Цепочка | Примечание |
| | | Локальный процесс. | |
| Mangle | OUTPUT | Здесь производится внесение изменений в заголовок пакета. Фильтрация, выполняемая в этой цепочке, может иметь негативные последствия. | |
| Nat | OUTPUT | Эта цепочка используется для трансляции сетевых адресов (NAT) в пакетах, исходящих от локальных процессов МСЭа. | |
| Filter | OUTPUT | Здесь фильтруется исходящий трафик. | |
| | | Принятие решения о маршрутизации. Здесь решается, куда пакет пойдет дальше. | |
| Nat | POSTROUTING | Здесь выполняется Source Network Address Translation. Не следует в этой цепочке производить фильтрацию пакетов во избежание нежелательных побочных эффектов. Однако и здесь можно останавливать пакеты, применяя политику по-умолчанию DROP. | |
| Mangle | POSTROUTING | Цепочка POSTROUTING таблицы mangle в основном используется для правил, которые должны вносить изменения в заголовок пакета перед тем, как он покинет МСЭ, но уже после принятия решения о маршрутизации. В эту цепочку попадают все пакеты, как транзитные, так и созданные локальными процессами МСЭа. | |
| | | Сетевой интерфейс (например, eth0). | |
| | | Кабель (то есть, Internet). |
На рисунке 3.1 представлен порядок прохождения пакетов через различные цепочки. В первой точке принятия решения о маршрутизации (routing decision) все пакеты, предназначенные данному хосту, направляются в цепочку INPUT, остальные – в цепочку FORWARD.
Следует обратить внимание на тот факт, что пакеты, имеющие адресом назначения адрес МСЭ, могут претерпеть трансляцию сетевого адреса (DNAT) в цепочке PREROUTING таблицы Nat и соответственно дальнейшая маршрутизация в первой точке будет выполняться в зависимости от произведенных изменений.
Рис. 3.1 Схема прохождения пакетов по цепочкам пакетного МСЭ
Таблица Mangle
Эта таблица предназначена для внесения изменений в заголовки пакетов. В этой таблице можно устанавливать биты TOS (Type Of Service), а так же другие биты.
Следует помнить, что в этой таблице не следует производить любого рода фильтрацию, маскировку или преобразование адресов (DNAT, SNAT, MASQUERADE). В этой таблице допускается выполнять только следующие действия:
|
|
|
|
Дата добавления: 2014-01-15; Просмотров: 481; Нарушение авторских прав?; Мы поможем в написании вашей работы!