Download to read offline
More Related Content
![Netex smartED | Catalogue 1Q2017 [EN]](https://cdn.slidesharecdn.com/ss_thumbnails/netexsmarteden-170110123128-thumbnail.jpg?width=640&height=640&fit=bounds)
![Netex Webinar | Maker: funcionalidades clave [ES]](https://cdn.slidesharecdn.com/ss_thumbnails/netexwebinarmakerfuncionalidadesclavees-160909073218-thumbnail.jpg?width=640&height=640&fit=bounds)
Similar to Pdn tech-netfilter&iptables-ver2.1.0
Pdn tech-netfilter&iptables-ver2.1.0
- 1. c Netfilter & IPtables :محدوده لینوکسدر شبکه های بسته پردازش ساختار بررسی تاريخچه: ردیفنویسندهتاریخویرایش شمارهتوضیحات ۱ ۲ و فنی توسعه و تحقیق مهندسی ۱۳۸۹۲.۰.۰ ۳ و فنی توسعه و تحقیق مهندسی ۱۳۹۳۲.۱.۰ .دارد تعلق نوین داده پویش شبکه مهندسی شرکت به مستند این معنوی و مادی حقوق کلیه
- 2. مندرجات فهرست چکیده -.......................................................................................................................................................................................................۳ هاواژه کلید -..............................................................................................................................................................................................۳ ۱-Netfilterشبکه های بسته پردازش ساختار یا....................................................................................................................................۳ ۱.۱-NetFilter........................................................................................................................................................................................................۴ ۲-IPtablesهايبسته پالیش ساختار :IP.............................................................................................................................................۶ ۲.۱در قانونها -IPtables........................................................................................................................................................................................۸ ۲.۲در جستجو -IPtables......................................................................................................................................................................................۹ ۲.۳مختلف سطوح -IPtables.............................................................................................................................................................................۱۰ ۲.۴کاربر مدیریتي فعالیتهاي -.............................................................................................................................................................................۱۰ ۲.۵هسته سطح در جداول اطلعات نگهداري طریقه -..........................................................................................................................................۱ ۲.۶قانونها سازيذخیره طریقه -...............................................................................................................................................................................