Il Packet Filtering in Linux.

IL funzionamento di Netfilter a livello di kernel è molto diverso da quello dei Packet Filters presenti su Linux 2.0 e 2.2. Come si vede dalla fig. 7, il kernel alloca inizialmente 3 liste di regole (indicate nei riquadri azzurri) chiamate comunemente chains. Le tre chains iniziali sono quelle di input, output e forward ma, come vedremo, è possibile aggiungerne di nuove per personalizzare il comportamento del proprio firewall. Il flusso dei dati, rispetto a quello che si aveva con ipchains, risulta completamente stravolto: quando un pacchetto raggiunge una delle chains schematizzate nel diagramma, le regole in essa contenute sono esaminate allo scopo di determinare il suo destino.

Quando un pacchetto giunge al firewall attraverso una interfaccia di rete, per prima cosa il kernel si occupa di individuarne la destinazione (routing); se esso è destinato al firewall stesso, viene processato attraverso la chain di input ed eventualmente accettato e passato al processo che lo attendeva. Se la destinazione è un'altra, e se il packet forwarding è abilitato, viene consultata la chain di forward: se il pacchetto viene accettato, viene spedito a destinazione.
Le regole della chain dioutput, invece, vengono controllate nel caso in cui un programma locale necessiti di inviare un pacchetto in uscita.
Oltre a questa fondamentale differenza di struttura, come abbiamo già accennato, iptables ha delle funzionalità addizionali: le principali sono il supporto per la Stateful Inspection e il Rate Limiting.
Ora vedremo un esempio di implementazione della policy di sicurezza precedentemente formulata.