Фильтрация трафика:
– разрешить дальнейшую обработку сетевого пакета
– отбросить сетевой пакет
– возможно, с отправкой соответствующего пакета ICMP
Обработка сетевого трафика межсетевыми экранами:
– подмена source/destination IP/port (SNAT/DNAT)
– что-либо ещё
Межсетевые экраны в Linux:
– реализованы в ядре операционной системы (NetFilter),
– уровень L2 … L4.
Реализации межсетевых экранов в Linux:
– ipchains (ядра 2.4 включительно, устарело)
– iptables (iptables, ip6tables, arptables, ebtables)
– nftables (nft)
– bpfilter (начиная с ядер 4.8, основан на eBPF, extended Berkeley Packet Filter)
Для построение сложных фильтров используются программные надстройки,
общего назначения или специфичные для дистрибутивов.
39