۱ ۳کارآیي پارامترهاي -................................................................................................................................................................................۲ تصاوير فهرست تصویر۱شمای :hookدر هاNetfilter.....................................................................................................................................................۵ تصویر۲قانون یک ایحافظه شمایل :.......................................................................................................................................................۲ جداول فهرست ضمائم فهرست ۲
- 3. چکیده ساختارNetfilterو یUUطراح وکسUUلینلUUعام تمUUسیس در بکهUUش ایUUه تهUUبس ایUUپوی ردازشUUپ تUUجه سازیپیادهمعماری معرفی ضمن مستند این .است شدهNetfilterمعماری ،Iptablesابزاری عنوان به سازیپیادهمبنای بر شدهNetfilter)پالیش برایFilteringرارUUق یUUبررس مورد را ،شبکه های بسته ( .میدهد ها واژه کلید Linux, Netfilter, IPtables ۱Netfilterشبکه های بسته پردازش ساختار يا شناخت مستلزم ( شبکه لية پروتکلهاي به متعلق هايبسته ) شبکه هايبسته روي بر دلخواه پردازش انجام مناسبProtocol Stack.باشدمي مربوطه پروتکل به مربوطProtocol Stackبر گرفته انجام پردازشهاي نمايشگر .باشدمي پردازشي مسیرهاي امتداد در آنها ترتیب همچنین و شبکه بستة روي املIIش وريIIعب یرIIمس .ندIIباشمي سیستم درون در شبکه بستة حرکت سیر منطقي بیان پردازشي مسیرهاي یريابIIمس يک عنوان به سیستم که هنگامي در مسیر اين .هستند ما سیستم از عبور خواستار که باشدمي هاييبسته رIIديگ هايتمIIسیس از که باشدمي هاييبسته شامل ورودي مسیر .شودمي ايجاد گیردمي قرار استفاده مورد دروازه يا متIIس هIIب اIIم سیستم از که شودمي شامل را هاييبسته نیز خروجي مسیر و نداشده داده گسیل ما سیستم هدف به .اندشده فرستاده ديگر هايسیستم در ،يIIپردازش مسیرهاي در مناسب مکان Vتشناخ مستلزم شبکه بستة روي بر دلخواه تغییر انجام بر تصمیم ايدازهIIان اIIت وعIIموض نIIاي .دIIباشمي مکان آن در گرفته صورت پردازش در تغییر انجام سپس و ،شبکه ليه درون ساختار سلمتProtocol Stack.اندازدمي خطر به را ۳
- 4. اختارIIس در رIIتغییVداIIايج دونIIب بکهIIش هايتهIIبس VهواIIدلخ VيتکارIIدس Vنامکا Vدايجا براي تلشي ،پردازش ساختار Protocol Stack.باشدمي ،سیستم يIIپردازش یرهايIIمس در ،دلخواه پردازشهاي انجام منظور به خاص مکانهايي ،پروتکل هر براي شیوه اين در شبکه هايبسته Vشپرداز Vنخواها Vيفانکشنها ثبت توانايي مکانها اين اصلي خاصیت .شوندمي تعريف ،مربوطه پروتکل عبور خواهان خود پردازشي مسیر در شبکه بستة يک که هنگامي .باشدمي ،اولويت اساس بر ،آنها ترتیبي نگهداري و .دهندمي قرار آنها Vکتتک اختیار در ترتیب به را بسته ،فانکشنها ثبت ترتیب اساس بر ،مکانها اين ،باشد نقاط اين از ادرIIص هIIگردون از را بسته حذف فرمان يا و عبور اجازة ،دلخواه پردازش انجام از بعد تا باشدمي موظف فانکشن هر .کند نام با لینوکس عامل سیستم در ساختار اينnetfilter.شودمي شناخته ۱.۱NetFilter netfilterبسته پردازش و مديريت براي است چهارچوبيدگاهIIدي از .