Nguyên lý hoạt động của IPTables

Một phần của tài liệu (LUẬN VĂN THẠC SĨ) Nghiên cứu giải pháp an toàn thông tin cho hệ thống tính toán lưới Luận văn ThS. Công nghệ thông tin 60 48 05 (Trang 44 - 45)

2.1.3 .2Ủy quyền

3.2 Nguyên lý hoạt động của IPTables

- Iptable sẽ kiểm tra tất cả các package khi nó đi qua iptables host, quá trình kiểm tra này được thực hiện một cách tuần tự từ entry đầu tiên đến entry cuối cùng.

Hình 3-2. Đường đi của gói tin.

* Forward packet (chuyển gói tin): Một gói tin để cho host khác được gọi là FORWARD gói tin, đầu tiên nó chuyển qua chain PREOUTING (trước khi định tuyến) trong bảng mangle, tại đây gói tin có thể bị thay đổi thông số. Sau đó chuyển qua chain PREOUTING trong bảng NAT, đây là nơi nguyên tắc DNAT (Destination Network Addess Translation- chuyển đổi địa chỉ đích) được áp dụng vào.

- Đối với gói tin đi vào máy, nó sẽ qua chain INPUT. Tại chain INPUT, gói tin có thể được chấp nhận hoặc huỷ bỏ. Tiếp theo gói tin sẽ được chuyển lên cho các ứng dụng (client/server) xử lí và tiếp theo là được chuyển ra chain OUTPUT. Tại chain OUTPUT, gói tin có thể bị thay đổi các thông số và bị lọc chấp nhận hay bị huỷ bỏ.

- Đối với packet forward qua máy, gói tin sau khi rời chain PREROUTING sẽ qua chain FORWARD trong bảng filter, tại chain FORWARD chỉ những nguyên tắc lọc mới được áp vào (ACCEPT hoặc DENY).

- Sau khi gói tin qua chain FORWARD hoặc chain OUTPUT sẽ được chuyển qua chain POSTROUTING (sau khi định tuyến) trong bảng NAT, trong chain này các nguyên tắc SNAT (source Network Address Tranlation - đổi địa chỉ IP nguồn) được áp vào hoặc MASQUERADE, cuối cùng gói tin được chuyển ra giao diện bên ngoài.

* Send packet (gửi gói tin): gói tin được phát sinh trên host cục bộ, đầu tiên được chuyển sang chain OUTPUT của bảng mangle, sau đó chúng chuyển qua chain OUTPUT của bảng NAT, sau đó chuyển qua chain OUTPUT của bảng filter. Khi gói tin chuyển qua chain này, hệ thống xác định nơi gói tin được định tuyến, khi đã quyết định được định

tuyến gói tin chuyển qua chain POSTOUTING trong bảng NAT, đây là nơi nguyên tắc SNAT được áp vào, gói tin chuyển qua giao diện thích hợp.

* Receive packet (Nhận gói tin): gói tin được chuyển đến host cục bộ, đầu tiên nó được

chuyển đến chain PREOUTTING trong bảng mangle, sau đó được chuyển qua chain PREOUTING trong bảng NAT. Đây là nơi nguyên tắc DNAT được áp vào, sau khi nguyên tắc DNAT được áp vào thì định tuyến được quyết định, sau đó gói tin được chuyển qua chain OUTPUT trong bảng filter, cuối cùng gói tin được chuyển vào tiến trình hoặc ứng dụng thích hợp.

Một phần của tài liệu (LUẬN VĂN THẠC SĨ) Nghiên cứu giải pháp an toàn thông tin cho hệ thống tính toán lưới Luận văn ThS. Công nghệ thông tin 60 48 05 (Trang 44 - 45)

Tải bản đầy đủ (PDF)

(74 trang)