Eristävä moniosainen järjestelmä Suodattaa suojattavan verkon ja vaarallisemman verkon välisiä yhteyksiä Voidaan toteuttaa joko ohjelmistolla tai laitteistolla
Ipfwadm oli Linuxin ensimmäinen palomuuritoteutus (Kernel 2.0) Pakettisuodatus ja maskeeraus Ipchains (Kernel 2.2) Uutena port forwarding Tuki Linuxin Quality of Service ominaisuuksille Sääntöketjut Netfilter (Kernel 2.3) Iptables (Kernel 2.4)
Iptables Tilallisuus Pakettien hallintaan monipuolisemmat kriteerit (TTL (Time to Live), MAC-osoite) Mahdollisuus tuoda paketteja userspacen puolelle käsiteltäväksi Ip6tables toiminto, jolla voidaan filteröidä IPv6 liikennettä Nftables (Kernel 3.13)
Linux-kernelin sisäänrakennetun palomuurin, netfilterin käyttöliittymä Standardinomaisesti mukana kaikissa moderneissa Linux-jakeluissa Käytetään komentoriviltä, mutta graafisia käyttöliittymiäkin on olemassa. Esim FireStarter
Linuxin kaikki verkkoliikenne kulkee yhden rajapinnan, Netfilterin läpi Kaikki verkkoliikenteen suodattaminen tapahtuu tämän avulla Verkkoliikenteen suodattamisen säännöt asetetaan Iptablesilla Purkaa säännöt ytimestä -> muuttaa tai lisää uusia -> Pakkaa takaisin ytimeen
Koostuu kolmesta osasta Käskyt(rules) – operaatiot, jotka tehdään paketille Ketjut(chains) – Kokoelma käskyjä Taulut(tables) – Kokoelma ketjuja Kolme erillistä taulua Filter, NAT ja Mangle Lisäksi user chain ketju, joka ei kuulu mihinkään tauluun
Käytetään perinteisen pakettisuodatuksen toteuttamiseen Sisältää ketjut Input – mitkä sisäänpäin tulevat paketit pääsevät reitityksen jälkeen perille Output – kontrolloi mitkä ulospäin lähtevistä paketeista pääsevät jatkamaan matkaansa Forward – määrittelee mitkä paketit voivat jatkaa matkaansa verkkojen välillä
Keskittyy NAT:iin, paketin lähde- ja kohdeosoitteen muokkaamiseen Sisältää ketjut Prerouting – hoidetaan destination NAT- operaatio, muutetaan paketin kohdeosoitetta ennen sen päätymistä reititettäväksi Postrouting – suoritetaan source NAT-operaatio, eli muutetaan paketin lähdeosoitetta Output – paikallisesti generoidun liikenteen lähde- ja kohdeosoitteiden muuttaminen
Käytetään pakettien muokkaamiseen Sisältää ketjut Input Output Prerouting Postrouting Forward
Iptablesissa on mahdollistettu tarkkojen ns. tilallisten (stateful) palomuurien toteuttaminen. Pidetään kirjaa muodostetuista TCP- ja UDP- yhteyksistä ja sallitaan vain yhteyteen kuuluvat paketit.
Esimerkki komentoja Tämänhetkiset palomuuriasetukset iptables -L NAT-taulun asetukset IP-muodossa iptables -t nat –L Tulevien pakettien esto iptables -s osoite -A INPUT -j DROP Lähtevien pakettien esto iptables -d osoite -A OUTPUT -j DROP
Välitys- ja välimuistipalvelu Tukee mm http-, https- ja ftp-protokollia Uusin julkaisu Tarkoitettu käytettäväksi Unix-tyylisissä järjestelmissä. Windows porttia ylläpidettiin versioon 2.7 saakka Kattava työkalu liikenteen suodatukseen ja uudelleenohjaukseen iptablesin rinnalla.
Alun perin Duane Wesselsin kehittämä Forkattu osasta Harvest projectia, josta myöhemmin tuli NetCache Squidin versio julkaistiin kesäkuussa 1996 Nykyään kehitys tapahtuu lähes kokonaan vapaaehtoisvoimin Ilmainen ja julkaistu GNU GPLv2:n alaisena.
Välimuistilla (cache) tarkoitetaan Internetistä haettavan tiedon tallentamista paikallisesti välimuistipalvelua ajavalle palvelimelle. Voidaan käyttää esim asiakaspäässä usein vierailtujen sivujen tallessapitämiseen nopeamman saatavuuden takaamiseksi tai sitten palvelinpäässä web-palvelujen kiihdyttäjänä. Esim wikipedia käyttää squidia
Välityspalvelin toimii välittäjänä asiakaskoneen ja esimerkiksi haettavan www-sivun palvelimen välissä. Voidaan halutessa ajaa kaikki nettiliikenne määrätyn välityspalvelimen läpi. Tarjoaa osittaisen anonymiteetin ulkoverkkoon lähtevän liikenteen suhteen.
iptables.html iptables.html