Linux の iptables の原理を図で詳しく説明-Linuxの運用と保守-php.cn

一、netfilter と iptables

(1) Netfilter は、Rusty Russell によって提案された Linux 2.4 カーネルファイアウォールフレームワークであり、パケットフィルタリング、データなどのセキュリティポリシーアプリケーションで多くの機能を実現できます。パケット処理、アドレスマスカレード、透過プロキシ、動的ネットワークアドレス変換 (ネットワークアドレス変換、NAT)、およびユーザーおよびメディアアクセス制御 (メディアアクセスコントロール、MAC) アドレスベースのフィルタリング、ステータスベースのフィルタリング、パケットレート制限、等Iptables/Netfilter のこれらのルールは、その優れた設計思想のおかげで、あらゆる側面をカバーする多数の機能を形成するために柔軟に組み合わせることができます。

Netfilterは、Linuxオペレーティングシステムのコア層内のパケット処理モジュールであり、次の機能があります:

パケット内容の変更
パケットフィルタリングファイアウォール
( 2) Netfilter プラットフォームは、データパケットの 5 つのマウントポイント (コールバック関数ポイントとして理解できるフックポイント) を定式化しています。データパケットがこれらの場所に到達すると、関数がアクティブに呼び出され、方向を変更できるチャンスが与えられます。データパケットがルーティングされるときのコンテンツ）、これら 5 つのマウントポイントは、PRE_ROUTING、INPUT、OUTPUT、FORWARD、POST_ROUTING。

PRE_ROUTING、INPUT、OUTPUT、FORWARD、POST_ROUTING。

　　（3）Netfilter 所设置的规则是存放在内核内存中的，而 iptables 是一个应用层的应用程序，它通过 Netfilter 放出的接口来对存放在内核内存中的 XXtables（Netfilter的配置表）进行修改。这个XXtables由表tables、链chains、规则rules组成，iptables在应用层负责修改这个规则文件。类似的应用程序还有 firewalld 。

二、filter、nat、mangle等规则四表

（1）table有 filter、nat、mangle等规则表；

　　filter表

　　　　主要用于对数据包进行过滤，根据具体的规则决定是否放行该数据包（如DROP、ACCEPT、REJECT、LOG）。filter 表对应的内核模块为iptable_filter，包含三个规则链：

INPUT链：INPUT针对那些目的地是本地的包
FORWARD链：FORWARD过滤所有不是本地产生的并且目的地不是本地(即本机只是负责转发)的
OUTPUT链：OUTPUT是用来过滤所有本地生成的包

　　nat表

　　　　主要用于修改数据包的IP地址、端口号等信息（网络地址转换，如SNAT、DNAT、MASQUERADE、REDIRECT）。属于一个流的包(因为包的大小限制导致数据可能会被分成多个数据包)只会经过

　　这个表一次。如果第一个包被允许做NAT或Masqueraded，那么余下的包都会自动地被做相同的操作，也就是说，余下的包不会再通过这个表。表对应的内核模块为 iptable_nat，包含三个链

PREROUTING链：作用是在包刚刚到达防火墙时改变它的目的地址
OUTPUT链：改变本地产生的包的目的地址
POSTROUTING (3) Netfilterの設定ルールは以下の通りです。 iptables は、カーネルメモリに格納されている XXtables (Netfilter の構成テーブル) を、Netfilter がリリースしたインターフェイスを介して変更するアプリケーション層アプリケーションです。この XXtables は、テーブル tables、チェーン chains、およびルール rules で構成されます。iptables は、アプリケーション層でこのルールファイルを変更します。同様のアプリケーションに firewalld があります。

2. フィルター、ナット、マングルとその他のルールの 4 つのテーブル

(1) テーブルにはフィルター、ナット、マングル、その他のルールテーブルがあります

フィルターテーブル

主にデータパケットをフィルタリングし、パッケージの特定のルール (DROP、ACCEPT、REJECT、LOG など) に従ったデータ。フィルターテーブルに対応するカーネルモジュールは iptable_filter で、これには 3 つのルールチェーンが含まれています:

