Netfilter
Netfilter | ||||
---|---|---|---|---|
Ontwikkelaar(s) | Paul Russell | |||
Recentste versie | N.v.t. (volgt versienummer Linuxkernel) | |||
Status | Actief | |||
Besturingssysteem | Linux | |||
Geschreven in | C | |||
Categorie | Firewall | |||
Licentie(s) | GPLv2 | |||
Website | (en) Projectpagina | |||
|
Netfilter is een voorziening in de Linuxkernel vanaf versie 2.2 die het mogelijk maakt om netwerkpakketten te onderscheppen, te filteren en te manipuleren. Netfilter is de opvolger van ipfwadm en ipchains, de netwerkfilters in oudere kernelversies. In tegenstelling tot die laatste twee is netfilter stateful. Dit houdt in dat netfilter in staat is om onderscheid te maken tussen pakketten die bij verschillende verbindingen horen.
Netfilter is ontwikkeld door Paul Russell die ook netfilters' voorganger ipchains creëerde. In 2000 werd netfilter opgenomen in de Linuxkernel.
Mogelijkheden
[bewerken | brontekst bewerken]De netfiltersoftware geeft de Linuxkernel een aantal mogelijkheden op netwerkgebied, zoals:
- Het filteren van pakketten: de Linuxkernel is dus ook een packet filtering firewall.
- Network address translation: de Linuxkernel functioneert dus tevens als router.
- Port forwarding
- Connection tracking
Netfilter ondersteunt zowel IPv4 als IPv6 (Internetprotocol 4 en 6).
Structuur
[bewerken | brontekst bewerken]Het netfilter-framework bestaat uit twee onderdelen. Het eerste onderdeel, dat ook netfilter wordt genoemd, is de feitelijke implementatie in de kernel. Het tweede onderdeel wordt iptables genoemd en is de gebruikersinterface om netfilter te configureren.
De functionaliteit die netfilter aan de Linuxkernel toevoegt, is voor andere kernelmodules en programma's aan te spreken via een API.
Het configureren van netfilter gebeurt door middel van regels. Een regel specificeert een aantal voorwaarden en een actie (target genaamd). Als netfilter een pakket binnen krijgt dat aan de voorwaarden van een regel voldoet wordt de bijbehorende actie op het pakket uitgevoerd. Voorwaarden kunnen bijvoorbeeld betrekking hebben op de herkomst van een pakket, de inhoud ervan of de verbinding waartoe het pakket behoort. Als actie bij een regel kan bijvoorbeeld aangegeven worden dat het pakket weggegooid (DROP), geaccepteerd (ACCEPT) of naar een logfile geschreven (LOG) moet worden.
Door middel van aanvullende modules kunnen nieuwe acties en extra mogelijkheden om voorwaarden te specificeren worden toegevoegd.
Zie ook
[bewerken | brontekst bewerken]Externe link
[bewerken | brontekst bewerken]- Taming the Wild Netfilter, David A. Bandel, Linux Journal, 1 september 2001.
- http://netfilter.org/documentation/tutorials/lw-2000/tut.html: Tutorial, Paul Russell, LinuxWorld: San Jose August 2000 (niet meer beschikbaar)