iptables este interfața (utilitatea) la nivel de utilizator pentru cadrul de filtrare a pachetelor de rețea kernel, the Netfilter.
Netfilter este pur și simplu un filtru de pachete, filtrează ceea ce îl setați să filtreze. Se uită în octeții de pachet, verifică ce porturi, adrese, alte opțiuni sunt setate și decide ce să facă cu pachetul. Face asta simplu pachet cu pachet, făcând aproape nicio referire la pachetele văzute anterior. Cu ajutorul tracker-ului de conexiune poate spune uneori dacă pachetul este o continuare sau are legătură cu un alt pachet, desemnându-le pe toate ca conexiune, acesta este deja destul de sofisticat. De asemenea, poate modifica pachetele folosind reguli predefinite (inclusiv traducerea adresei de rețea). Dar acesta este aproape tot ceea ce Netfilter este conceput pentru a funcționa.
Despre ce vorbiți, detectarea scanărilor de porturi, este un tip foarte diferit de sarcină de a detecta anumite modele de trafic.Nu este suficient să privim pachet cu pachet sau doar în conexiuni. Trebuie să luați în considerare un instantaneu substanțial al unui trafic pentru a vedea un model. Și aceasta este treaba unui tip complet diferit de software, an Sistem de detectare a intruziunilor (IDS) și analizor de trafic în general. Există unele open source, cum ar fi Snort, și există o mulțime de sisteme comerciale de acest fel.
Și, după cum probabil ați ghicit, aceștia sunt detectoare foarte sofisticate și... inexacte. Nu poți fi exact în acest domeniu. Probabilitatea ca acele 5000 de computere să interogheze cele 65000 de porturi diferite de pe aparat într-o perioadă scurtă de timp este foarte mică, dar nu zero; există întotdeauna o anumită incertitudine dacă acesta este un trafic legitim sau o scanare. Și această detectare a scanării traficului este unul dintre, presupun, cele mai ușor de observat; există multe alte cazuri care sunt și mai greu de spus și mai ușor de ascuns și de furișat în jurul IDS. Acesta este domeniul în care toți concurează între ei, cine face detectarea mai bine, cu anomalii detectate mai corect și mai puține false pozitive, așa că algoritmii de detectare sunt adesea proprietatea lor intelectuală cea mai valoroasă.
În cele din urmă, IDS poate deveni un Sistem de prevenire a intruziunilor (IPS) atunci când este combinat cu filtrarea pachetelor. De exemplu, îl puteți configura astfel încât să instaleze o regulă în Netfilter atunci când crede că detectează o scanare, care va împiedica acțiuni suplimentare de la aceste adrese IP. Dar Netfilter singur nu este un IPS, nu detectează, așa că nu este surprinzător că nu reușiți să vă atingeți obiectivul.
Unele software antivirus cred că sunt deștepți și își asumă rolul de „IPS pentru săraci”. De obicei fac acest lucru destul de rău și, în opinia mea, acest lucru introduce mai multe probleme decât rezolvă.
Întrebarea principală este: De ce ai nevoie de asta? Ce este rău în acele scanări pentru tine? Am spus altfel: să presupunem că cineva scanează portul de pe mașina dvs. Foarte probabil vor afla că aproape niciun port nu răspunde sau că majoritatea răspunsurilor sunt „port inaccesibil”.Și ce e în neregulă cu asta?
