Image
17.12.2015 0 Comments

Linux a bezpečnosť

Podľa prísľubu venujeme tento článok projektu nftables (netfilter.org/projects/nftables), ktorého cieľom je nahradiť dlhoročne používaný framework iptables. Projekt nftables a jeho súčasti boli integrované do linuxového jadra (vo verzii 3.13) na začiatku roku 2014. Základný nástroj (tool), resp. príkaz (command) projektu je nft, ktorý v tomto prípade nahrádza pôvodný príkaz iptables a všetky jeho odvodeniny. Uvedením nástroja nft došlo k viacerým významným zmenám v spôsobe konfigurácie pravidiel linuxového firewallu. Našou ambíciou je v krátkosti opísať projekt nftables a uviesť najzákladnejšie tvary príkazu nft. nftables Prvá skutočnosu, ktorú uvedieme, je dodržanie spätnej kompatibility (compatibility layer) so systémom iptables. IPtables tak môže existovať na rovnakom stroji, pričom jeho príkazy sú vykonávané nad novým nftables kernel frameworkom. Paketový filter nftables je vybudovaný nad infraštruktúrou netfilter a je zložený z troch základných komponentov: implementácia v linuxovom jadre - konfiguračné rozhranie pre netlink + evaluácia pravidiel knižnice libmnl, libnftnl - nízkoúrovňové (low-level) funkcie na komunikáciu s jadrom používateľský frontend (userspace) Majoritné vlastnosti (features), resp. zlepšenia oproti iptables sú zhrnuté v tabuľke č. 1.   Základy použitia príkazu nft Tabuľky nftables sú kontajnermi na registrované reťazce bez špecifickej sémantiky a na rozdiel od iptables sú po vytvorení prázdne, teda nemajú štandardne preddefinovanú konfiguráciu. Štandardné typy tabuliek delíme v závislosti od skupiny (family) na: ip (IPv4), ip6 (IPv6), arp, bridge, inet a netdev. Na to, aby sme mohli začať pracovať s nftables, musíme vytvoriť najmenej jednu tabuľku, do ktorej musíme pridať požadované reťazce (chains) pravidiel (rules). Reťazce sú zoznamami pravidiel a delíme ich na základné (base) a všeobecné (non-base). Základný reťazec je taký reťazec, ktorý je schopný sledovať pakety prechádzajúce kanálom TCP/IP. Naopak, všeobecný reťazec nesle ...

Článok je uzamknutý

Pokračovanie článku patrí k prémiovému obsahu PC REVUE, ktorý je dostupný pre predplatiteľov. S digitálnym predplatným za 20 € na celý rok získate neobmedzený prístup k uzamknutému obsahu na webe. Objednať si ho môžete TU. Ak už máte digitálne predplatné PC REVUE prihláste sa TU. Ak máte digitálne predplatné Piano, prihláste sa pomocou Piano.


Prihlásiť pomocou členstva PC REVUE
 
Alebo sa prihláste cez službu Piano





Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro 1

Rozšírená realita pomôže školám

17.12.2016 00:05

Raz vidieť je lepšie ako stokrát počuť a v školstve to platí ešte mnohonásobne viac. Čo však v prípade, ak si študenti majú pozrieť, ako v reálnom čase pracuje jadrový reaktor? Alebo by chceli vidieť, ...

ITPro

Linux súkromne i pracovne v2.0 (15. časť): SIP (Session Initiation Protocol)

13.12.2016 11:58

Je priam neuveriteľné, aké množstvo užitočných informácií a faktov súvisiacich s IP telefóniou (VoIP) sa skrýva za takou jednoduchou skratkou, ako je SIP. Nejde pritom iba o protokol, ale o mnoho ďalš ...

ITPro

Výzvy a perspektívy mobilných sietí

13.12.2016 11:52

Dostupnosť kvalitného mobilného pripojenia vrátane dostatočnej kapacity na prenos dát považujeme v súčasnosti za samozrejmosť.  O niektorých špecifikách a  perspektívach služieb mobilných operátorov v ...

Vyhľadávanie

qubitconference

Najnovšie videá