Netfilter: differenze tra le versioni
Contenuto cancellato Contenuto aggiunto
Recupero di 1 fonte/i e segnalazione di 0 link interrotto/i.) #IABot (v2.0.9.5 |
Funzionalità collegamenti suggeriti: 3 collegamenti inseriti. |
||
Riga 1:
[[File:Netfilter-components.svg|miniatura|right| Componenti di Netfilter]]
In [[informatica]] '''netfilter''' è un componente di [[Default (informatica)|default]] di tutte le moderne [[distribuzione Linux|distribuzioni Linux]], che consente l'intercettazione e la manipolazione dei [[Pacchetto (reti)|pacchetti]] che attraversano il [[computer]], permettendo la realizzazione di alcune funzionalità di rete avanzate come [[firewall]] basati sul [[filtraggio stateful dei pacchetti]] o configurazioni anche complesse di [[Network address translation|NAT]], un sistema di [[traduzione automatica]] degli indirizzi [[Internet Protocol|IP]], tra cui la condivisione di un'unica [[connessione (informatica)|connessione]] [[Internet]] tra diversi computer di una [[rete locale]], o ancora la manipolazione dei pacchetti in transito.
== Descrizione ==
Riga 14:
Le catene sono una forma di [[lista di controllo degli accessi]] (ACL): ogni regola è costituita da due parti: la specifica delle caratteristiche che un pacchetto deve avere affinché la regola stessa venga applicata (''match'') e un ''obiettivo'' o ''target'', che indica cosa fare quando il pacchetto rispetta le caratteristiche indicate. A ciascuna catena è anche associata una ''politica'' di default, che definisce come vengono trattati i pacchetti che non corrispondono ad alcuna regola. Le caratteristiche più di frequente utilizzate per costruire delle regole sono l'indirizzo di partenza o di destinazione del pacchetto e il numero di porta associato alla connessione.
Ogni pacchetto di rete che arriva o parte dal computer attraversa almeno una catena e ogni [[regola della catena]] controlla se il pacchetto ne rispetta la specifica. Se questo accade, il pacchetto seguirà il comportamento descritto nell'obiettivo della regola, e le regole successive della catena verranno ignorate (a parte casi speciali). Se il pacchetto raggiunge la fine della catena senza essere processato da nessuna regola, la politica di default della catena determina cosa farne.
In ogni tabella esistono alcune catene predefinite, ma l'utente può crearne di nuove; uno dei possibili obiettivi è infatti il collegamento a un'altra catena. In questo caso, il pacchetto ricomincia ad essere valutato dalle regole della nuova catena, senza limiti di concatenazione. Una regola può semplicemente essere un collegamento a una catena. Solo se il pacchetto attraversa l'intera catena collegata esso continuerà nella catena principale.
Riga 100:
===Monitoraggio delle connessioni===
Una delle funzionalità più importanti offerte da netfilter è la possibilità di identificare i pacchetti facenti parte di una stessa connessione (''stateful packet filtering''). Questo permette di creare delle regole basate sulla relazione che un pacchetto ha nei confronti della connessione a cui appartiene e di altre connessioni correlate a [[Livello di applicazione|livello applicativo]]. Inoltre il NAT si basa su queste informazioni per tradurre allo stesso modo gli indirizzi dei pacchetti di una stessa connessione, e iptables usa queste informazioni per realizzare firewall avanzati.
netfilter assegna ad ogni pacchetto uno dei seguenti stati:
| |||