Pacotes no Kernel do Linux

Publicado em 28/09/200501/05/2014 por Bruno Russo

[15:12:24] [brusso]vejam essa imagem e salvem-na [[http://ebtables.sourceforge.net/br_fw_ia/bridge3b.png] http://ebtables.sourceforge.net] [15:14:11] [brusso]viram [15:14:29] [Lipe]to vendo aqui [15:14:33] [brusso]essa tabela eh o filtro de pacotes que o firewall utiliza [15:14:34] [d22005]sim [15:14:37] [brusso]ok [15:14:57] [Lipe]blz [15:15:00] [brusso]o kernel do linux possui 3 tipos de tabelas [15:15:07] [brusso]mangle, nat, filter [15:15:10] [brusso]correto [15:15:16] [Lipe]blz [15:15:18] [d22005]blz [15:15:29] [brusso]essas tabelas seguem uma ordem [15:16:09] [Lipe]mas pra cada tipo de chain ou naum? [15:16:21] [brusso]sim [15:16:41] [brusso]cada tabela e cada chain tem uma hora especifica [15:16:46] [Lipe]blz.. [15:16:54] [Lipe]hum [15:17:10] [brusso]um pacote chegando no firewall [15:17:24] [brusso]a primeira tabela que ele passa [15:17:28] [Lipe]sim [15:17:28] [brusso]eh a mangle [15:17:33] [brusso]veja a ficura [15:17:35] [brusso]figura [15:17:52] [Lipe]lah em cima né? [15:18:12] [brusso]naum [15:18:20] [brusso]a primeira da esquerda para a direita [15:18:32] [Lipe]achei… [15:18:56] [brusso]encontrou d2 [15:19:10] [d22005]sim! [15:19:30] [brusso]ok [15:19:46] [brusso]caso exista alguma regra para essa tabela a regra eh feita [15:20:01] [brusso]caso naum o pacote passa para a proxima tabela/chain [15:20:15] [brusso]que eh a tabela NAT/prerouting [15:20:31] [Lipe]blz… [15:21:22] [brusso]ok [15:23:30] [d22005]tô vendo! [15:26:12] [brusso]tem regra nessa tabela tem ——-> executa (essa regra eh aquela utilizada geralmente para DMZ) [15:26:20] [brusso]ok [15:26:26] [brusso]sem regra nessa tabela [15:26:39] [brusso]verifica se o pacote eh de redirecionamento ou naum [15:26:56] [brusso]ou seja verifica se o destina eh a maquina (firewall) ou outra maquina [15:27:07] [brusso]caso seja a maquina(firewall) vai para o INOUT [15:27:11] [brusso]INPUT [15:27:22] [brusso]caso seja de redirecionamento vai para a regra forward [15:27:29] [brusso]eestao entendendo [15:27:57] [d22005]sim sim [15:28:27] [brusso]entaum se for para a maquina [15:28:31] [brusso]cai na regra de input [15:28:45] [brusso]e cai nas regras [15:28:51] [brusso]estabelecidas [15:29:14] [brusso]em seguida vai para a tabela mangle de output [15:29:36] [brusso]depois para a output nat e output filter [15:29:54] [brusso]detalhe o pacote ainda naum saiu do “kernel” [15:30:15] [brusso]ele ainda está passando sobre os filtors que o kernel possui [15:30:33] [d22005]blz estou etendendo [15:30:49] [brusso]por fim cai na tabela mangle postrouting [15:31:01] [brusso]e depois na nat de postrouting [15:31:16] [brusso]mas e se o pacote for de redirecionamento?!? [15:31:22] [brusso]bom ele cai na tabela forward [15:31:41] [brusso]mas primeiramente en na table mangle/forward [15:34:45] [d22005]seguida da filter,,, hummm [15:35:40] [brusso]e em seguida da filter [15:35:42] [brusso]exatamente [15:35:47] [Lipe]certo [15:35:49] [brusso]cara [15:35:55] [brusso]entendendo como issi funciona [15:35:59] [brusso]vc faz qualquer firewall [15:36:37] [d22005]vlw brunão, entendi o que vc me falou!! mais [15:36:38] [brusso]vcs usam a tabela mangle [15:36:49] [d22005]vou ter q da uma estudada mais forte einda cara!!! [15:37:02] [d22005]n]ao [15:37:41] [Lipe]essa tabela tem principios de que? [15:37:59] [brusso]eh o mais interessante que já vi [15:38:08] [brusso]a tabela mangle agiliza [15:38:10] [brusso]ou seja [15:38:20] [brusso]da prioridade para o pacote ser trabalhado no kernel [15:38:38] [brusso]com isso vc pode aumentar a velocidade de sua conexao discada