INPUT code>チェーン: <img src="https://img.php.cn/upload/article/000/000/194/2b77b1dd802310258032a27a0b928085-2.png" alt="">INPUTは、宛先がローカルであるパケット用です

FORWARD

OUTPUT

PREROUTING

OUTPUT

POSTROUTING code> チェーン: 🎜ファイアウォールを離れる前にパケットの送信元アドレスを変更します🎜🎜🎜🎜🎜🎜 🎜マングルテーブル🎜🎜🎜🎜 主にTOS（サービスタイプ、サービスタイプ）を変更するために使用されます)、データ パケットの TTL (Time To) Live、ライフ サイクル) は、Qos (Quality Of Service、サービス品質) 調整およびポリシー ルーティング アプリケーションを実装するためにデータ パケットのマーク マークを設定することを指します。これは、対応するルーティング機器のサポートを必要とするためです。あまり広く使われていません。 PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD の 5 つのルール チェーンが含まれます。 🎜🎜 🎜🎜raw table🎜🎜🎜🎜 は、バージョン1.2.9以降、iptablesに追加された新しいテーブルで、主にデータパケットがステータス追跡メカニズムによって処理されるかどうかを判断するために使用されます。データ パケットを照合する場合、生のテーブルのルールが他のテーブルより優先されます。 2 つのルール チェーン - OUTPUT、PREROUTING が含まれます🎜🎜🎜🎜🎜🎜<p>(2) iptables のデータ パケットの 4 つの異なる <strong> 状態と </strong> 追跡される接続の 4 種類 <strong>: </strong></p>
<ul class=" list-paddingleft-2"><ul class=" list-paddingleft-2" style="list-style-type: square;">
<li><p><strong><code>NEW

NEW

RELATED：该包是属于某个已经建立的连接所建立的新连接。例如：FTP的数据传输连接就是控制连接所 RELATED出来的连接。--icmp-type 0 ( ping 应答) 就是--icmp-type 8 (ping 请求)所RELATED出来的。
ESTABLISHED ：只要发送并接到应答，一个数据连接从NEW变为ESTABLISHED,而且该状态会继续匹配这个连接的后续数据包。
INVALID：数据包不能被识别属于哪个连接或没有任何状态比如内存溢出，收到不知属于哪个连接的ICMP错误信息，一般应该DROP这个状态的任何数据。

三、INPUT、FORWARD等规则五链和规则　

（1）在处理各种数据包时，根据防火墙规则的不同介入时机，iptables供涉及5种默认规则链，从应用时间点的角度理解这些链：

INPUT链：当接收到防火墙本机地址的数据包（入站）时，应用此链中的规则。

OUTPUT链：当防火墙本机向外发送数据包（出站）时，应用此链中的规则。

FORWARD链：当接收到需要通过防火墙发送给其他地址的数据包（转发）时，应用此链中的规则。

PREROUTING链：在对数据包作路由选择之前，应用此链中的规则，如DNAT。

POSTROUTING パッケージは接続を開始しようとしています (再接続またはリダイレクト)接続)

関連

このパッケージは、すでに確立されている接続によって確立される新しい接続です。例: FTP データ送信接続は、制御接続から関連する接続です。 --icmp-type 0 (ping 応答) は --icmp-type 8 (ping 要求) と関連しています。

ESTABLISHED:

応答が送受信されている限り、データ接続は NEW から ESTABLISHED に変化し、このステータスはこの接続の後続のデータパケットと引き続き一致します。

INVALID:

データパケットがどの接続に属しているかを識別できないか、メモリオーバーフローやどの接続に属さない ICMP エラーメッセージなどのステータスを持っていません。通常、このステータスのデータはすべて DROP する必要があります。

