Bir önceki yazımızda iptables'ın ne olduğunu ,kurulumunu  ve yapısını ele almıştık. Önceki yazımıza buradan ulaşabilirsiniz.

Iptables 5 table'dan oluşur. Bunlar aşağıdaki gibidir.

• Filter Table
• Nat Table
• Mangle Table
• Raw Table
• Security Table

 

1-Filter Table :

Filter Table, iptables için default(varsayılan) table'dır. Herhani bir table tanımlamazsanız , default olarak Filter Table'ı kullanmış olursunuz.
En çok kullanılan table'dır.
Bir paketin amaçlanan hedefe gitme talebini izin verme ya da reddetmek için kararlar alındığı table türüdür.
Filter Table aşağıdaki 3 chain'e sahiptir.

• INPUT chain : Local server'a gelen paketler(firewall'a gelen paketler) için kullanılır.
  Bu chain'deki kurallar, local bir işleme başlamadan hemen önce paketlere uygulanır.
• OUTPUT chain : Local server'da üretilen ve çıkan paketler(firewall'den çıkan paketler) için kullanılır.
  Bu chain'deki kurallar, bir işlem sonucunda üretilen paketlere uygulanır.
• FORWARD chain : Local'de başka bir NIC'e yönlendirilecek paketler için kullanılır.
  Bu chain'deki kurallar, mevcut host üzerinden yönlendirilen tüm paketlere uygulanır.

 

2-Nat Table: 

Network Address Translation kurallarını uygulamak yani yönlendirme kararları alırken kullanılır.
Bu tablo, paketlerin kaynak ve hedef adresleri değiştirilerek farklı Nat üzerinde host ağlarına paketleri yönlendirmeye izin verir.
Doğrudan erişilemeyen servislere erişime izin vermek için sıklıkla kullanılır.
Nat Table aşağıdaki 3 chain'e sahiptir.

• PREROUTING chain : Ağ arayüzüne yeni gelen paketlerden sorumludur.Henüz yönlendirme kararı alınmamış paketin ,local olarak yorumlanıp yorumlanmayacağı veya başka bir ağ arayüzünde bulunan başka bir makineye iletilip iletilmeyeceği bilinmeyen paketin PREROUTING chain'i geçtikten sonra yönlendirme kararı verilir.
  Bu chain'deki kurallar, ağ arayüzüne gelen paketler için geçerlidir.
• POSTROUTING chain : Alıcının farklı bir ağ arayüzünde bulunan (alt) bir ağa yerleştirilmesi durumunda ,makinenin bunu yapmak üzere yapılandırılması şartıyla paket bu arayüze iletilecektir.İletilen paketimiz makineden ayrılmadan hemen önce POSTROUTING chain'den geçer ve ardından ağ arayüzünden çıkar.
  Bu chain'deki kurallar, ağ arayüzünden ayrılan paketler için geçerlidir.
• OUTPUT chain : Local'de üretilen paketler için küçük bir fark vardır. PREROUTING zincirinden geçmek yerine OUTPUT zincirinden geçer ve daha sonra POSTROUTING zincirine geçer.
  Bu chain'deki kurallar, bir işlem sonucunda üretilen paketlere uygulanır.

 

3-Mangle Table: 

Özel paket değişikliği için kullanılır. TTL değerlerini değiştirmek gbii çeşitli yöntemlerle paket başlıklarını değiştirebilme imkanı sağlar.TCP header'da QOS bitlerini değiştirir.
Mangle Table aşağıdaki 5 chain'e sahiptir.

• PREROUTING chain
• OUTPUT chain
• FORWARD chain
• INPUT chain
• POSTROUTING chain

 

4-Raw Table: 

NOTRACK hedefiyle birlikte bağlantıları izlerken istinai durumların yapılandırılması için kullanılır.
Netfilter hooks'a yüksek öncelikle kaydedilir ve ip_conntrack veya diğer Ip tables'lardan önce çağrılır.
Raw Table aşağıdaki 2 chain'e sahiptir.

• PREROUTING chain
• OUTPUT chain

 

5-Security Table:

Bu table, SECMARK ve CONNSECMARK hedefleri tarafından izin verilen Mandatory Access Control(MAC) ağ kuralları için kullanılır. MAC, SELinux gibi Linux güvenlik modülleri tarafından uygulanır. Filter table'dan sonra security table çağrılarak, filter table'daki  Discretionary Access Control(DAC) kuralları , MAC kurallarından önce geçerli olması için izin verilir.
SELinux Tarafından, SELinux güvenlik bağlamlarına dayalı politikalar uygulamak için kullanılır.
Securtiy Table aşağıdaki 3 chain'e sahiptir.

• INPUT chain : Local server'a gelen paketler(firewall'a gelen paketler) için kullanılır.
• OUTPUT chain : Local server'da üretilen ve çıkan paketler(firewall'den çıkan paketler) için kullanılır.
• FORWARD chain : Local'de başka bir NIC'e yönlendirilecek paketler için kullanılır.

 

 Iptables için akış şemalarını verdiğim linklerden inceleyebilirsiniz.

Şema-1
Şema-2