Netfilter זהו ממשק המקושר לליבת מערכת ההםעלה לינוקס ( kernel ) המאפשרת גילוי ושינוי פאקטס (באנגלית: Packet switching). 'פאקטס' מלשון מנה, הן היחידה הבסיסית שבאמצעותן מבוצעת תעבורת המידע ברשת האינטרנט. ,'חומת האש' (באנגלית: Firewall ) הינו הרכיב המפורסם ביותר בממשק Netfilter אך למעשה מכיל ההמשק רכיבים נוספים המאפשרים תרגום כתובות אינטרנט ( Network address translation ) , מעקב התקשריות ( Stateful traking ) ותזמון העברת מנות לסביבת המשתמש ( Userspace ). כל הרכיבים הללו הם למעשה מודולים הנטענים על ידי ליבת הקרנל בעת טעינת מערכת ההפעלה. Netfilter הוא גם שמו של הפרוייקט העומד מאחורי כלים אלו והוא מספק כמו כן ספריות וכלים לניהול הרכיבים. תמיכה לממשק ה Ipchains, הקודם ל Netfilter הופסקה לאחרונה.

היסטוריה[עריכת קוד מקור | עריכה]

מאפיינים עיקריים[עריכת קוד מקור | עריכה]

Netfilter מקנה ממשק וכלים אשר בעזרתם ניתן לשלוט על סוגי ההתקשרויות המותרים אל / מ המערכת ובפרט אופן הטיפול ב'מנות' מידע. חוקים אלו מקובצים לשרשראות ( Chains ) המקובצות לטבלאות - כאשר כל טבלה מטבלת בסוג שונה של התקשרות. שרשראות לדוגמה הן השרשרת התקשרויות נכנסות ( Input ) ושרשרת התקשרויות יוצאות (Output ).

כל חוק בשרשרת חוקים מכיל אפיון עבור סוג תעבורת מנות מסויימת, ופעולה ( Target ) המבוצעת במידה והתגלתה תעבורה המתאימה לאפיון. כל 'מנה' המגיעה למערכת עוברת בלכל הפחות שרשרת אחת של חוקים. המערכת מנסה להתאים כל חוק בשרשרת למנה. במידה ונמצא חוק מתאים למנה, הפעולה המשוייכת לחוק מבוצעת. 'התאמה למנה' יכולה להעשות לפי קריטריונים רבים לדוגמא כתובת מקור המנה ( source ip address ) או סוג הםרוטוקול שבו התקבלה המנה ( ֹUDP \ TCP ). אם לא נמצא שום חוק המתאים למנה מבוצעת הפעולה המוגרת כברירת מחדל ( policy )

מעקב התקשרויות[עריכת קוד מקור | עריכה]

מעקב התקשריות הינו אחד האלמנטים החשובים הבנויים לתוך ממשק ה Netfilter. מעקב התקשרויות מאפשר לסווג תעבורת מידע מ/אל מערכת על פי ההקשר שבו היא נוצרה. ליבת הקרנל למעשה מנהלת מעקב אחרי ההתקשריות הנוצרת ומסוגלת לסווג תעבורה חדשה כשייכת / לא שייכת לתעבורה קודמת. דוגמא מופשטת היא למשל משתמש הטעון את דף הבית של ויקיפדיה בדפדפן אינטרנט. בכך יוצר המשתמש תעבורת מידע אל שרתי אתר ההאינטרנט. תעבורת המידע הנכנסת כאשר השרת משיב מסווגת כשייכת לתעבורה הראשונית של המשתמש ולפיכך מהווה תעבורה לגיטימית. לעומת זאת, התקשרות חדשה מצד שרת כשהו למערכת מהווה בסבירות גבוהה תעבורה שאינה לגיטימית, ולפיכך ניתנת לסינון, שכן לא קדמה לה דרישה מצד המשתמש.

המצבים השונים לפיהן מסווגות מנות נכנסות:

חדש ( New )[עריכת קוד מקור | עריכה]

קיים ( Established )[עריכת קוד מקור | עריכה]

קשור ( Related )[עריכת קוד מקור | עריכה]

לא תקין ( Invalid )[עריכת קוד מקור | עריכה]

Iptables[עריכת קוד מקור | עריכה]

Iptables זוהי אפליקצית המאפשרת להתאים את טבלאות הסינון, והחוקים של ממשק ה Netfilter על מנת להגדיר את האופן שבו מטפלת מערכת מחשב ב 'מנות' ( Packets ).

דוגמאות[עריכת קוד מקור | עריכה]

הזנת הפקודה הבאה במע' לינוקס תאפשר התקשרות לאתר ויקיפדיה באמצעות פקוטוקול ‎TCP בפורט 80 . ACCEPT היא ההפעולה שתתבצע בדוגמא זו.

iptables -A INPUT -s 192.168.1.2 -d 145.97.39.155 -p tcp -dport 80 -j ACCEPT

ראו גם[עריכת קוד מקור | עריכה]

• Shorewall : תוכנה לניהול טבלאות Iptable