3、INPUT、FORWARD、その他のルール 5 つのチェーンとルール

INPUT チェーン:
ファイアウォールのネイティブアドレスからデータを受信するときパケットが送信 (受信) されると、このチェーンのルールが適用されます。
🎜🎜🎜🎜🎜OUTPUT チェーン: 🎜🎜このチェーンは、ファイアウォールがルールでネイティブにパケットを送信 (アウトバウンド) するときに適用されます。。 🎜🎜🎜🎜🎜🎜🎜🎜🎜FORWARD チェーン: 🎜🎜 を介して他のアドレスに送信する必要があるパケットが受信 (転送) されたとき。ファイアウォール、このチェーンのルールを適用します。 🎜🎜🎜🎜🎜🎜🎜🎜🎜PREROUTING チェーン: 🎜🎜 パケットをルーティングする前に、DNAT などのこのチェーンのルールを適用します。 🎜🎜🎜🎜🎜🎜🎜🎜🎜POSTROUTING チェーン: 🎜🎜 パケットをルーティングした後、このチェーン内のルール ( SNAT など) を適用します。 🎜🎜🎜🎜🎜🎜🎜🎜 🎜🎜 (2) その中で、INPUT チェーンと OUTPUT チェーンは、主にサーバー自体に出入りするデータのセキュリティ制御のために使用されることが多いです。 FORWARD、PREROUTING、および POSTROUTING チェーンは、特にファイアウォールサーバーがゲートウェイとして使用される場合に、「ネットワークファイアウォール」で広く使用されています。 🎜🎜🎜 4. Linux パケットルーティングの原理 🎜🎜🎜 🎜🎜 − in を介してのパケットルーティングの役割は何ですか？ 🎜🎜 ワークフロー: ネットワークポートデータパケットは、データリンク層によって解凍された後 (データリンクフレームヘッダーを削除)、基礎となるネットワークカード NIC によって受信され、TCP/IP プロトコルスタック (本質的にはネットワークデータパケット) に入ります。処理カーネルドライバー) と Netfilter の混合パケット処理フロー。データパケットの受信、処理、転送のプロセスは、一連のカーネル処理関数と Netfilter フックポイントを通過した後、最終的にこの上位層アプリケーションによって転送またはダイジェストされます。 🎜🎜図に示すように: 🎜🎜🎜🎜🎜 上の図から、次のルールを要約できます: 🎜🎜🎜🎜🎜 データパケットがネットワークカードに入るとき、データパケットは最初に 🎜PREROUTING チェーン🎜 に入ります。 PREROUTING チェーンでは、データパケットの DestIP (宛先 IP) を変更する機会があり、その後、カーネルの「ルーティングモジュール」が、「データパケットの宛先 IP」と「ルーティングテーブル」に基づいてパケットを転送する必要があるかどうかを判断します。 (データパケットの DestIP が当社によって変更されている可能性があることに注意してください)🎜🎜🎜🎜データパケットがローカルマシンに入った場合 (つまり、データパケットの宛先 IP が、カーネルのネットワークポート IP である場合)ローカルマシン)、データパケットは図に沿って下に移動し、 🎜INPUT チェーン🎜 に到達します。パケットが INPUT チェーンに到達すると、どのプロセスもそれを受け取ります 🎜
このマシン上で実行されているプログラムもデータパケットを送信できます。これらのデータパケットは OUTPUT チェーンを通過し、POSTROTING チェーン出力 に到着します (データパケットの SrcIP は当社によって変更されている可能性があることに注意してください)この時点)
データパケットが転送される場合 (つまり、宛先 IP アドレスが現在のサブネットに存在しない場合)、カーネルが転送を許可すると、データパケットは右に移動し、通過します。
FORWARDチェーンを経て、POSTROUTINGチェーン出力に到達します（サブネットに対応するネットワークポートを選択して送信します）

iptablesルールを書くときは、常にこのルーティングシーケンス図を念頭に置いて、柔軟に異なるフックポイントに従ってルールを設定します

5 、 iptables の記述ルール

コマンド形式:

例:

1 iptables -I INPUT -秒 0/0 -d 192.168.42.153 -p tcp -m multiport --dports 22, 80,3306 -j ACCEPT

1 iptables -t filter -I INPUT -d 192.168.42.153 -p tcp --dport 80 -j ACCEPT

1.[-t table name]

1.[-t 表名]：该规则所操作的哪个表，可以使用filter、nat等，如果没有指定则默认为filter

-A：新增一条规则，到该规则链列表的最后一行
-I：插入一条规则，原本该位置上的规则会往后顺序移动，没有指定编号则为1
-D：从规则链中删除一条规则，要么输入完整的规则，或者指定规则编号加以删除
-R：替换某条规则，规则替换不会改变顺序，而且必须指定编号。
-P：设置某条规则链的默认动作
-nL：-L、-n，查看当前运行的防火墙规则列表

　　2.chain名：指定规则表的哪个链，如INPUT、OUPUT、FORWARD、PREROUTING等

[规则编号]：插入、删除、替换规则时用，--line-numbers显示号码
[-i|o 网卡名称]：i是指定数据包从哪块网卡进入，o是指定数据包从哪块网卡输出
[-p 协议类型]：可以指定规则应用的协议，包含tcp、udp和icmp等
[-s 源IP地址]：源主机的IP地址或子网地址
[--sport 源端口号]：数据包的IP的源端口号
[-d目标IP地址]：目标主机的IP地址或子网地址
[--dport目标端口号]：数据包的IP的目标端口号

3.-m：extend matches，这个选项用于提供更多的匹配参数，如：

-m state --state ESTABLISHED,RELATED
-m tcp --dport 22
-m multiport --dports 80,8080
-m icmp --icmp-type 8

4.<-j 动作>：处理数据包的动作，包括ACCEPT、DROP、REJECT等

ACCEPT：允许数据包通过
DROP：直接丢弃数据包，不给任何回应信息
REJECT：拒绝数据包通过，必要时会给数据发送端一个响应的信息。
SNAT：源地址转换。在进入路由层面的route之后，出本地的网络栈之前，改写源地址，目标地址不变，并在本机建立NAT表项，当数据返回时，根据NAT表将目的地址数据改写为数据发送出去时候的源地址，并发送给主机。解决内网用户用同一个公网地址上网的问题。
MASQUERADE: このルールがどのテーブルで動作するか。filter、nat などを使用できます。指定されていない場合、デフォルトは filter
🎜

🎜: ACCEPT、DROP、REJECT などのデータパケットを処理するためのアクション🎜🎜

同意

DROP

REJECT

SNAT

MASQUERADE

DNAT: ターゲットアドレス変換。 SNAT とは対照的に、IP パケットがルートを通過する前に、宛先アドレスは変更されず、ローカルマシン上で NAT エントリが確立され、データが返されると送信元アドレスが変更されます。データがリモートホストに送信されたときに、同時に NAT テーブルに宛先アドレスに転送されます。バックエンドサーバーの実際のアドレスを隠すことができます。 (この場所が SNAT で逆に書かれていることを指摘してくれたネチズンに感謝します)
REDIRECT: これは、(ターゲットに関係なく) ネットワークパケットをローカルホストに転送する特別な形式の DNAT です。このマシンでのポート転送を容易にするために、IP ヘッダーで指定されています) アドレスは何ですか)。 DNAT:目标地址转换。和SNAT相反，IP包经过route之前，重新修改目标地址，源地址不变，在本机建立NAT表项，当数据返回时，根据NAT表将源地址修改为数据发送过来时的目标地址，并发给远程主机。可以隐藏后端服务器的真实地址。（感谢网友提出之前这个地方与SNAT写反了）
REDIRECT：是DNAT的一种特殊形式，将网络包转发到本地host上（不管IP头部指定的目标地址是啥），方便在本机做端口转发。
LOG：在/var/log/messages文件中记录日志信息，然后将数据包传递给下一条规则