وطهIIمرب لIIپروتک از تقلIIمس ،بکهIIش ايIIه ،سازيپیادهnetfilterمجموعه قالب در ،شبکه هايبسته Vشپرداز Vنخواها ماژولهاي نگهداري براي جايگاهيبا هايي نامhookدر فIIمختل هايپروتکل توسط کهnetfilter.دIIباشمي ،انددهIIش فIIتعريhookتIIثب ايIIمکانه انIIهم اIIه .باشندمي پردازش ساختار تعريف در فانکشنها بسته که صورتي درمجموعه درون از عبور خواستار اي) مشخص ايhookطIIتوس تهIIبس اين ،باشد (netfilterدر مي قرار ماژولها تكتك اختیارهIIب اIIبن دIIتواننمي يعني ،بود خواهند عبوري بستة وضعیت کنندةمشخص ماژولها ،گیرد ) بدهند عبور اجازه آن به خود تصمیماتNF-ACCEPT) دIIکنن حذف گردونه از را آن ، (NF-DROPرا آن اIIي و ( ) دهند قرار صف در کاربر سطح در پردازش انجام برايNF-QUEUE.... و ( پروتکلIPهايبسته آسان مديريت منظور به ،IPدIIتوانیمي .کندمي تعريف چوب چهار اين در را مجموعه پنج ، هايبسته عبور نحوة و مکانها اين نامگذاري نحوةIPکلIIش در را ،آنها درون از۱هIIک اژوليIIم رIIه .دIIکنی اهدهIIمش بسته وضعیت تعیین و بررسي خواستارهايIPمجموعه اين از يکي در را خود تواندمي باشد.کند ثبت ها بسته با رفتار گونه اينهايIPمي ما به را امکان اينساختار در دستکاري بدون تا دهدProtocol stackبتوانیم ۴
- 5. پیاده نظیر ،خوداهداف بهاعمال انجام و آتش هايديواره سازيNAT ۱ .يابیم دست ، بسته مديريت براي مناسب مکان يافتن در ما راهگشاي ارتباط اينعمل انجام براي مثال عنوان به .بود خواهد ها filteringهايمجموعهNF-IP-INPUT، NF-IP-OUTPUT، NF-IP-FORWARD،صورت بدين .اندشده انتخاب .شد خواهند بررسي مکان يک در تنها سیستم از عبوري هايبسته تمام عمل انجام براي :ديگر مثاليNATمجموعه ،هايNF-IP-PREROUTING، NF-IP-OUTPUTVلعم Vمانجا براي مبداء آدرس انتقال۲ وNF-IP-POSTROUTINGمقصد آدرس انتقال براي۳ شده انتخاب ،نIاي ورتIص رIه بهV.اند ساده و خوب بسیار امکان چهارچوبپیاده اختیار در را اي.است داده قرار آتش هايديواره سازان 1 Network Address Translation 2 Source NAT 3 Destination NAT ۵ تصویر۱شمای :hookدر هاNetfilter
- 6. ۲IPtablesهايبسته پاليش ساختار:IP ايIIهپردازش انجام براي مختلف جريانهاي قالب در هابسته واحد جريان تقسیم معني به شبکه هايبسته پاليش الIIاعم شبکه بستة سرآيند فیلدهاي بر را شرايطي که قانون يک توسط جريان هر .باشدمي جريان هر روي بر متنوع .شودمي مشخص ،کندمي هايبسته پاليش ساختارIP (iptablesقانونها مناسب Vتمديري و سازيذخیره جهت چهارچوبي ايجاد دنبال به ( نIIتعیی انIIامک ،اIIقانونه ديريتIIم در ودIIخ تIIسیاس و استراتژي به توجه با تا کرد خواهد سعي ساختار اين .باشدمي .آورد فراهم موجود قانونهاي به توجه با را بسته تکلیف :از عبارتند پاليش ساختار هر ملزومات ۱-انباره دادة ساختمان ۲-قانون دادة ساختمان ۳-قانونها مديريت رابط ۴-انباره ايجاد رابط ۵-انباره مديريت رابط ۶-جستجو الگوريتم ۷-بسته تکلیف تعیین رابط تقلIIمس تجويIIجس الگوريتم و انباره يک سازيپیاده به نیازي بنديدسته Vدفرآين يک سازيپیاده در صورت بدين تIIبايسمي دIIفرآين رIIه ساختار اين در .کرد استفاده پاليش ساختار در موجود ويرايش از توانمي بلکه ،بود نخواهد بIIمناس امIIانج براي لزم ملزومات همچنین و تعريف را خود به متعلق قوانین براي مناسب تطابقهاي و پردازشهاي .( باشدمي پردازش يک و تطابق چند شامل قانون هر اينکه به توجه با ) آورد فراهم را آنها هايبسته پاليش ساختارIPدينIIچن ادIIايج ورIIمنظ هIIب بکهIIش هايبسته بنديدسته فرآيند موضوعي تقسیم از ، ) فIIIمختل اريIIIک وعاتIIIموض هIIIب وطIIIمرب ،بنديتهIIIدس دIIIفرآينfilter, NAT, mangleتفادهIIIII،اس ( … , اليشIIپ اختارIIس از خاصي مکانهاي در کاري موضوع هر شدن محقق که باشدمي دلیل بدان عمل اين طرح .کندمي ۶
