path: root/2002/netfilter-knf2002/abstract

Firewalling mit netfilter/iptables unter Linux 2.4.x

Der Linux 2.4.x Kernel bietet eine fortgeschrittene Infrastruktur, genannt
netfilter, auf deren Basis ein Paketfilter, NAT und sonstige
Paket-Manipulationen implementiert sind.

Das gesamte Firewalling-Subsystem wurde gegenueber Kernel 2.2.x neu entwickelt.
Das netfilter/iptables System laesst alles bisher unter Linux existierende
(ipfwadm, ipchains) wie aus grauer Vorzeit erscheinen.

netfilter/iptables bietet neben dem traditionellen Paketfilter auch optional
Connection Tracking, mittels dessen sich im Handumdrehen eine Stateful
Firewall realisieren laesst.  Auch das NAT (Network Address Translation)
System ist jetzt flexibel genug, um saemtliche Formen von NAT anbieten
zu koennen: source NAT, destination NAT, static NAT, NAPT, ...

Die hohe Modularitaet resultiert in einer sehr leichten Erweiterbarkeit,
so dass in einfacher Weise neue Erweiterungen zum Firewalling-System 
entwickelt werden koennen.

Der Vortrag beschreibt die unterschiedlichen Teile des netfilter/iptables
Systems und gibt dadurch einen Ueberblick ueber dessen Moeglichkeiten und 
Anwendungsszenarien.  Er beschaeftigt sich mit den folgenden Themen:

- netfilter/iptables architektur
	- netfilter hooks im Netzwerk-Stack
	- IP tables als Regelbeschreibung
- Paketfilter
- Connection Tracking
- Network Address Translation
	- source NAT
	- destination NAT
	- Masquerading
	- transparent proxy support
- Packet mangling
- Userspace packet queuing
- Userspace packet logging


Voraussetzungen:
- Wissen ueber TCP/IP, Routing
- Grundlagen ueber Firewalling (insbesondere Paketfilter)
- Gewisse Grundkenntnisse ueber die Linux/Unix Architektur


Ueber den Vortragenden:
Harald Welte ist seit 1995 aktives KNF-Mitglied und der derzeitige 
stellvertretende Technische Kontakt des KNF.  Er ist der Maintainer des
netfilter/iptables Firewalling-Subsystems im Linux 2.4.x und
2.5.x Kernel und war massgeblich an dessen Entwicklung beteiligt.