Механізм відслідковування сеансів

Матеріал з Wiki TNEU
Версія від 23:49, 6 грудня 2011; Деренюк Павло (Обговорення)

(різн.) ← Попередня версія • Поточна версія (різн.) • Новіша версія → (різн.)
Перейти до: навігація, пошук

Стандартний Linux-фаєрвол netfilter використовує для відстеження зєднань інтегрованих в ядро ​​підсистему conntrack. Отримана інформація потім може використовуватися при фільтрації та перетворення пакетів. Наприклад, саме на базі цієї інформації працюють критерії conntrack (перевірка стану з'єднання, його застаріла версія відома як state), connlimit (обмеження кількості одночасних з'єднань з однієї адреси або підмережі), connbytes (обмеження з'єднань за кількістю пакетів або байт, переданих в одному або в обох напрямках), connmark (працює з маркуванням ctmark, загальною для всіх пакетів в з'єднанні). Також інформація conntrack автоматично використовується всіма операціями перетворення адрес і портів (SNAT, MASQUERADE, DNAT, REDIRECT, SAME, NETMAP).
Ця інформація зберігається в спеціальній таблиці (переглянути її можна, наприклад, виконавши cat / proc / net / nf_conntrack). Кожне з'єднання описується так званим кортежем (tuple) - набором значень, в який входять адреси та порти (у разі ICMP - типи та коди ICMP) джерела і призначення при передачі даних у прямому і зворотному напрямку. Очевидно, що за наявності кількох підмереж з однаковими адресними просторами, можливе виникнення плутанини, коли відразу декільком з'єднанням ставиться у відповідність одна і та ж запис у таблиці з'єднань. Щоб уникнути такої ситуації, в кортеж був доданий ідентифікатор зони conntrack - ціле число, яке можна встановлювати через спеціальне правило в таблиці raw в залежності від вхідного інтерфейсу (ланцюжок PREROUTING таблиці raw пакети проходять ще до обробки їх conntrack'ом). Крім того, це значення можна задати для кожного інтерфейсу через sysfs, минаючи iptables (псевдофайл / sys / class / net / імя_інтерфейса / nf_ct_zone). Таким чином, мережеві адміністратори отримали ефективний інструмент, що дозволяє витончено розв'язати навіть таку складну задачу.

Особисті інструменти
Простори назв

Варіанти
Дії
Навігація
Інструменти