- 7. بستةIPعمل چنانکه ،باشدميامکانپذيرNATمکان در تواندنمي هرگزFORWARDاIIتنه هIIک راIIچ ،ودIIش امIIانج لIIعم وانIIتنمي صورت همین به و ،باشندمي مسیريابي عمل انجام از بعد و قبل آن براي مناسب مکانهايfiltering مکان در راPREROUTINGکIIي طIIفق ) مکان يک در تنها بسته تست قانون ناقض موضوع اين که چرا داد انجام کاري موضوع در (مرتبهfilterهIIب آن یمIIتقس با وزين و گنده کاري موضوع يک ساخت جاي به نتیجه در .باشدمي داده امIIانج کIIي رIIه رايIIب را ايجداگانه هايسازيپیاده ،طلبندمي را متفاوتي نیازهاي که مختلف کاري موضوعات .است در را ايانباره ،خود کار به شروع ابتداي در کاري موضوع هرIPtablesهIIب سپس و ،کندمي ايجاد خودش نام با هايبسته پردازش ساختار Vبمناس هايمکان در را خود ،بنديدسته قوانین اعمال منظورIPدر تIIثب .دIIکنمي تIIثب .شودمي انجام کاريموضوع Vرنظ Vدمور Vفهد به توجه با مکانها IPtablesرهIIزنجی امIIن با واحدهايي به را خود هايانباره فضاي شبکه هايبسته بهتر مديريت منظور به۴ یمIIتقس هاييزنجیره ،خود انبارة ايجاد هنگام در کاري موضوع هر .است کرده۵ پردازش ساختار در ثبت مکانهاي با متناظر را هايبستهIPدر ودIIموج ايIIقانونه از تفادهIIاس با مکان هر از عبوري هايبسته مديريت طريق بدين تا کندمي ايجاد ، .شود انجام مکان بدان متعلق زنجیرة دادIIامت در داگانهIIج هايIIپردازش امIIانج انIIامک ،الIIب در دهIIش ذکر خصوصیات با ،انباره هر در هازنجیره وجود .کندمي فراهم را ،شبکه هايبسته روي بر ،مختلف پردازشي مسیرهاي امIIن اIIب نIIفانکش کIIي طIIراب )اين بسته تکلیف تعیین Vطراب ،بسته يک دريافت با کاريموضوع هرipt_do_table و کندمي فراخواني را (باشدميIPtablesمکان به توجه با و ،را مناسب انبارة ،فراخواننده کاريموضوع به توجه با نیز پردازش ساختار در بسته دريافتIPرهIIزنجی آن در موجود قوانین بین در جستجو به و مشخص را مربوطه زنجیرة ، .پردازدمي بسته تکلیف تعیین منظور به در شده ايجاد هايانبارهIPtablesجدول نام با۶ ورتIIص هIIب آن ذاريIIنامگ دلیل که ،شوندمي شناختهIPtables .باشدمي ،گوناگون کاري موضوعات به مربوط ،مختلف جداول وجود 4 Chain 5 Builtin Chains 6 Table ۷
- 8. ۲.۱در قانونهاIPtables در قانونهرIPtables:شودمي تشکیل قسمت سه از ۱-شناسه.دIIباشمي بکهIIش بستة پروتکل و خروجي درگاه ،ورودي درگاه ،مقصد آدرس ،مبدا آدرس شامل : متمايز ايستا صورت به ،باشدمي آن نمايندة قانون اين که را جرياني به متعلق شبکة هايبسته ،اطلعات اين .کنندمي ۲-هاتطابق۷ تواندمي قانون هر .کنندمي پردازش دلخواه طرز به را شبکه هايبسته که باشندمي فانکشنهايي : در و انونIIق ةIIشناس اIIب تطابق اول مرحلة در قانون يک با بسته تطابق شرط .باشد داشته تطابق چند يا صفر .باشدمي تطابقها Vکتتک توسط شدن پذيرفته دوم مرحلة ۳-پردازش۸ .باشدمي استاندارد مورد يک يا و زنجیره يک نام يا فانکشن يک (بسته تکلیف کنندة)مشخص : .باشد داشته تطابق قانون با بسته که شد خواهد فراخواني صورتي در بسته يک براي پردازش ✗اديرIIمق از آگاهي )براي کندمي مشخص را بسته تکلیف مستقیم صورت به استاندارد حالت در در جستجو قسمت به کنید نگاه استانداردIPtables.(IIصادره رمانهايIIف – ✗ارIIاختی در ردازشIIپ امIIانج ورIIمنظ هIIب بسته ،فانکشن يک صورت به پردازش بیان صورت در .