Siguiente: La base de Netfilter
Subir: Netfilter/Iptables
Anterior: Netfilter/Iptables
Índice General
Netfilter es básicamente una serie de ganchosA.5
en varios puntos del recorrido de un paquete que atraviesa una interfaz de red de nuestra máquina.
El diagrama de recorrido (idealizado) de IPv4 se puede observar en la figura A.10.
Figura A.10:
Estructura de las Iptables
|
|
Observando la figura A.10 tenemos que los paquetes
entran desde la izquierda: tras haber pasado las sencillas comprobaciones rutinarias
(no está truncado, la suma de control IP es correcta y no es una recepción promiscua),
son pasados al gancho NF_IP_PRE_ROUTING del sistema netfilter.
Luego entran en el código de enrutamiento, que decide si el paquete está destinado a
otra interfaz o a un proceso local. El código de enrutamiento puede rechazar paquetes que no se pueden enrutar.
Si está destinado a la propia máquina, se llama de nuevo al sistema netfilter
para el gancho NF_IP_LOCAL_IN, antes de ser enviado al proceso (si hay alguno).
Si, en cambio, está destinado hacia otra interfaz, se llama al sistema netfilter para el gancho NF_IP_FORWARD.
Luego el paquete pasa por un gancho final, el gancho NF_IP_POST_ROUTING, antes de ser enviado al siguiente
nodo de enrutamiento.
Para los paquetes creados localmente, se llama al gancho NF_IP_LOCAL_OUT. Aquí puede ver que el
enrutamiento ocurre después de haber llamado a este gancho: de hecho, se llama primero al código
de enrutamiento (para averiguar la dirección IP y algunas opciones IP), y luego se le
llama otra vez si el paquete ha sido alterado.
Siguiente: La base de Netfilter
Subir: Netfilter/Iptables
Anterior: Netfilter/Iptables
Índice General
Jesús Martín
2003-09-16
![\includegraphics[height=4cm,width=15cm
]{iptables1.ps}](img40.png)