فلتر الشبكة

فلتر الشبكة
الإصدار الأولي26 أغسطس 1999 ؛ منذ 25 عامًا (Linux 2.3.15) ( 1999-08-26 )
إصدار مستقر
6.11.6 [1]  / 1 نوفمبر 2024 ؛ منذ يوم واحد ( 1 نوفمبر 2024 )
مكتوب فيج
نظام التشغيللينكس
يكتب
رخصةرخصة جنو العمومية
موقع إلكترونيnetfilter.org

Netfilter هو إطار عمل توفره نواة Linux والذي يسمح بتنفيذ عمليات مختلفة متعلقة بالشبكات في شكل معالجات مخصصة. يوفر Netfilter وظائف وعمليات مختلفة لتصفية الحزم وترجمة عناوين الشبكة وترجمة المنافذ ، والتي توفر الوظيفة المطلوبة لتوجيه الحزم عبر الشبكة ومنع الحزم من الوصول إلى مواقع حساسة داخل الشبكة.

يمثل Netfilter مجموعة من الخطافات داخل نواة Linux، مما يسمح لوحدات نواة معينة بتسجيل وظائف الاستدعاء مع مجموعة الشبكات الخاصة بالنواة. يتم استدعاء هذه الوظائف، والتي يتم تطبيقها عادةً على حركة المرور في شكل قواعد تصفية وتعديل، لكل حزمة تمر عبر الخطاف المعني داخل مجموعة الشبكات. [2]

تاريخ

علاقة (بعض) مكونات Netfilter المختلفة

بدأ Rusty Russell مشروع netfilter/iptables في عام 1998؛ كما قام بتأليف سلف المشروع، ipchains . ومع نمو المشروع، أسس فريق Netfilter Core Team (أو ببساطة coreteam ) في عام 1999. يستخدم البرنامج الذي أنتجوه (يُطلق عليه فيما بعد netfilter ) ترخيص GNU General Public License (GPL)، وفي 26 أغسطس 1999 تم دمجه في الإصدار 2.3.15 من الخط الرئيسي لنواة Linux وبالتالي كان في الإصدار المستقر 2.4.0. [3]

في أغسطس 2003، أصبح هارالد فيلتي رئيسًا للفريق الأساسي. في أبريل 2004، بعد حملة صارمة شنها المشروع على أولئك الذين يوزعون برامج المشروع المضمنة في أجهزة التوجيه دون الامتثال لرخصة جنو العمومية، منحت محكمة ألمانية فيلتي أمرًا قضائيًا تاريخيًا ضد شركة Sitecom Germany، التي رفضت اتباع شروط رخصة جنو العمومية (انظر النزاعات المتعلقة برخصة جنو العمومية ). في سبتمبر 2007، تم انتخاب باتريك ماك هاردي، الذي قاد التطوير في السنوات الماضية، رئيسًا جديدًا للفريق الأساسي.

قبل iptables، كانت حزم البرامج السائدة لإنشاء جدران حماية Linux هي ipchains في Linux kernel 2.2.x و ipfwadm في Linux kernel 2.0.x، [3] والتي كانت بدورها تعتمد على ipfw في BSD . تعمل كل من ipchains و ipfwadm على تغيير كود الشبكة حتى تتمكن من معالجة الحزم، حيث كانت نواة Linux تفتقر إلى إطار عمل عام للتحكم في الحزم حتى تقديم Netfilter.

في حين أن سلاسل IP وIPFWADM تجمع بين تصفية الحزم وNAT (ثلاثة أنواع محددة من NAT ، تسمى التمويه وإعادة توجيه المنفذ وإعادة التوجيه )، فإن Netfilter يفصل عمليات الحزم إلى أجزاء متعددة، كما هو موضح أدناه. يتصل كل منها بخطافات Netfilter في نقاط مختلفة للوصول إلى الحزم. تعد أنظمة تتبع الاتصال وNAT أكثر عمومية وأقوى من الإصدارات الأولية داخل سلاسل IP وIPFWADM.

