PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : kurze frage zu Paketfiltern


sneac
07.08.02, 01:25
Hi,
hab mir gerade ein 10 meter langes IP-table-tutorial durchgelesen aber nicht verstanden was der Unterschied zwischen "NAT" & "Masquerading" und wofür Tabellen bei IP-Tables gut sind.

thx, sneac
¡s¢htar
07.08.02, 07:43
hi

also zuerst zu den tabellen. es gibt die input, output & forward chain (tabelle), sowie bei routing die prehosting & die postrouting. die trennung ist sinnvoll, da es zum einen verschiedene vorgänge sind, zum anderen weil die administration, nicht zuletzt durch die policys vereinfacht wird. so kann man die input auf deny stellen (dass nur durchkommt was expizit freigegeben wurde) während man die output auf accept stellt & nur expizit sperrt.
masqerading ist im grunde genommen nichts anderes als dass der router die quelladresse (die im netzwerk liegt) durch seine eigene ersetzt. nat hingegen sind die postrouting & prerouting vorgänge, die auch als dnat (destination nat) & snat (source nat) bezeichnet werden.

greetz

¡s¢htar
Jasper
07.08.02, 07:43
Original geschrieben von sneac

hab mir gerade ein 10 meter langes IP-table-tutorial durchgelesen aber nicht verstanden was der Unterschied zwischen "NAT" & "Masquerading" und wofür Tabellen bei IP-Tables gut sind.


10m? dann hast du wahrscheinlich nur die zusammenfassung erwischt :)

MASQUERADE ist eine teilmenge von NAT. MASQ ist veraltet und lässt sich mit SNAT (SOURCE NAT) vergleichen. zu NAT gehört aber auch noch DNAT (DESTINATION NAT).

tables bei iptables dienen zur verwaltung der einzelnen 'paketbearbeitungen'.

table filter enthält filterregeln. table nat kennst du ja bereits. table mangle enthält regeln zum ändern von paketen (ausser quell- und zieladresse).

innerhalb der tables wiederum gibt es chains, die festlegen, welche regel zu welchem zeitpunkt ausgeführt wird, z.b. chain POSTROUTING in table nat erst nach der routing-entscheidung. dann werden die tables auch nicht bei jedem paket abgefragt. table nat bspw. wird nur benötigt, wenn die routing engine ein paket empfängt, das eine neue connection aufmacht (syn-flag).

aufgrund dieser unterschiede gibts es verschiedene tables.

-j
$simon[0]
13.08.02, 17:35
Und hier eine Übersicht der Tables & Chains:

http://offlineprovider.de/site/netfilter/netfilter.php

Wenn ihr noch Vorschläge habt, dann sind mails sehr wilkommen. ;)

Grüße,
Simon