iptables — интерфейс к файрволу Linux (netfilter). При большом количестве правил iptables нагрузка может быть достаточно высокой и создавать проблемы. В этой заметке я постараюсь описать, что влияет на производительность iptables и как ее повысить.

После настройки IPv6 появляется задача настройки фаервола для нового протокола. Ниже я предлагаю свой скрипт, который позволяет настроить фаервол сразу для IPv4 и IPv6. Хотя общих правил для обоих фаерволов получилось не так уж и много, мне всё-таки удобнее править один общий файл, чем два разных.

Для управления правилами фильтрации пакетов netfilter в Linux в большинстве случаев используется утилита iptables. Она позволяет просматривать и изменять каждое правило по отдельности. Однако, для управления таблицами фильтрации можно применять утилиты iptables-save и iptables-restore, что в некоторых случаях является предпочтительнее.

Задача: Организовать съем трафика с сервера и передачу его по сети на другой сервер для последующего анализа. В простейшем случае — реализации средствами ОС Linux функции SPAN коммутаторов Cisco. Подобная задача возникает, если мы хотим провести анализ содержимого не на существующем сервере, а на выделенном сервере для анализа. В простейшем случае реализуем схему, изображенную на рисунке.

В этой схеме, мы проверяем весь проходящий через шлюз трафик пользователя. Для анализа можно использовать систему обнаружения вторжений, например Snorm.

Группа «netfilter» представила: iptables version 1.4.0
Данная версия содержит множество исправлений и улучшенную поддержку IPv6.

Via: http://marc.info/?l=netfilter&m=11983316…