في عام 2017، تمت إضافة البنية الأساسية لتفريغ تدفق IPv4 و IPv6 ، مما يسمح بتسريع إعادة توجيه جدول تدفق البرامج ودعم تفريغ الأجهزة. [4] [5]

برامج مساعدة لمساحة المستخدم

تدفق حزم الشبكة عبر Netfilter باستخدام تصفية حزم iptables القديمة
  • iptables(8)
  • ip6tables(8)
  • ebtables(8)
  • arptables(8)
  • ipset(8)
  • nftables(8)

ايبتبلز

تتضمن وحدات النواة المسماة ip_tables, ip6_tables, arp_tables(الشرطة السفلية هي جزء من الاسم)، ebtablesجزء تصفية الحزم القديم لنظام خطاف Netfilter. وهي توفر نظامًا قائمًا على الجدول لتحديد قواعد جدار الحماية التي يمكنها تصفية الحزم أو تحويلها. يمكن إدارة الجداول من خلال أدوات مساحة المستخدم iptables, ip6tables, arptables, و ebtables. لاحظ أنه على الرغم من أن وحدات النواة وأدوات مساحة المستخدم لها أسماء متشابهة، إلا أن كل منها كيان مختلف بوظائف مختلفة.

في الواقع، كل جدول هو عبارة عن خطاف خاص به، وقد تم تقديم كل جدول لخدمة غرض محدد. وفيما يتعلق بـ Netfilter، فإنه يقوم بتشغيل جدول معين بترتيب معين فيما يتعلق بالجداول الأخرى. يمكن لأي جدول استدعاء نفسه ويمكنه أيضًا تنفيذ قواعده الخاصة، مما يتيح إمكانيات المعالجة والتكرار الإضافيين.

يتم تنظيم القواعد في سلاسل، أو بعبارة أخرى، "سلاسل من القواعد". يتم تسمية هذه السلاسل بعناوين محددة مسبقًا، بما في ذلك INPUTو OUTPUTو FORWARD. تساعد عناوين السلاسل هذه في وصف الأصل في مكدس Netfilter. على سبيل المثال، يقع استقبال الحزم في PREROUTING، بينما INPUTيمثل البيانات التي تم تسليمها محليًا، وتقع حركة المرور المعاد توجيهها في FORWARDالسلسلة. يمر الإخراج المولد محليًا عبر السلسلة OUTPUT، وتكون الحزم المراد إرسالها في POSTROUTINGالسلسلة.

وحدات Netfilter غير المنظمة في جداول (انظر أدناه) قادرة على التحقق من الأصل لتحديد وضع التشغيل الخاص بها.

iptable_rawوحدة
عند التحميل، يتم تسجيل خطاف سيتم استدعاؤه قبل أي خطاف آخر في Netfilter. ويوفر جدولاً يسمى raw يمكن استخدامه لتصفية الحزم قبل وصولها إلى عمليات تتطلب المزيد من الذاكرة مثل تتبع الاتصال.
iptable_mangleوحدة
يقوم بتسجيل جدول ربط وتشويه ليتم تشغيله بعد تتبع الاتصال (انظر أدناه) (ولكن قبل أي جدول آخر)، بحيث يمكن إجراء تعديلات على الحزمة. يتيح هذا إجراء تعديلات إضافية من خلال القواعد التي تتبع ذلك، مثل NAT أو المزيد من التصفية.
iptable_natوحدة
يسجل خطافين: يتم تطبيق التحويلات المستندة إلى ترجمة عنوان الشبكة الوجهة ("DNAT") قبل خطاف الفلتر، ويتم تطبيق التحويلات المستندة إلى ترجمة عنوان الشبكة المصدر ("SNAT") بعد ذلك. جدول ترجمة عنوان الشبكة (أو "nat") المتاح لـ iptables هو مجرد "قاعدة بيانات تكوين" لتعيينات NAT فقط، وليس مخصصًا للتصفية من أي نوع.
iptable_filterوحدة
يسجل جدول التصفية ، المستخدم للتصفية العامة (جدار الحماية).
security_filterوحدة
تُستخدم لقواعد الشبكات للتحكم في الوصول الإلزامي (MAC)، مثل تلك التي يتم تمكينها بواسطة الأهداف SECMARKو CONNSECMARK. (تشير هذه "الأهداف" المزعومة إلى علامات Linux المعززة بالأمان.) يتم تنفيذ التحكم في الوصول الإلزامي بواسطة وحدات أمان Linux مثل SELinux. يتم استدعاء جدول الأمان بعد استدعاء جدول المرشح، مما يسمح لأي قواعد تحكم في الوصول التقديري (DAC) في جدول المرشح بأن تصبح سارية المفعول قبل أي قواعد MAC. يوفر هذا الجدول السلاسل المضمنة التالية: INPUT(للحزم الواردة إلى الكمبيوتر نفسه)، OUTPUT(لتعديل الحزم المولدة محليًا قبل التوجيه)، و FORWARD(لتعديل الحزم التي يتم توجيهها عبر الكمبيوتر).