شد خواهد مشخص فانکشن توسط بسته تکلیف و گیردمي قرار فانکشن ✗کاربر هايزنجیره فقط۹ اIIهزنجیره نIIاي .دIIگیرن رارIIق استفاده مورد پردازش عنوان به توانندمي کاربران توسطIPtablesوعاتIIموض طIتوس هIک تندIIهس هاييزنجیره از متفاوت و شوندمي تعريف ايIIهزنجیره خلف رIIب درست هستند شدن حذف قابل هازنجیره اين که چرا ،شوندمي ايجاد کاري اIIپوي و ذيرIIانعطافپ ردازشIIپ ايIIفض ايجاد منظور به هازنجیره اين وجود .کاريموضوعات به متعلق داده یلIIگس دهIIش رIIذک رةIIزنجی درون به قانون اين با مطابق هايبسته تمام حالت اين در .باشدمي .بود خواهند بسته تکلیف کنندة مشخص زنجیره آن در موجود قانونهاي صورت بدين و شد خواهند توسعة ابزار جزو (فانکشن صورت پردازشها)به و تطابقهاIPtablesيIIمعن دانIIب وعIIموض اين .آيندمي حساب به 7 Maches 8 Target 9 User Chains ۸
- 9. در تغییر ايجادبه نیازي آنها گسترش و ساخت که استIPtablesنIIهمی هIIب هIIک يIIرابط از تفادهIIاس با بلکه ندارد .دارند شدن استفاده و ثبت امکان ابزارها اين است شده گرفته نظر در منظور قدرتIPtablesاختهIIس آن رايIIب هIIک باشدمي مفیدي و مناسب تطابقهاي و پردازشها به وابسته زيادي حد در الIIمث وانIIعن هIIب ،دIIکنمي فIIتعري را ودIIخ اصIIخ هايIIپردازش ودIIخ نیاز برحسب کاريموضوع هر .اندشدهNAT پردازشهايDNATوSNATجدول در فقط که راnatو اIIتطابقه اختIIس ولIIاص .دIIکنمي فIIتعري ،ندIIباشمي مجاز و داولIIج امIتم در را اIIآنه از تفادهIIاس VعانIIم هIک ردIIگیمي ورتIIص سازندگان نظر مورد اهداف اساس بر پردازشها .گرددمي هازنجیره ۲.۲در جستجوIPtables عمل ،متناظر زنجیرة و جدول شدن مشخص و کاريموضوع يک توسط بسته تکلیف تعیین رابط فراخواني پي در .شودمي آغاز زنجیره آن قانونهاي بین در جستجو داIIپی هIIادام تهIIبس فIIتکلی دنIIش مشخص تا و شودمي انجام ترتیبي صورت به زنجیره قانونهاي بین در جستجو :کند صادر را فرمان گونه چهار تواندمي قانون هر .کندمي ۱-پذیرش فرمان)ACCEPTدIIخواه داده ورIIعب ازةIاج بسته به و متوقف جستجو عمل صورت اين در :( .شد ۲-حذف فرمان)DROPاز بسته ولي شودمي متوقف جستجو عمل قبل حالت همچون نیز حالت اين در :( .شودمي حذف گردونه ۳-جستجو ادامة فرمان)CONTINUE.کندمي پیدا ادامه بعدي قانون از جستجو مورد اين در :( ۴-بازگشت فرمان)RETURNاز دIIبع قانون از جستجو ادامة و فراخواننده زنجیرة به بازگشت معني به :( شده فراخوانده زنجیرة يک در ما که گیردمي قرار استفاده مورد هنگامي مورد اين .باشدمي فراخواننده قانون .بازگرديم قبلي زنجیرة به بخواهیم و (کاربر هاي)زنجیره باشیم ۵-بنديصف فرمان)QUEUEدهIIران صف درون به ،کاربر سطح در پردازش براي بسته حالت اين در :( .شودمي متوقف جستجو عمل و شودمي ۹
- 10. هر توسط شدهاعمال شروط اساس بر ،جستجو درهنگام .دارد عهده بر را فرمان صدور وظیفة قانون هر پردازش و وانيIIفراخ انونIIق ردازشIIپ ابقIتط روزIIب ورتIص در .شودمي گیريتصمیم بسته تطابق ،( تطابقها و شناسه ) قانون .شودمي صادر آن توسط فرمان ابقIIتط VنانوIIق VشردازIIپ سوي از صادره فرمان بلکه نیست جستجو توقف عامل تطابق به حصول ،جستجو اين در .شد خواهد متوقف ،بسته تکلیف شدن مشخص صورت در جستجو عبارتي به .باشدمي گیريتصمصم مبناي يافته ۲.۳مختلف سطوحIPtables هسته سطح .باشدمي کابر و هسته سطح دو در ويرايش دو از ايمجموعه ،پاليش ساختار۱۰ بسته مديريت وظیفة کاربر سطح و ،جستجو عمل انجام و شبکه هاي۱۱ .