terça-feira, 29 de abril de 2008
Network packet filtering (replaces ipchains)
----------------------------------------------------------------------------------------------------------------------------------------
Network packet filtering (replaces ipchains)
CONFIG_NETFILTER:
O Netfilter é o núcleo fundamental para filtragem e alteração de pacotes de rede que atravesse sua caixa Linux.
O uso mais comum de filtragem de pacote é rodar sua caixa Linux como um firewall para proteger uma rede local da Internet. O tipo de firewall fornecido por esse suporte do kernel é chamado de “filtro de pacotes", o que significa que ele pode rejeitar pacotes de redes individuais baseados no tipo, origem, destino etc.
O outro tipo de firewall, o "baseado em Proxy", é mais seguro, porém esse tipo é mais intrusivo e mais trabalhoso para configurar; ele inspeciona o tráfego de rede mais de perto, modifica-os e tem conhecimento a cerca dos protocolos de alto nível, que não possui um filtro de pacote.
Além disso, firewalls baseados em Proxy frequentemente requer mudanças nos programas que estão rodando nos clientes locais. Firewalls baseados em Proxy não precisam ser suportados pelo kernel, mas eles são frequentemente combinados com um filtro de pacote, o qual somente funciona se você disser Y aqui.
Você deve dizer também Y aqui se você pensa usar sua caixa Linux como o gateway Internet para as máquinas da rede local sem endereços IP válidos globalmente.
Isso é chamado de máscara (masquerading): se um dos computadores de sua rede local deseja enviar algo pra fora, sua caixa pode mascarar (masquerade) tal computador, ou seja, ele encaminha o tráfego para o destino externo tencionado, porém modifica os pacotes para fazê-los parecer como se eles viessem da caixa firewall pra si.
Esse mecanismo funciona de duas formas: se o host externo responder, a caixa Linux silenciosamente encaminhará o tráfego ao computador local correto. Dessa forma, os computadores na sua rede local são completamente invisíveis ao mundo externo, mesmo que eles possam alcançar o lado externo e possam receber os retornos das requisições.
Isso de fato é possível rodar globalmente servidores visíveis de dentro de uma rede local mascarada usando um mecanismo chamado de encaminhamento por porta. O recurso de máscara (masquerading) é também frequentemente chamado de NAT (Network Address Translation).
Outro uso do Netfilter é na implementação de Proxy transparente: se uma máquina na rede local tenta se conectar a um host externo, sua caixa Linux pode encaminhar transparentemente o tráfego a um servidor local, tipicamente um servidor Proxy que faz cache.
Outro uso ainda do Netfilter é a montagem de um firewall de ligação. Usando uma ponte com filtragem ativada de pacote de rede que faz o iptables "ver" o tráfego da ponte. Para filtragem na camada inferior da rede e protocolos Ethernet sobre a ponte, use o ebtables (sob o item de configuração bridge netfilter).
Existem vários módulos para o netfilter que substitui o recurso de máscara (masquerading (ipmasqadm)), filtragem de pacote (ipchains), implementação de Proxy transparente, e os mecanismos portforwarding.
Favor ver o arquivo: Documentation/Changes sob "iptables" para o local desses pacotes.
Certifique-se de dizer N para "Fast switching" abaixo se você deseja dizer Y aqui, porque o Fast switching atualmente by-passa o netfilter.
As possibilidades são de você poder dizer Y aqui se você deseja compilar um kernel que rodará como um roteador e N para hosts regulares. Se estiver inseguro, diga N.
Symbol: NETFILTER [=y]
Prompt: Network packet filtering (replaces ipchains)
Defined at net/Kconfig:76
Depends on: NET
Location:
-> Networking
-> Networking support (NET [=y])
-> Networking options
Assinar:
Postar comentários (Atom)
Nenhum comentário:
Postar um comentário