一、netfilter與iptables
(1)Netfilter是由Rusty Russell提出的Linux 2.4核心防火牆框架,該框架既簡潔又靈活,可實現安全策略應用程式中的許多功能,如封包過濾、封包處理、位址偽裝、透明代理、動態網路位址轉換(Network Address Translation,NAT),以及基於使用者及媒體存取控制(Media Access Control,MAC)位址的過濾和基於狀態的過濾、包速率限制等。 Iptables/Netfilter的這些規則可以透過靈活組合,形成非常多的功能、涵蓋各個方面,這一切都得益於它的優秀設計思想。
Netfilter是Linux作業系統核心層內部的封包處理模組,它具有以下功能:
(2)Netfilter 平台中製定了封包的五個掛載點(Hook Point,我們可以理解為回呼函數點,資料包到達這些位置的時候會主動呼叫我們的函數,使我們有機能在資料包路由的時候改變它們的方向、內容) ,這5個掛載點分別是PRE_ROUTING、INPUT、OUTPUT、FORWARD、POST_ROUTING。
(3)Netfilter 設定的規則是存放在內核記憶體中的,而iptables 是應用層的應用程序,它透過Netfilter放出的介面來對存放在核心記憶體中的XXtables(Netfilter的設定表)進行修改。這個XXtables由表格tables、鏈chains、規則rules組成,iptables在應用層負責修改這個規則檔。類似的應用程式還有 firewalld 。
二、filter、nat、mangle等規則四表
(1)table有 filter 、nat、mangle等規則表;
filter表
主要用於對封包進行過濾,根據特定的規則決定是否放行該資料包(如DROP、ACCEPT、REJECT、LOG)。 filter 表格對應的核心模組為iptable_filter,包含三個規則鏈:
#INPUT鏈:INPUT針對那些目的地是本地的包
FORWARD鏈:FORWARD過濾所有不是本地產生的並且目的地不是本地(即本機只是負責轉發)的
OUTPUT鏈:OUTPUT是用來過濾所有本地產生的套件
nat表
# 主要用於修改封包的IP位址、連接埠號碼等資訊(網路位址轉換,如SNAT、DNAT、MASQUERADE、REDIRECT)。屬於一個流的包(因為包的大小限制導致資料可能會被分成多個資料包)只會經過
這個表一次。如果第一個套件被允許做NAT或Masqueraded,那麼剩下的套件都會自動地被做相同的操作,也就是說,餘下的套件不會再通過這個表。表格對應的核心模組為iptable_nat,包含三個鏈
## mangle表<strong></strong>
主要用於修改資料包的TOS(Type Of Service,服務類型)、TTL(Time To Live,生存週期)指以及為資料包設定Mark標記,以實現Qos(Quality Of Service,服務品質)調整以及策略路由等
應用,由於需要相應的路由設備支持,因此應用並不廣泛。包含五個規則鏈-PREROUTING,POSTROUTING,INPUT,OUTPUT,FORWARD。
raw表<strong></strong>
# 是自1.2.9以後版本的iptables新增的表,主要用於決定封包是否被狀態追蹤機制處理。在符合資料包時,raw表的規則要優先於其他表。包含兩條規則鏈-OUTPUT、PREROUTING
(2)iptables中封包與4種被追蹤連線的4種不同狀態:
NEW:該套件想要開始一個連線(重新連線或將連線重新導向)
RELATED:該套件是屬於某個已經建立的連線所建立的新連線。例如:FTP的資料傳輸連線就是控制連線所 RELATED出來的連線。 --icmp-type 0 ( ping 回應) 是--icmp-type 8 (ping 請求)所RELATED出來的。
ESTABLISHED :只要發送並接到應答,一個資料連接從NEW變為ESTABLISHED,而且該狀態會繼續匹配這個連接的後續數據包。
INVALID:封包不能被辨識屬於哪個連接或沒有任何狀態例如記憶體溢出,收到不知屬於哪個連接的ICMP錯誤訊息,一般應該DROP這個狀態的任何資料。
三、INPUT、FORWARD等規則五鍊與規則
# (1)在處理各種資料包時,根據防火牆規則的不同介入時機,iptables供涉及5種預設規則鏈,從應用時間點的角度理解這些鏈:
#(2)其中INPUT、OUTPUT鏈結更多的應用在「主機防火牆」中,即主要針對伺服器本機進出資料的安全控制;而FORWARD、PREROUTING、POSTROUTING鏈更多的應用在「網路防火牆」中,特別是防火牆伺服器作為網關使用時的情況。
四、Linux封包路由原理
(1)了解Netfilter和Iptables的架構與作用,並且學習了控制Netfilter行為的Xtables表的結構,那麼這個Xtables表是怎麼在核心協定棧的資料包路由中運作的呢?
