Iptables och ipchains är allestädes närvarande Linux brandväggar . Varje ger detaljerad kontroll över inkommande trafik på ett paket eller session nivå , med några extra moduler för statistik , nätverk statliga och andra användbara nätverksövervakning och kontrollfunktioner . Även om varje verktyg är , per definition , en kernel - level packet filtreringssystem , skiljer de sig kraftigt i omfattning , funktionalitet och enkel konfiguration . Grundläggande funktioner
ipchains anses ofta en föregångare till Iptables , som erbjuder enkel , snabb och statslösa nätverk filtrering , medan Iptables tenderar att ha mer avancerade funktioner . Båda programvarubrandväggar tillåter administratörer att blockera enkel nätverkstrafik baserat på IP -adress , TCP /UDP -port , och andra identifierande egenskaper . Iptables , ger mer avancerade alternativ för att matcha paket än vad ipchains , såsom innehåll och etikett - baserad matchning .
Lättkonfigurerat
ipchains konfiguration är uppkallad efter sin långa sträng av reglerna för var och en av följande gränssnitt situationer : ingång, utgång och spedition . Varje paket följer varje kedja av regler från den första till den sista , vidta lämpliga åtgärder på en match ( vanligtvis tappa eller förkasta paketet ) och fortsätter om regeln inte stämmer . Iptables fungerar på ett liknande sätt tekniskt , men systemet är konfigurerat att endast följa en lämplig kedja , och moduler ger avancerad analytisk information om paketet , utan de komplexa pipeline - liknande regler ipchains .
åtkomst
Både Iptables och ipchains kräver administrativ behörighet att komma åt och uppdatera . Den Iptables kommandoradsgränssnitt där systemadministratörer snabb och detaljerad tillgång till de olika regler, kedjor och tabeller . Ipchains ger också ett kommandoradsgränssnitt , men det är mindre kraftfull i termer av funktionalitet och mer komplicerat att bemästra . Iptables moduler , konfigurerbara på kommandoraden i regel , ger avancerad paketfiltrering funktioner i en enkel att använda sätt .
Packet mangling
mangling
Packet är processen att ändra eller etikettering nätverkspaket när de passerar genom brandväggen . För avancerad brandvägg system , är det avgörande för genomförandet av nätdrift och säkerhetsteknik såsom Network Address Translation ( NAT ) och IP Security ( IPSec ) Virtual Private Networks ( VPN ) . Iptables gör detta enkelt via maskerad och alternativ omdirigering . Ipchains genomför inte någon typ av paket mangling teknik
Stateful Övervakning
iptables moduler implementera övervakning Stateful Packet - . En teknik som gör att brandväggar för att spåra anslutningar och sessioner snarare än individuella paket . Iptables erkänner och kan sortera paket från stater som ny , och fastställd representerar olika tillstånd av en anslutning livscykel . Dessa funktioner kan systemet brandväggar för att vara mer proaktiva i att upptäcka och reagera på avancerade nätverk hot som kan lura enklare , regelbaserade system för upptäckt . Ipchains genomför inte någon funktionalitet Stateful övervakning .
