Category: iptables

Linux: фильтрация, connection tracker и packet flow: iptables, ipset, ipfw, nftables, bpfilter, firewalld, conntrack, BPF, packetfilter

Фильтрация на базе DPDK
packet flow (pipeline)

Тут только packet flow, подробнее в отдельном разделе.

Netfilter-packet-flow.svg

         еще одна вариация

iface input -> xdp -> qdisc (ingress) -> brouting -> prerouting -> conntrack -> prerouting -> forward -> postrouting -> qdisc (egress) -> iface output

  • CloudFlare:
XDP -> qdisc -> IPTABLES -> SOCKET -> APPLICATION

XDP

Самый быстрый фильтр, быстрее может быть потенциально только на базе самой NIC и DPDK.

Читать дальше

Доступ во внешнюю сеть через ssh tunnel

ssh-сервер с доступом на внешку разные “паразиты” могут использовать для доступа с него во внешку через ssh-туннели. Лечится правилами iptables на out. У нас так залочили на одном из серваков, пострадал скрипт, который вносит данные через WEB. Добавили в исключения домен, на который обращается скрипт.

Читать дальше