دارند عهدهبر را هاانباره مديريت وظیفة ماژول توسط قانونها هسته سطح درip_tablesاربرIIک سطح در .شوندمي مديريت آن توسط ها بسته و نگهداري دستورiptablesپوستة در۱۲ اژولIIم اIIب کاربر سطح در کاربران رابط ،لینوکسip_tablesةIIوظیف ،تهIIهس طحIIس در .دارد عهده بر را هاانباره در موجود اطلعات مديريت ۲.۴کاربر مديريتي فعالیتهاي دستور وسیلة به و سیستم کاربران توسط مديريتي فعالیتها تماميiptables.ودIIشمي امIIانج وکسIIلین تةIIپوس در :از عبارتند فعالیتها اين عمدة ۱-قانون جایگزیني و حذف ،اضافهفIIتعري در .ندIIباشمي مديريتي فعالیتهاي پرکاربردترين و مهمترين از : دامIIاق ،باشدمي آن در قانون مديريت خواستار که ايزنجیره و جدول کردن مشخص از بعد کاربر ،قانون هر از اIIقانونه ترتیبي ذخیرة به توجه با .کندمي مربوطه پردازش بیان ،پايان در و تطابقها بیان ،شناسه تعريف به :مثال .کرد استفاده توانمي جايگزيني و حذف اعمال انجام براي قانون شمارة iptables -t filter -A FORWARD -s 1.1.1.1 -d 2.2.2.2 -m state --state NEW -j DROP 10 Kernel Space 11 User Space 12 Shell ۱۰
- 11. جدول به قانونيک مثال اين درfilterزنجیرة ،FORWARDداراي انونIIق اين شناسة .شد خواهد اضافه مبدا آدرس۱.۱.۱.۱مقصد آدرس و۲.۲.۲.۲لIIپروتک و ورجيIIخ و ورودي هايدرگاه نشدن بیان .باشدمي ابقIIتط از قانون اين .باشدمي موارد تمامي پذيرش اجازة معناي به مربوطهstateاIIب تانداردIIاس ردازشIIپ و مقدارDROPاز ارسالي هايبسته تمامي قانون اين .کندمي استفاده۱.۱.۱.۱هIIب۲.۲.۲.۲ةIIمرحل در هIIک را .کرد خواهد حذف ،باشند ارتباط برقراري ۲-زنجیره سیاست تغییر:IPtablesزنجیرهسیاست تعريف امکان۱۳ ايIIهزنجیره رايIIب راBuilt-inمIIفراه از دIIکنن خصIIمش را تهIIبس فIIتکلی تندIIنتوانس زنجیره يک در موجود قانونهاي اگر صورت اين در .کندمي اديرIIمق دIIتوانمي رهIIزنجی تIIسیاس .ودIIشمي استفاده بسته تکلیف تعیین براي زنجیره سیاستACCEPTو DROP:مثال .کند اختیار را iptables -t filter -P INPUT DROP زنجیرة سیاست شودمي مشاهد چنانکهINPUTجدول درfilter ، DROPعبارتي به .استشده تعريف .شودمي جلوگیري ،محلي سیستم به ندارد وجود آنها براي قانوني که هاييبسته ورود از ۳-کاربر هايزنجیره نامiرتغیی و حذف ،ایجاد،بIIمناس ردازشIIپ طIIمحی ادIIايج رايIIب دIIتواننمي کاربران : آن ايIIقانونه فIIتعري در پردازش عنوان به هازنجیره اين از توانمي .کنند تعريف جداول در را هاييزنجیره :مثال .ندارند را زنجیره سیاست پذيرش توانايي هازنجیره اين .کرد استفاده جدول iptables -t nat -N newCHIAN نام با را ايتازه زنجیرة دستور اينnewCHAINجدول درnat.کندمي ايجاد ۴-جداول سازيپاک۱۴ کIIي در ودIIموج ايIIقانونه امIIتم اIت بود خواهد قادر کاربر دستور اين از استفاده با : .کنند حذف را جدول 13 Chain Policy 14 Flush ۱۱
- 12. ۲.۵هسته سطح درجداول اطلعات نگهداري طريقه سازيپیاده در حاکم تفکرIPtablesدر واليIIمت صورت به لزم اطلعات سازيذخیره و پیوسته حافظة از استفاده سازانپیاده آوريروي دلیل عمده .باشدمي پیوسته حافظة اين درونIPtablesنIIتريبهینه کردن فراهم ،شیوه اين به و ترساده مراتب به پیوسته ايحافظه فضاي يک در کردن سیر که چرا ،باشدمي ترتیبي جستجوي انجام براي محیط .