Функции брандмауэра iptables


Насколько известно брандмауэры подразделяются на:
1. Фильтрующие по заголовкам пакетов
2. Шлюзы, или прокси брандмауэры, т.е. такие брандмауэры определяют назначение и содержание пакета не только по его заголовку, но и по его содержимому.

Есть ли у iptables функциональность описанная в п.2?


Комментарии
— unknown (02/02/2007 22:48)   
Вот что пишет официальная дока по ipbales на этот счёт.



A packet filter is a piece of software which looks at the
header of packets as they pass through, and decides the fate
of the entire packet. It might decide to DROP the packet
(i.e., discard the packet as if it had never received it),
ACCEPT the packet (i.e., let the packet go through), or
something more complicated.

Under Linux, packet filtering is built into the kernel (as a kernel
module, or built right in), and there are a few trickier things we can
do with packets, but the general principle of looking at the headers
and deciding the fate of the packet is still there.



Т.е. назначение iptables – это выполнять пункт 1. А то что кроме этого с его помощью можно выполнять некоторые небольшие трюки сверх этого (например с помощью подгружаемых модулей в MATCH EXTENSIONS), общей картины не меняет. Т.е. только пункт 1.
— ПэГусев (05/02/2007 05:37, исправлен 05/02/2007 05:44)   
Т.е. только пункт 1.

Это не совсем так.
Принимать решения в зависимости от содержимого пакетов может внешняя программа, работающая в связке с iptables. См. ip_queue/libipq (man libipq) или libnetfilter_queue: http://www.netfilter.org/proje.....ter_queue/index.html[link1]

Ссылки
[link1] http://www.netfilter.org/projects/libnetfilter_queue/index.html