Alguem ja viu duas novas tabelas do Netfilter a Raw e a Security

[GUIPERES]

Bom usando o Ubuntu 13.04, no terminal digitei man iptables e percebi que tinha duas novas tabelas
a Raw e a Security, alguem sabe qual a finalidade de cada uma delas?

[Arthur Bernardes]

Lá diz:

Código (raw) Selecionar Expandir

raw:
Esta tabela é usada principalmente para a configuração de isenções
rastreamento de conexão em combinação com o alvo NOTRACK.
Ele registra as netfilter ganchos com maior prioridade e
assim é chamado antes ip_conntrack, ou quaisquer outras tabelas IP.
Ele fornece as seguintes cadeias embutidas: PREROUTING (para
pacotes que chegam através de qualquer interface de rede) OUTPUT (para
pacotes gerados por processos locais)

Código (security) Selecionar Expandir

Security:
  Esta tabela é usada para Mandatory Access Control (MAC) net-
                   regras de trabalho, tais como aqueles habilitados pelo SECMARK e
                   Alvos CONNSECMARK. Mandatory Access Control é imple-
                   mentadas por Linux Security Modules como SELinux. A segu-
                   mesa rança é chamado após a tabela de filtro, permitindo que qualquer
                   Regras de controle de acesso discricional (DAC) na tabela filter
                   para entrar em vigor antes de regras MAC. Esta tabela fornece o
                   seguindo chains: INPUT (para pacotes entrando na
                   a caixa em si), OUTPUT (para alterar localmente gerada
                   pacotes antes do roteamento), e para a frente (para alterar pacotes
                   sendo roteados através da máquina).

[GUIPERES]

Bom ae esta a tradução do man iptables, mas nao da para entender muito bem. para que serve cada uma delas?

[zekkerj]

O 12.04 já tem essas tabelas... provavelmente são do kernel 3.x.

Vou tentar melhorar a tradução...

Código Selecionar Expandir

              raw:
                  This table is used mainly for configuring exemptions from connection tracking in combination with the NOTRACK target.  It registers at  the  netfilter  hooks
                  with  higher  priority  and  is  thus called before ip_conntrack, or any other IP tables.  It provides the following built-in chains: PREROUTING (for packets
                  arriving via any network interface) OUTPUT (for packets generated by local processes)

              security:
                  This table is used for Mandatory Access Control (MAC) networking rules, such as those enabled by the SECMARK and CONNSECMARK targets.  Mandatory Access  Con‐
                  trol  is  implemented by Linux Security Modules such as SELinux.  The security table is called after the filter table, allowing any Discretionary Access Con‐
                  trol (DAC) rules in the filter table to take effect before MAC rules.  This table provides the following built-in chains: INPUT (for packets coming into  the
                  box itself), OUTPUT (for altering locally-generated packets before routing), and FORWARD (for altering packets being routed through the box).


raw:
Esta tabela é usada principalmente para configurar exceções para o rastreamento de conexões, em combinação com a ação NOTRACK. Ela se registra nos ganchos do netfilter com alta prioridade, e assim é chamado antes da tabela ip_conntrack, ou de qualquer outra tabela do IPtables. Ela fornece as seguintes cadeias predefinidas: PREROUTING (para pacotes recebidos em qualquer interface) e OUTPUT (para pacotes gerados por processos locais).

security:
Esta tabela é usada para regras de rede para Controle Obrigatório de Acesso (MAC - Mandatory Access Control), tais como aquelas habilitadas pelas ações SECMARK e CONNSECMARK. O Controle de Acesso Mandatório é implementado por Módulos de Segurança Linux, tais como SELinux. A tabela security é chamada depois da tabel filter, permitindo que qualquer regra de Controle de Acesso Discricionário (DAC - Discretionary Access Control) na tabela filter seja efetivada antes das regras MAC. Esta tabela fornece as seguintes cadeias predefinidas: INPUT (para pacotes chegando ao host, propriamente dito), OUTPUT (para pacotes gerados localmente, antes de serem roteados) e FORWARD (para alterar pacotes sendo roteados pelo host).

Entenderam agora? Beleza, quem entendeu me explica.