em grnade quantidade [15:38:55] [Lipe]ah……….. [15:39:16] [Lipe]tipo ela por qu tipo de parametro? porta? [15:39:21] [d22005]tipo um “Qos” [15:39:22] [d22005]? [15:43:34] [brusso]mangle diz ao kernel ter prioridade no processamento daquele pacote [15:45:23] [Lipe]mas como ele sabe que é aquele o pacote? [15:47:42] [brusso]da mesma forma que vc bloqueia um pacote com destino a porta 22, por exemplo [15:48:02] [Lipe]hum… [15:49:00] [brusso]veja o desenho [15:49:08] [brusso]imagina assim [15:49:30] [brusso]tudo que chegar em seu firewall com destino na porta 80, por exemplo, vc da prioridade [15:49:32] [brusso]ok [15:49:38] [Lipe]ok [15:49:42] [brusso]agora olhe a seguinte situção [15:49:54] [brusso]chegam 10 pacotes ao mesmo tempo no firewall [15:50:08] [brusso]5 com destino a porta 25 [15:50:12] [Lipe]sim [15:50:15] [brusso]3 com destina na porta 22 [15:50:17] [Lipe]hum [15:50:19] [brusso]1 na porta 21 [15:50:19] [Lipe]hum [15:50:21] [Lipe]hum [15:50:30] [brusso]e 1 pacote na porta 80 [15:50:43] [Lipe]sm [15:50:47] [brusso]qual o kernel ira executar primeiro [15:50:50] [brusso]o da porta 80 [15:50:54] [brusso]entendeu?!? [15:51:07] [Lipe]sim… [15:51:11] [brusso]logo se vc fizer a seguinte regra em sua conexão discada: [15:51:16] [Lipe]pq eu dei prioridade [15:51:55] [brusso]iptables -t mangle -A OUTPUT -o ppp0 -p tcp –dport 80 -j TOS –set-tos 8 [15:52:00] [brusso]sua net vai ficar mais rápida [15:52:04] [brusso]entendeu?!? [15:52:25] [Lipe]humm [15:52:39] [Lipe]o que significa TOS? [15:53:52] [d22005]muito legal cara,,,,,vc está lendo algum livro, documentação? [15:54:42] [Lipe]eu tenho aquele do humberto jucá… naum sei se vc jah escutou falar [15:55:17] [brusso]tipo de serviço [15:55:38] [brusso]humberto jucá naum lembro [15:55:59] [brusso]d22005: tive me ferrando e daí resolvi ler [15:56:07] [brusso]mas no guiafoca tem tudo isso [15:56:10] [Lipe]hummm [15:56:12] [brusso]no modo avançado [15:56:19] [brusso]lá aprendi bastante [15:56:21] [Lipe]ah… [15:56:25] [brusso]sobre a tabela mangle [15:56:32] [Lipe]blz… [15:56:50] [brusso]agora sobre a fluxo do pacote aprendi na prática [15:57:02] [Lipe]certo;… [15:57:28] [brusso]o guiafoca diz que utilizando a tabela mangle [15:57:46] [brusso]pode-se aumentar a velocidade de uma conexão discada em até 300% [15:57:50] [Lipe]hum [15:57:54] [Lipe]porra!! [15:57:55] [brusso]porém ainda naum consegui testar em casa [15:58:03] [brusso]o número é exorbitante [15:58:21] [brusso]imagina só 300% mais rápido é quase uma conexão ADSL [15:58:22] [brusso]kkkkkkkkk [15:58:39] [brusso]vou mandar meu novo script de firewall para vcs… [15:58:43] [brusso]por e-mail [15:58:56] [Lipe]blz.. [15:58:58] [Lipe]mandai pra gente ter uma noçao… [15:59:17] [brusso]ele está dividido por funcoes e a ordem de como são executadas são definidas no final do script [15:59:23] [brusso]ta bem facil e bem comentado [15:59:33] [brusso]agora tem script de start e stop [15:59:34] [brusso]:D [15:59:40] [Lipe]blz [15:59:44] [d22005]rs!!!!! [16:00:16] [d22005]quando vc consegui testar na sua casa a parada me avisa q vou cancelar o virtua lá em casa [16:01:32] [brusso]kkkkkkkk [16:01:51] [brusso]bom duvidas vamos discutir [16:02:23] [brusso]leiam o guiafoca avançado tem tudo isso e muito mais [16:02:35] [Lipe]blz.. [16:02:42] [brusso]deixa eu trabalhar agora [16:02:42] [d22005]blz mano!!!!! [16:02:59] – –d22005 deixou o bate-papo. [16:02:45] [Lipe]valeu pela dica brunão [16:02:55] [d22005]vai lá [16:02:56] [d22005]bj [16:03:03] [brusso]fui

Esta entrada foi publicada em Notícias com as palavras-chave kernel, linux, Software Livre. Adicione o link permanente aos seus favoritos.