Netfilter Tables และการจัดการแพคเก็ตเครือข่าย
Netfilter tables เป็นส่วนสำคัญของระบบปฏิบัติการ Linux ที่ใช้ในการจัดการและควบคุมการประมวลผลแพคเก็ตเครือข่าย ด้วยเป้าหมายในการกำหนดนโยบายความปลอดภัยและการเชื่อมต่อเครือข่าย ด้วยโครงสร้างของตาราง (tables) และกฎ (rules) ที่ช่วยปรับแต่งและกำหนดพฤติกรรมในระบบเครือข่าย Linux ได้อย่างละเอียดอ่อน
ตารางหลักของ Netfilter
Filter Table (filter)
ตาราง filter ใช้ในการควบคุมการเข้าถึงแพคเก็ตที่เข้าเครื่องแม่ข่าย หรือจะกำหนดให้ปฏิเสธหรือยอมรับแพคเก็ตตามกฎที่กำหนด ซึ่งเป็นส่วนสำคัญในการทำไฟร์วอลล์ (firewall) และปกป้องระบบ
NAT Table (nat)
ตาราง nat เป็นส่วนที่ใช้ในการแปลงที่อยู่ IP และพอร์ตของแพคเก็ต โดยใช้ในการทำ Network Address Translation (NAT) ซึ่งช่วยในการเชื่อมต่อเครือข่ายระหว่างเครื่องคอมพิวเตอร์ในเครือข่ายภายในกับเครือข่ายภายนอก
Mangle Table (mangle)
ตาราง mangle ใช้ในการประมวลผลพิเศษแพคเก็ต เช่นการเปลี่ยนแปลงค่าพาเศษในส่วนต่าง ๆ ของแพคเก็ต เช่น TTL (Time-to-Live) เป็นต้น ซึ่งสามารถปรับแต่งการประมวลผลเครือข่ายได้ตามความต้องการ
Raw Table (raw)
ตาราง raw ใช้ในกรณีที่ต้องการประมวลผลเครือข่ายเบื้องต้นก่อนที่จะถูกส่งต่อไปยังตารางอื่น ๆ เช่นการประมวลผล ICMP และการกำหนดค่าพิเศษ
เชนและกฎ
แต่ละตารางประกอบด้วยเชนที่เป็นลำดับของกฎ (rules) ที่ถูกประมวลผลตามลำดับที่กำหนด มีเชนหลักที่สำคัญ 3 แบบ:
Input Chain
เชน Input ใช้ในการประมวลผลแพคเก็ตที่เข้ามายังระบบ
Output Chain
เชน Output ใช้ในการประมวลผลแพคเก็ตที่ระบบสร้างขึ้นเพื่อส่งออกจากระบบ
Forward Chain
เชน Forward ใช้ในการประมวลผลแพคเก็ตที่ถูกส่งต่อจากระบบนึงไปยังระบบอื่น
กฎและเป้าหมาย
กฎเป็นเงื่อนไขที่ใช้ในการตรวจสอบแพคเก็ตและกำหนดการกระทำที่จะถูกดำเนินการตามเมื่อแพคเก็ตตรงตามเงื่อนไข โดยมีเป้าหมาย (target) ที่กำหนดการกระทำที่จะให้ระบบดำเนินการตามกฎที่ตรงตามเงื่อนไข
เช่น กฎสามารถกำหนดให้แพคเก็ตที่มาจากที่อยู่ IP ตามเงื่อนไขบางประเภทถูกยอมรับ (ACCEPT) และแพคเก็ตที่ไม่ตรงตามเงื่อนไขถูกปฏิเสธ (DROP)
Netfilter tables และส่วนประกอบต่าง ๆ นี้ช่วยให้ผู้ดูแลระบบสามารถกำหนดนโยบายความปลอดภัยและการจัดการเครือข่ายได้ตามความต้องการขององค์กรและระบบ