غير قابلة للفك

nftables هو جزء تصفية الحزم الجديد من Netfilter. nftهي أداة مساحة المستخدم الجديدة التي تحل محل iptablesو ip6tablesو arptablesو ebtables.

يضيف محرك نواة nftables آلة افتراضية بسيطة إلى نواة Linux، والتي تكون قادرة على تنفيذ التعليمات البرمجية الثنائية لفحص حزمة الشبكة واتخاذ القرارات بشأن كيفية التعامل مع تلك الحزمة. يتم تنفيذ العمليات التي تنفذها هذه الآلة الافتراضية بشكل أساسي عن قصد: يمكنها الحصول على البيانات من الحزمة نفسها، وإلقاء نظرة على البيانات الوصفية المرتبطة (واجهة واردة، على سبيل المثال)، وإدارة بيانات تتبع الاتصال. يمكن استخدام العمليات الحسابية والبتية والمقارنة لاتخاذ القرارات بناءً على تلك البيانات. الآلة الافتراضية قادرة أيضًا على معالجة مجموعات من البيانات (عناوين IP عادةً)، مما يسمح باستبدال عمليات المقارنة المتعددة بمجموعة بحث واحدة. [6]

يتناقض هذا مع كود Xtables القديم (iptables، إلخ.)، والذي يحتوي على وعي بالبروتوكول مدمج بعمق في الكود لدرجة أنه كان لا بد من تكراره أربع مرات - لـ IPv4 وIPv6 وARP وجسر Ethernet - لأن محركات جدار الحماية خاصة بالبروتوكول للغاية بحيث لا يمكن استخدامها بطريقة عامة. [6] تتمثل المزايا الرئيسية في تبسيط واجهة ABIiptables لنواة Linux ، وتقليل تكرار الكود ، وتحسين تقارير الأخطاء ، والتنفيذ الأكثر كفاءة، والتخزين، والتغييرات الذرية التدريجية لقواعد التصفية.

إلغاء تجزئة الحزمة

ستقوم الوحدة nf_defrag_ipv4بإلغاء تجزئة حزم IPv4 قبل وصولها إلى وحدة تتبع الاتصال في Netfilter ( nf_conntrack_ipv4الوحدة النمطية). وهذا ضروري لوحدات تتبع الاتصال داخل النواة ووحدات مساعدة NAT (وهي شكل من أشكال " وحدات ALG المصغرة ") التي تعمل بشكل موثوق فقط على الحزم بالكامل، وليس بالضرورة على أجزاء منها.

لا يعد برنامج إلغاء تجزئة IPv6 وحدة بحد ذاته، بل يتم دمجه في nf_conntrack_ipv6الوحدة.

تتبع الاتصال

أحد الميزات المهمة المبنية على إطار عمل Netfilter هو تتبع الاتصال. [7] يسمح تتبع الاتصال للنواة بتتبع جميع اتصالات الشبكة المنطقية أو الجلسات ، وبالتالي ربط جميع الحزم التي قد تشكل هذا الاتصال. يعتمد NAT على هذه المعلومات لترجمة جميع الحزم ذات الصلة بنفس الطريقة، ويمكنه iptablesاستخدام هذه المعلومات للعمل كجدار حماية للحالة.

ومع ذلك، فإن حالة الاتصال مستقلة تمامًا عن أي حالة من المستوى الأعلى، مثل حالة TCP أو SCTP. ويرجع جزء من السبب وراء ذلك إلى أنه عند إعادة توجيه الحزم فقط، أي عدم التسليم المحلي، فقد لا يتم استدعاء محرك TCP على الإطلاق بالضرورة. حتى عمليات الإرسال في وضع عدم الاتصال مثل UDP و IPsec (AH/ESP) و GRE وبروتوكولات الأنفاق الأخرى لها، على الأقل، حالة اتصال زائفة. غالبًا ما يعتمد الاستدلال لمثل هذه البروتوكولات على قيمة مهلة زمنية محددة مسبقًا لعدم النشاط، والتي يتم بعد انتهاء صلاحيتها إسقاط اتصال Netfilter.