باشدمي پراکنده ايحافظه فضاي يک در حرکت از سريعتر الIIانتق تلزمIIمس ارهIIانب در تغییر گونه هر انجام ،کاربر سطح در مديريتي فعالیتهاي تمرکز دلیل به ديگر سوي از از شدههنگامبه انبارة انتقال ،کاربر سطح در انباره سازيهنگامبه انجام از بعد ،و کاربر سطح به درخواست مورد انبارة ،بIIمرات هIIب ،تهIIپیوس ايIIهحافظه با امور اين انجام .باشدمي قديمي انبارة با جايگزيني و هسته سطح به کاربر سطح و هسته سطح به کاربر سطح از ،انباره به مربوط حافظة کردن کپي با توانمي را انتقال هر که چرا بود خواهد ترساده .داد انجام ،بالعکس ورIIمنظ هIIب .استشده نیز ساختارها تعريف در جالبي ابتکارت از استفاده به سازانپیاده آوريروي باعث تفکر اين ،شوندمي ذخیره پیوسته فضاي يک در متوالي صورت به که ساختارهايي انتهايي فضاي به ترساده و مناسب دسترسي IPtablesوانIIعن چIIهی هIIب اIIهآرايه نIIاي .کندمي استفاده ساختارها اين انتهاي در صفر طول با هاييآرايه تعريف از يIIنويسبرنامه امIIهنگ در و ودIIب دIIخواه مربوطه ساختار انتهاي به گرياشاره آنها نام بلکه ،کنندنمي اشغال را فضايي اييIIجابج اعثIIب اريفIIتع اين از استفاده .کرد استفاده ساختار اين دنبالة فضاي به دسترسي براي آنها نام از توانمي .شودمي حافظه در آسان ۲.۶قانونها سازيذخیره طريقه در قانون يکIPtablesتطابقها ،سرآيند Vبترتی به قانون يک اطلعت که باشدمي پیوسته حافظة يک صورت به را اگونيIIگون دهايIIفیل ،شناسه بر علوه ،شده انجام سازيپیاده در ،سرآيند ساختار .گیرندمي قرار آن در پردازش و .کشدمي يدک خود با ،قانون پردازش مکان و قانون طول شناسايي براي نIIاي .دIIکنن افتIIدري ودIIخ هايIIپردازش امIIانج رايIIب اربرIIک از را مختلفي اطلعات توانندمي پردازشها و تطابقها ۱۲
- 13. در رهIIتی متهايIIرد)قسIIگیميرارIIق مربوطه پردازش يا و تطابق به متعلق حافظة ادامة در قانون حافظة در اطلعات تIIثب امIIهنگ در اIIآنه طIIتوس و داشته مربوطه تطابق يا و پردازش به بستگي اطلعات اين حافظة اندازة .(زير شکل تصوير در قانون يک ايحافظه شمايل .شودمي مشخص۲.است شده داده نمايش ۳کارآيي پارامترهاي جستجو سرعتةIIمرتب از خطي جستجوي الگوريتم پیچیدگي :O nدادIIتع شIIافزاي اIIب ارتيIIعب هIIب ،دIIباشمي .يابد کاهش جستجو فرآيند سرعت که رودمي انتظار ،انباره در موجود قانونهاي نسبي مزيتهاي از يکيIPtablesکIIي در واليIIمت ورتIIص هIIب اIIقانونه ازيIIسذخیره ،خطي جستجوي انجام براي وانینIIق دادIIتع اIIب ،ازيIIسپیاده گونه اين که شد مشخص شده انجام آزمايشهاي در .باشدمي پیوسته حافظة۱۰۰۰- ۱۲۰۰در اما کندنمي تحمیل سیستم بر اضافي بار هیچگونه ،۲۰۰۰.يابدمي کاهش نصف به شبکه کارآيي ، تا توانسته خطي جستجوي الگوريتم سازيپیاده در مناسب استراتژي يک عنوان به حافظه بودن پیوسته عبارتي به براي را خطي جستجوي الگوريتم پیچیدگي ،سیستم پردازندة از مناسب گیريبهره با۱۰۰۰ورتIIص هIIب قانونO(1( تفادهIIاس لIIعام تمIIسیس معماري و پردازنده معماري با مستقیم ارتباط شک بدون موضوع اين به دستیابي .دارد نگه .دارد شده عدد اما۱۰۰۰از شIIبی ديريتIIم و تعريف به نیاز امروزه .آيدنمي حساب به بزرگي عدد ديگر کنوني دنیاي در ۳۰.۰۰۰طIIتوس قانون تعداد اين از حمايت تصور که ،دارد وجود آتش هايديواره در قانونIPtablesاز دور املIIک دادIIتع در چنانکه شد ثابت نیز عملي تست انجام با موضوع اين .باشدمي عملي غیر و ذهن۱۱۰۰۰ارآييIIک ،انونIIق ظرفیت با شبکه يک100mbpsعدد به4mps.يافت کاهش اصلي ضعف عنوان به که آنچهIPtablesاIIقانونه اليIIب تعداد در شبکه کارآيي شديد کاهش آيدمي حساب به ۱۳ تصویر۲قانون یک ایحافظه شمایل :
