IPTables이는 Linux 시스템에서 기본적이고 매우 일반적으로 사용되는 방화벽입니다. netfilter프로그램이 등록할 수 있는 5개의 Hook을 제공합니다.
Netfilter와 IPTables는 어느 계층에서 작동합니까?
- IP 패킷 수준
- TCP/UDP 패킷 수준
답변1
nftables/iptables는 이러한 모델의 여러 계층에서 작동하기 때문에 간단한 대답은 없습니다.
가장 기본적인 규칙( 또는 ip[6]tablesnftable ip및 주소 계열)은 주로 OSI 네트워크 계층(TCP/IP 모델 위에 있는 인터넷 계층)에 적용됩니다. 그러나 nftables (또는 nftables 및 주소 계열) 는 OSI 데이터 링크 계층에서 작동하며 기본 테이블조차도 최소한 어떤 데이터 링크가 사용되는지(물리적 인터페이스, 집계 또는 가상 인터페이스) 알고 있습니다.ip6inetarptablesebtablesarpbridgenetdevip[6]
프로토콜 사양을 포함하는 모든 규칙(nftables의 경우 옵션을 포함하는 ip[6]tables모든 규칙, nftables의 경우 키워드가 있는 모든 규칙)도 전송 계층에서 실행됩니다.-pprotocol
연결 추적이 포함된 경우 최소한 OSI 세션 계층을 이해하는 것을 의미합니다. NAT를 구현하는 모든 것은 확실히 세션 계층 정보를 조작하고, nf_nat_ftp프로토콜별 NAT 모듈(= 유사한 모듈)이 사용되는 경우 아마도 OSI 세션 계층을 조작할 것입니다. 특정 프로토콜에 따라/애플리케이션의 요구 사항이 OSI 프리젠테이션/애플리케이션 계층에 도달합니다.
따라서 nftables(또는 iptables + arptables + ebtables의 조합)는 물리 계층을 제외한 거의 모든 OSI 계층에 영향을 미칠 수 있다고 말할 수 있습니다.