يتم التعرف على كل اتصال Netfilter بشكل فريد من خلال مجموعة (بروتوكول الطبقة 3، عنوان المصدر، عنوان الوجهة، بروتوكول الطبقة 4، مفتاح الطبقة 4). يعتمد مفتاح الطبقة 4 على بروتوكول النقل؛ بالنسبة لبروتوكول TCP/UDP، يكون هذا المفتاح عبارة عن أرقام المنافذ، وبالنسبة للأنفاق، يمكن أن يكون هذا المفتاح عبارة عن معرف النفق، ولكن بخلاف ذلك يكون هذا المفتاح صفرًا، كما لو لم يكن جزءًا من المجموعة. لكي تتمكن من فحص منفذ TCP في جميع الحالات، سيتم إلغاء تجزئة الحزم بشكل إلزامي.

يمكن معالجة اتصالات Netfilter باستخدام أداة مساحة المستخدم conntrack.

iptablesيمكن الاستفادة من التحقق من معلومات الاتصال مثل الحالات والأوضاع والمزيد لجعل قواعد تصفية الحزم أكثر قوة وأسهل في الإدارة. الحالات الأكثر شيوعًا هي:

NEW
محاولة إنشاء اتصال جديد
ESTABLISHED
جزء من اتصال موجود بالفعل
RELATED
تم تعيينها لحزمة تقوم ببدء اتصال جديد وتم "توقعها"؛ تقوم مجموعات البيانات المصغرة المذكورة أعلاه بإعداد هذه التوقعات، على سبيل المثال، عندما nf_conntrack_ftpترى الوحدة أمر FTP " "PASV
INVALID
تم العثور على الحزمة غير صالحة ، على سبيل المثال، لن تلتزم بمخطط حالة TCP
UNTRACKED
حالة خاصة يمكن للمسؤول تعيينها لتجاوز تعقب الاتصال لحزمة معينة (انظر الجدول الخام أعلاه).

من الأمثلة العادية على ذلك أن الحزمة الأولى التي يراها نظام conntrack الفرعي سيتم تصنيفها على أنها "جديدة"، وسيتم تصنيف الرد على أنها "مُنشأة" وسيتم تصنيف خطأ ICMP على أنه "مرتبط". وسيتم تصنيف حزمة خطأ ICMP التي لا تتطابق مع أي اتصال معروف على أنها "غير صالحة".

مساعدات تتبع الاتصال

من خلال استخدام وحدات المكونات الإضافية، يمكن تزويد تتبع الاتصال بمعرفة بروتوكولات طبقة التطبيق وبالتالي فهم أن اتصالين أو أكثر منفصلين "مرتبطين". على سبيل المثال، ضع في اعتبارك بروتوكول FTP . يتم إنشاء اتصال تحكم، ولكن كلما تم نقل البيانات، يتم إنشاء اتصال منفصل لنقلها. عند nf_conntrack_ftpتحميل الوحدة، سيتم تصنيف الحزمة الأولى من اتصال بيانات FTP على أنها "مرتبطة" بدلاً من "جديدة"، لأنها منطقيًا جزء من اتصال موجود.

لا تقوم الأدوات المساعدة إلا بفحص حزمة واحدة في كل مرة، لذا إذا تم تقسيم المعلومات الحيوية لتتبع الاتصال عبر حزمتين، إما بسبب تجزئة IP أو تجزئة TCP، فلن تتعرف الأداة المساعدة بالضرورة على الأنماط وبالتالي لن تقوم بعملها. يتم التعامل مع تجزئة IP من خلال نظام تتبع الاتصال الذي يتطلب إلغاء التجزئة، على الرغم من عدم التعامل مع تجزئة TCP . في حالة FTP، لا يُفترض حدوث التجزئة "بالقرب" من أمر كما هو الحال PASVمع أحجام القطاعات القياسية، وبالتالي لا يتم التعامل معها في Netfilter أيضًا.

ترجمة عنوان الشبكة

يحتوي كل اتصال على مجموعة من العناوين الأصلية وعناوين الرد ، والتي تبدأ بنفس الطريقة في البداية. يتم تنفيذ NAT في Netfilter ببساطة عن طريق تغيير عنوان الرد، والمنفذ عند الحاجة. عند استلام الحزم، سيتم أيضًا مقارنة مجموعة الاتصال الخاصة بها بزوج عناوين الرد (والمنافذ). يعد خلوها من التجزئة أيضًا شرطًا أساسيًا لـ NAT. (إذا لزم الأمر، يمكن إعادة تجزئة حزم IPv4 بواسطة مجموعة IPv4 العادية غير Netfilter.)

