www.iptables.org
Il progetto netfilter/iptables riguarda il sottosistema di firewalling di Linux 2.4.x / 2.5.x. Offre le funzioni di filtraggio di pacchetto (packet filtering) integrando o meno le funzioni di analisi di stato, nonché diverse metodologie per implementare il protocollo NAT di traduzione e mangle degli indirizzi di rete (Network Address Translation) e il mascheramento degli indirizzi stessi. www.iptables.org è il sito ufficiale del progetto, indispensabile per chiunque si appresti a gestire le politiche di sicurezza in ambiente Linux.
IL SITO
Le pagine hanno un’organizzazione molto semplice. Vi è un menù laterale sinistro che rimanda alle sezioni principali e alle relative sottosezioni. Da evidenziare vi è la sezione download da cui è possibile effettuare lo scarico del pacchetto e dei file contenenti le patch. In realtà quasi tutte le distribuzioni più note di Linux includono già nel Kernel la maggior parte di netfilter/iptables. Dal sito si possono comunque in ogni momento scaricare le patch (una cinquantina alla data) e alcune utility aggiuntive, presenti nel sistema denominato patch-o-matic. Altra sezione importante del sito è quella della documentazione che contiene HOWTO e FAQ, nonché l’accesso a mailing list appropriate.
netfilter/iptables è disponibile sotto licenza GNU GPL.
COSA E’ NETFILTER
netfilter/iptables costituiscono la parte del kernel 2.4.x di LINUX che abilita il filtraggio dei pacchetti, il protocollo NAT, il mascheramento ... e altre componenti necessarie a configurare un firewall. Sono state pesantemente modificate e migliorate rispetto ai precedenti sistemi ipchains 2.2.x e ipfwadm 2.0.x.
In particolare netfilter è un insieme di “trappole” che si situano nel livello di rete del kernel 2.4.x per tracciare ogni funzione attivata a causa di un pacchetto in transito.
iptables è una un insieme di funzioni per la gestione della tabella delle regole.
Le caratteristiche principali dell’architettura di firewall configurabile con questi prodotti uniti a NAT e ad un opportuno sistema di logging sono: filtraggio di pacchetti con analisi di stato, gestione di una infrastruttura di rete flessibile ed integrabile, ampio numero di patch per configurare componenti aggiuntivi opzionali. Rendono possibile inoltre alterare i pacchetti non solo con un semplice mascheramento, ma con tecniche aggiuntive (mangle) per consentire ad esempio la modifica dei campi TOS degli header IP.
DOCUMENTAZIONE
Tecnicamente si tratta di un argomento assai complesso. L’indispensabile documentazione è qui disponibile sotto forma di FAQ e HOWTO, presenti in varie lingue tra cui, fortunatamente, anche l’italiano. Sono presenti anche svariati tutorial tra cui si citano iptables tutorial di Oskar Andreasson, Comparison of iptables automation tools di Anton Chuvakin, Set up an gateway for home or office di YoLinux, Iptables basics di Prince Kenshi, Filtering packets with iptables e Using iptables di Joe Brockmeier, ….
AUTORI E COLLABORATORI DEL PROGETTO
Inizialmente l’autore di netfilter/iptables era Paul "Rusty" Russell. A questi si sono poi uniti altri collaboratori: Martin Josefsson, Jozsef Kadlecsik, Harald Welte, James Morris, Marc Boucher. Nel sito sono disponibili eventuali informazioni per chi fosse interessato alla collaborazione con questo core team.
Orietta Zangiacomi