Xtables permette all'amministratore di sistema di definire tabelle contenenti catene di regole per il trattamento dei pacchetti. Ogni tabella è associata a un diverso tipo di elaborazione dei pacchetti.
I pacchetti vengono elaborati attraversando sequenzialmente una catena di regole.
Una regola in una catena può causare un goto o un salto ad un'altra catena, questo può essere ripetuto a qualunque livello di nidificazione si desideri. (Un salto è come una “chiamata”, cioè viene ricordato il punto da cui si è saltato.) Ogni pacchetto di rete che arriva o esce dal computer attraversa almeno una catena.
Percorsi del flusso dei pacchetti
I pacchetti iniziano da una determinata casella e fluiranno lungo un determinato percorso, a seconda delle circostanze.
L'origine del pacchetto determina quale catena attraversa inizialmente.
Ci sono cinque catene predefinite (mappate sui cinque Netfilter hook disponibili), sebbene una tabella potrebbe non avere tutte le catene.
Le catene predefinite hanno una politica, ad esempio DROP, che viene applicata al pacchetto se raggiunge la fine della catena. L'amministratore di sistema può creare quante altre catene desidera. Queste catene non hanno una politica; se un pacchetto raggiunge la fine della catena viene restituito alla catena che lo ha chiamato. Una catena può essere vuota.
PREROUTING
I pacchetti entreranno in questa catena prima che venga presa una decisione sull'instradamento.
INPUT
Il pacchetto verrà consegnato localmente. (NB: non ha nulla a che fare con i processi che hanno un socket aperto. La consegna locale è controllata dalla tabella di routing “local-delivery”: ip route show table local.)
FORWARD
Tutti i pacchetti che sono stati instradati e non erano destinati alla consegna locale attraverseranno questa catena.
OUTPUT
I pacchetti inviati dalla macchina stessa visiteranno questa catena.
POSTROUTING
La decisione sul percorso è stata presa. I pacchetti entrano in questa catena appena prima di passarli all'hardware.
Ogni regola in una catena contiene la specifica di quali pacchetti corrisponde. Può anche contenere un obiettivo (utilizzato per le estensioni) o un verdetto (una delle decisioni integrate).
Mentre un pacchetto attraversa una catena, viene esaminata ciascuna regola a sua volta. Se una regola non corrisponde al pacchetto, il pacchetto viene passato alla regola successiva.
Se una regola corrisponde al pacchetto, la regola esegue l'azione indicata dal target/verdict, il che può comportare che al pacchetto venga consentito di continuare lungo la catena oppure no.
Le corrispondenze costituiscono la maggior parte dei set di regole, poiché contengono le condizioni per le quali vengono testati i pacchetti.
Questi possono verificarsi per qualsiasi livello nel modello OSI, come ad esempio con i parametri the%%--%%mac-source and-p tcp%%--%%dport, ci sono anche corrispondenze indipendenti dal protocollo, come - such as-m time.
Il pacchetto continua ad attraversare la catena finché:
- una regola corrisponde al pacchetto e decide il destino finale del pacchetto, ad esempio chiamando uno tra ACCEPT o DROP, o un modulo che restituisce tale destino finale; oppure
- una regola chiama il verdetto RETURN, nel qual caso l'elaborazione ritorna alla catena chiamante; oppure
- si raggiunge la fine della catena; l'attraversamento continua nella catena madre (come se fosse utilizzato RETURN), oppure viene utilizzata la politica della catena di base, che è un destino finale.
I target restituiscono anche un verdetto come ACCEPT (i moduli NAT faranno questo) o DROP (ad esempio il modulo "REJECT"), ma possono anche implicare CONTINUE (ad esempio il modulo "LOG"; CONTINUE è un nome interno) per continuare con la regola successiva come se non fosse stato specificato alcun obiettivo/verdetto.
Il diagramma della catena del firewall è riepilogato nell'immagine seguente (valido per la versione 2.15 core 88 con il componente aggiuntivo Guardian 2.0 installato)
