trờn packet. Chỳng ta cần cỏch núi những gỡ làm với packet thoả với kiểm tra của chỳng ta được gọi là hành động của cỏc luật.
- Cú hai hành động đơn giản được xõy dựng sẵn là DROP và ACCEPT. Nếu một luật thoả một packet và hành động của nú là một trong 2 hành động này thỡ khụng cú luật nào được tham khảo: số phận packet đó được quyết định.
- Cú 2 kiểu hành động khỏc được xõy dựng đú là sự mở rộng và chain do người dựng định nghĩa.
4.1.5.1 Chuỗi luật do người dựng định nghĩa
Một mặt mạnh của Iptables thừa hưởng từ Ipchains là khả năng cho người dựng tạo cỏc chain mới, ngoài cỏc chain đó xõy dựng sẵn (INPUT, FORWARD, và OUTPUT). Quy ước cỏc chain do người dựng định nghĩa là chữ thường để phõn biệt với cỏc chain cú sẵn.
Khi một packet thoả một hành động của luật do người dựng định nghĩa chain. Packet bắt đầu đi qua cỏc nguyờn tắc trong chain do người dựng định nghĩa. Nếu chain đú khụng quyết định số phận của packet. Sau đú nú chuyển về chain trước đú và chuyển đến luật kế tiếp trong chain hiện hành.
Chain do người dựng định nghĩa cú thể nhảy đến một chain khỏc do người dựng định nghĩa, nhưng khụng làm vũng lặp. Packet sẽ bị huỷ nếu chỳng tỡm thấy vũng lặp.
4.1.5.2 Sự mở rộng đến Iptables
Một kiểu khỏc của hành động là sự mở rộng. Sự mở rộng của hành động là một thành phần của kernel và mở rộng tuỳ chọn tới Iptables để cung cấp cho dũng lệnh lựa chọn mới.
- LOG: thành phần này cung cấp kernel ghi nhật ký những packet thoả. Nú cung cấp thờm cỏc lựa chọn:
--log-level: Theo sau bởi một số chỉ cấp độ hoặc tờn. Tờn hợp lệ ‘debug’, ‘info’, ‘notice’, warning’, ‘err’, ‘crit’, ‘alert’ và ‘emerge’, khụng phõn biệt chữ hoa hay chữ thường tương ứng với số từ 7 đến 0.
--log-prefix: Theo sau một chuỗi lờn đến 14 ký tự, thụng bỏo này được gửi đi bắt đầu của thụng bỏo nhật ký, để cho phộp nú nhận dạng duy nhất. Thành phần này đặc biệt hữu dụng sau hành động limit, vỡ vậy khụng cú việc ghi nhật ký ào ạt.
- REJECT: Thành phần này ảnh hưởng giống như DROP, ngoại trừ người gửi đó gửi một ICMP thụng bỏo lỗi ‘port unreachable’. Ghi chỳ rằng thụng bỏo lỗi ICMP khụng gửi nếu
* Packet được lọc là thụng bỏo lỗi ICMP trong vị trớ đầu tiờn, hoặc một vài kiểu ICMP khụng biết.
* Packet được lọc là header khụng phõn mảnh. * Gửi quỏ nhiều thụng bỏo lỗi ICMP tới đớch
4.1.5.3 Hành động đặc biệt được xõy dựng sẵn
Cú 2 hành động được xõy dựng sẵn là RETURN và QUEUE
- RETURN cú ảnh hưởng giống như việc rơi xuống cuối của chain: cho một luật trong chain được xõy dựng sẵn, chớnh sỏch của chain được thực thi. Cho một luật trong chain do người dựng định nghĩa, nú tiếp tục duyệt trong chain trước, ngay sau luật đó chuyển đến chain này.
- QUEUE là một hành động đặc biệt, nơi mà cỏc packet xếp hàng chờ xử lý. Nếu khụng cú một vài điều gỡ đú chờ packet (vớ dụ chương trỡnh chưa ghi xong) thỡ packet sẽ bị huỷ.
4.2 Cỏc ứng dụng
Trong phần này chỳng ta sẽ tỡm hiểu 2 ứng dụng đú là ứng dụng Iptables làm IP Masquerading, IP NAT.