مساعدات NAT

على غرار مساعدي تعقب الاتصال، سيقوم مساعدو NAT بإجراء فحص للحزمة واستبدال العناوين الأصلية بعناوين الرد في الحمولة.

مشاريع Netfilter أخرى

على الرغم من أنها ليست وحدات kernel تستخدم كود Netfilter بشكل مباشر، إلا أن مشروع Netfilter يستضيف عددًا قليلاً من البرامج الجديرة بالملاحظة.

أدوات التتبع

conntrack-toolsهي مجموعة من أدوات مساحة المستخدم لنظام Linux والتي تسمح لمسؤولي النظام بالتفاعل مع إدخالات وجداول تتبع الاتصال. تتضمن الحزمة برنامج conntrackddaemon وواجهة سطر الأوامر conntrack. conntrackdيمكن استخدام برنامج daemon الخاص بمساحة المستخدم لتمكين جدران الحماية ذات الحالة عالية التوفر القائمة على مجموعة من الأجهزة وجمع إحصائيات استخدام جدران الحماية ذات الحالة. توفر واجهة سطر الأوامر conntrackواجهة أكثر مرونة لنظام تتبع الاتصال من واجهة . القديمة /proc/net/nf_conntrack.

مجموعة اي بي اس اي تي

على عكس الامتدادات الأخرى مثل Connection Tracking، فإن ipset[8] أكثر ارتباطًا iptablesبكود Netfilter الأساسي. ipsetعلى سبيل المثال، لا يستخدم خطافات Netfilter، ولكنه في الواقع يوفر iptablesوحدة لمطابقة وإجراء تعديلات بسيطة (تعيين/مسح) على مجموعات IP.

تُستخدم أداة مساحة المستخدم المسماة " ipsetIP" لإعداد وصيانة وفحص ما يسمى بـ "مجموعات IP" في نواة Linux. تحتوي مجموعة IP عادةً على مجموعة من عناوين IP ، ولكنها قد تحتوي أيضًا على مجموعات من أرقام الشبكة الأخرى، اعتمادًا على "نوعها". تعد هذه المجموعات أكثر كفاءة في البحث من iptablesالقواعد المجردة، ولكنها قد تأتي بالطبع مع بصمة ذاكرة أكبر. يتم توفير خوارزميات تخزين مختلفة (لهياكل البيانات في الذاكرة) ipsetللمستخدم لاختيار الحل الأمثل.

يمكن ربط أي إدخال في مجموعة ما بمجموعة أخرى، مما يسمح بعمليات مطابقة معقدة. لا يمكن إزالة مجموعة (تدميرها) إلا إذا لم تكن هناك iptablesقواعد أو مجموعات أخرى تشير إليها.

وكيل SYN

SYNPROXYيجعل الهدف التعامل مع فيضانات SYN الكبيرة ممكنًا دون عقوبات الأداء الكبيرة المفروضة بواسطة تتبع الاتصال في مثل هذه الحالات. من خلال إعادة توجيه SYNالطلبات الأولية إلى SYNPROXYالهدف، لا يتم تسجيل الاتصالات داخل تتبع الاتصال حتى تصل إلى ACKحالة نهائية معتمدة، مما يحرر تتبع الاتصال من حساب أعداد كبيرة من الاتصالات غير الصالحة المحتملة. بهذه الطريقة، SYNيمكن التعامل مع الفيضانات الضخمة بطريقة فعالة. [9]

في 3 نوفمبر 2013، SYNتم دمج وظيفة الوكيل في Netfilter، مع إصدار الإصدار 3.12 من الخط الرئيسي لنواة Linux. [10] [11]

أولوجد

ulogdهو برنامج شيطاني لمساحة المستخدم لتلقي وتسجيل الحزم وإشعارات الأحداث من أنظمة Netfilter الفرعية. ip_tablesيمكنه تسليم الحزم عبر آلية انتظار مساحة المستخدم إليه، ويمكن لتتبع الاتصال التفاعل معه ulogdلتبادل مزيد من المعلومات حول الحزم أو الأحداث (مثل قطع الاتصال، وإعداد NAT).