- 14. .باشدمي ( امروزيآتش هايديواره اصلي نیاز ) مصرفي حافظةهIIک يIIمعن دانIIب .دIIباشمي زمان و حافظه تقابل ،بنديدسته الگوريتمهاي در اصلي معضل اصول : دارIIمق داراي اييIIالگوريتمه .شودمي ديگري شدن قرباني باعث ،دو اين از يکي در مناسب کارآيي به حصول و توجه بIIمناس انIIزم هIIب رسیدن براي را زيادي حافظة نیز تعدادي و نامناسب پاسخگويي زمان مقابل در و معقول حافظة ) دارند وجود نیز حوزه دو هر در مناسب کارآيي با الگوريتمهايي اندک .اندکرده اشغالHicuts.( ردهIک غاليIIاش ةIIحافظ انيIIقرب را انIزم که آيدمي حساب به الگوريتمهايي جزو تئوريک جنبة از خطي جستجوي اIIآنه و کندنمي استفاده ( قانونها ساختار کنار در ) اضافي ساختار هیچگونه از قانونها سازيذخیره براي که چرا ،است مرتبة از آن خطي جستجوي مقابل در ،کندمي نگهداري لیست يک صورت به راO(n.باشدمي ( IPtablesابIIحس هIIب ازيهاIIسپیاده از تهIIدس آن زوIIج ،خطي جستجوي الگوريتمهاي از سازيپیاده يک عنوان به .دارد ضعف زمینه دو هر در که آيدمي سازي پیاده درIPtablesچندپردازندگي از حمايت براي۱۵ از استفاده از پرهیز وLockورIIمنظ هIIب تمIIسیس ايIIه قIIمنط نفس و بیشتر سرعت به حصول و ،هاپردازنده فعالیت همروندي از حاصل ،شده ايجاد بحراني نواحي مديريت در موجود هايانباره از کپي يک پردازنده هر ازاي به ،چندپردازندگيIPtablesرIIه ورتIIص دينIIب .ودIIشمي هIIتهی .باشدمي مصون نیز ديگر هايپردازنده توسط مزاحمت ايجاد از و کرده تمرکز خود متناظر کپي روي بر پردازنده توسط مصرفي حافظة توجهي قابل طرز به موضوع اينiptablesعمل تنها اينکه به توجه با .است داده افزايش را تعداد نمايشگر هاشمارنده ) باشدمي قانونها هايشمارنده سازيهنگامبه شودمي انجام ها پردازنده توسط که نوشتاري دنيIIخوان صورت به اشغالي فضاي ديگر از استفاده طريقة و ( باشندمي مربوطه قانون با يافته تطابق هايبسته طول و .باشدمي ضروري غیر ،کامل ،شده اشغال فضاي اين از زيادي حجم ،باشدمي سازيهنگامبه سرعتانIفرم رIه دورIIص .ودIشمي امIانج اربرIIک طحIس در ازيIIسهنگام هIب ايIIفعالیته امIتم : :باشدمي زير مراحل انجام مستلزم ،کاربر جانب از ،سازيهنگامبه ۱-کاربر سطح به هسته سطح از نظر مورد انبارة حافظة انتقال 15 SMP: Symmetric MultiProcessor ۱۴
- 15. ۲-انباره در شدهخواسته تغییرات انجام ۳-هسته سطح به شده هنگام به انبارة انتقال ۴-.جديد اطلعات با قديمي اطلعات کردن جاگزين انجام مرتبه هر در حافظه مديريت پیچیدة فعالیتهاي انجام و کاربر و هسته سطوح بین اطلعات تبادل زياد حجم .است داده کاهش توجهي قابل حد در را سازيهنگامبه سرعت ،تغییرات از استفاده ،کاستي اين به توجه باIPtables.باشدنمي مناسب عنوان هیچ به ايمحاوره محیط يک در بنديدسته براي شده استفاده فیدهاي iدتعدا در پذیريمقیاسدر انونIIق هر :IPtables،هIIشناس VءزIIج هIIس از ئلةIIمس انIIهم وعIIموض اين که کند اختیار را تطابق تعداد هر تواندمي قانون يک .شودمي تشکیل پردازش و تطابقها .باشدمي پذيريمقیاس توسعة ابزار جزو پردازشها و تطابقها ديگر طرف ازIPtablesدر تغییر به نیازي آنها ساخت که شوندمي شناخته IPtables.کرد سازيپیاده نیز را دلخواه تطابقاي توانمي نتیجه در .ندارد شبکه هايبسته بندي دسته امکان ،قانون يک در ،تعداد در محدوديت بدون ،گوناگون تطابقهاي از استفاده امکان .آوردمي فراهم را مختلف فیلدهاي اساس بر زيباي و مثبت بسیار پارامترهاي از يکي موضوع اينIPtables.باشدمي ۱۵