Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

NOTE: CentOS Enterprise Linux is built from the Red Hat Enterprise Linux source code. Other than logo and name changes CentOS Enterprise Linux is compatible with the equivalent Red Hat version. This document applies equally to both Red Hat and CentOS Enterprise Linux.
Linuxtopia - CentOS Enterprise Linux Reference Guide - Differenze tra iptables e ipchains

18.2. Differenze tra iptables e ipchains

A prima vista, ipchains e iptables risultano piuttosto simili. Entrambi i metodi di filtraggio dei pacchetti si servono di una serie di regole che operano all'interno del kernel di Linux per decidere cosa fare con i pacchetti che corrispondono alla regola specificata oppure ad un set di regole. Tuttavia, iptables offre un modo molto pi� estensibile per filtrare i pacchetti, fornendo all'amministratore un livello di controllo maggiore senza, per�, aggiungere eccessiva complessit� al sistema.

Se avete familiarit� con ipchains, prima di avventurarvi nell'utilizzo di iptables assicuratevi di avere ben presenti le seguenti differenze tra i due metodi:

  • Sotto iptables, ogni pacchetto filtrato viene elaborato usando le regole di una sola catena invece di catene multiple. Per esempio, un pacchetto FORWARD che entra in un sistema usando ipchains deve passare attraverso le catene INPUT, FORWARD e OUTPUT per poter arrivare a destinazione. iptables, invece, invia i pacchetti alla catena INPUT solo se sono destinati al sistema locale e li invia alla catena OUTPUT solo se sono stati generati dal sistema locale. Per questa ragione, � importante posizionare la regola creata per catturare un pacchetto particolare, all'interno della regola che gestisce il pacchetto.

  • Il target DENY � stato cambiato in DROP. In ipchains, ai pacchetti che soddisfavano una certa regola di una catena poteva essere assegnato il target DENY per fare in modo che venissero abbandonati. Per ottenere lo stesso effetto in iptables � stato necessario cambiare il target in DROP.

  • L'ordine � importante quando si devono collocare delle opzioni in una regola. Con ipchains, l'ordine che viene assegnato alle varie opzioni non ha molta importanza. Il comando iptables usa una sitassi pi� rigida. Nei comandi iptables dovete specificare la porta sorgente o di destinazione prima aver specificato il protocollo (ICMP, TCP o UDP).

  • Quando specificate le interfacce di rete da associare a una regola, dovete usare solo interfacce di ingresso (opzione -i) con le catene INPUT o FORWARD e solo interfacce di uscita (opzione -o) con le catene FORWARD o OUTPUT. Questo � necessario in quanto le catene OUTPUT non vengono pi� utilizzate dalle interfacce di ingresso e le catene INPUT non interessano i pacchetti che si muovono attraverso le interfacce di uscita.

Questo elenco presenta solo una parte dei cambiamenti apportati, anche perch� il filtro iptables � stato sostanzialmente riscritto. Per informazioni pi� specifiche, consultate Linux Packet Filtering HOWTO nella Sezione 18.7.

 
 
  Published under the terms of the GNU General Public License Design by Interspire