مكتبات مساحة المستخدم

يوفر Netfilter أيضًا مجموعة من المكتبات التي تحمل libnetfilterبادئة أسمائها، والتي يمكن استخدامها لأداء مهام مختلفة من مساحة المستخدم. يتم إصدار هذه المكتبات بموجب GNU GPL الإصدار 2. وهي على وجه التحديد المكتبات التالية:

libnetfilter_queue
يسمح بإجراء عملية صف حزم مساحة المستخدم بالاشتراك مع iptables؛ بناءً علىlibnfnetlink
libnetfilter_conntrack
يسمح بالتلاعب بإدخالات تتبع الاتصال من مساحة المستخدم؛ بناءً علىlibnfnetlink
libnetfilter_log
يسمح بجمع رسائل السجل التي تم إنشاؤها بواسطة iptables؛ بناءً علىlibnfnetlink
libnl-3-netfilter
يسمح بالعمليات على قوائم الانتظار وتتبع الاتصال والسجلات؛ جزء من libnlالمشروع [12]
libiptc
يسمح بإجراء تغييرات على مجموعات قواعد جدار الحماية iptables؛ فهو لا يعتمد على أي netlinkمكتبة، ويتم استخدام واجهة برمجة التطبيقاتiptables الخاصة به داخليًا بواسطة المرافق
libipset
يسمح بالعمليات على مجموعات IP؛ بناءً على libmnl.

ورش عمل Netfilter

ينظم مشروع Netfilter اجتماعًا سنويًا للمطورين، والذي يُستخدم لمناقشة جهود البحث والتطوير الجارية. أقيمت ورشة عمل Netfilter لعام 2018 في برلين، ألمانيا، في يونيو 2018. [13]

انظر أيضا

مراجع

  1. ^ Greg Kroah-Hartman (1 نوفمبر 2024). "Linux 6.11.6" . تم الاسترجاع في 1 نوفمبر 2024 .
  2. ^ "الصفحة الرئيسية لمشروع netfilter/iptables - مشروع netfilter.org". netfilter.org . تم الاسترجاع في 2014-07-04 .
  3. ^ بواسطة Harald Welte ، netfilter archeology: 18 years from 2.3 to 4.x، 5 ديسمبر 2017
  4. ^ "البنية التحتية لتدفق التدفق". LWN.net .
  5. ^ "البنية التحتية لتدفق التدفق". LWN.net .
  6. ^ من تأليف جوناثان كوربيت (2013-08-20). "عودة nftables". LWN.net . تم الاسترجاع في 2013-10-22 .
  7. ^ نيرا أيوسو، بابلو (14 يونيو 2006). "نظام تتبع الاتصالات في Netfilter" (PDF) .
  8. ^ "مجموعات IP". ipset.netfilter.org . تم الاسترجاع في 2014-07-04 .
  9. ^ Patrick McHardy (2013-08-07). "netfilter: execute netfilter SYN agent". LWN.net . تم الاسترجاع في 2013-11-05 .
  10. ^ "netfilter: إضافة SYNPROXY core/target". kernel.org. 2013-08-27 . تم الاسترجاع في 2013-11-05 .
  11. ^ "netfilter: إضافة هدف IPv6 SYNPROXY". kernel.org. 2013-08-27 . تم الاسترجاع في 2013-11-05 .
  12. ^ "مكتبة Netfilter (libnl-nf)". infradead.org. 2013-04-02 . تم الاسترجاع في 2013-12-28 .
  13. ^ "ورشة عمل Netfilter الرابعة عشرة". workshop.netfilter.org. 2018-09-26 . تم الاسترجاع في 2018-09-26 .
  • الموقع الرسمي
  • الصفحة الرئيسية لأدوات conntrack
  • الصفحة الرئيسية لـ ipset
  • الصفحة الرئيسية لـ ulogd
  • موطن مواقع ورشة عمل Netfilter
  • "كتابة وحدات Netfilter" (كتاب إلكتروني؛ 2009)
  • "Netfilter وIptables — جدار حماية يعتمد على الحالة لنظام Linux" (11 أكتوبر 2001)
  • نظرة عامة على الشبكة بقلم رامي روزن
تم الاسترجاع من "https://en.wikipedia.org/w/index.php?title=Netfilter&oldid=1232791514"
Original text
Rate this translation
Your feedback will be used to help improve Google Translate