工作流程:網口資料包由底層的網卡NIC接收,透過資料鏈結層的解包之後(去除資料鏈路幀頭),就進入了TCP/IP協定棧(本質就是一個處理網路封包的核心驅動)和Netfilter混合的封包處理流程中了。封包的接收、處理、轉送流程構成一個有限狀態向量機,經過一些列的核心處理函數、以及Netfilter Hook點,最後被轉送、或是本次上層的應用程式消化掉。
如圖:
從上圖中,我們可以總結出下列法則:
當一個資料包進入網路卡時,資料包首先進入PREROUTING鏈,在PREROUTING鏈中我們有機會修改資料包的DestIP(目的IP),然後核心的"路由模組"根據"資料包目的IP"以及"核心中的路由表"判斷是否需要轉發出去(注意,這個時候資料包的DestIP有可能已經被我們修改過了)
如果資料包就是進入本機的(即封包的目的IP是本機的網口IP),封包就會沿著圖向下移動,到達INPUT鏈。封包到達INPUT鏈後,任何進程都會-收到它
本機上執行的程式也可以傳送封包,這些封包經過OUTPUT鏈,然後到達POSTROTING鏈輸出(注意,這個時候封包的SrcIP有可能已經被我們修改過了)
如果封包是要轉送出去的(即目的IP位址不再目前子網路中),且核心允許轉送,資料包就會向右移動,經過FORWARD鏈,然後到達POSTROUTING鏈輸出(選擇對應子網路的網口發送出去)
在寫iptables規則的時候,要時刻牢記這張路由次序圖,根據所在Hook點的不同,靈活配置規則
# 五、iptables寫出規則
指令格式:
#
##
1 iptables -I INPUT -s 0/0 -d 192.168.42.153 -p tcp -m multiport --dports 22,80,3306 -j AC ACPT#1 iptables -t filter -I INPUT -d 192.168.42.153 -p tcp --dport 80 -j ACCEPT
1.[-t 表名]
:該規則所操作的哪個表,可以使用filter、nat等,如果沒有指定則預設為filter
<strong></strong>-A:新增一條規則,到該規則鏈清單的最後一行
- #-I
:插入一條規則,原本該位置上的規則會往後順序移動,沒有指定編號則為1
- -D
:從規則鏈中刪除一條規則,或是輸入完整的規則,或是指定規則編號加以刪除
- -R
:取代某條規則,規則替換不會改變順序,而且必須指定編號。
- -P
:設定某條規則鏈的預設動作
- -nL
: -L、
-n ,查看目前執行的防火牆規則清單# 2.chain名:指定規則表的哪個鏈,如INPUT、OUPUT、FORWARD、PREROUTING等
[規則編號]:插入、刪除、取代規則時用,--line-numbers
顯示號碼
<strong></strong><strong></strong>
-m state --state ESTABLISHED,RELATED-
#-m tcp --dport 22
<strong></strong><strong></strong>
-
ACCEPT
:
允許封包透過
DROP:直接丟棄封包,不給任何回應訊息
-
#REJECT:拒絕封包通過,必要時會給資料傳送端一個回應的訊息。
SNAT:來源位址轉換。在進入路由層面的route之後,出本地的網路棧之前,改寫來源位址,目標位址不變,並在本機建立NAT表項,當資料回傳時,根據NAT表將目的位址資料改寫為資料傳送出去時候的來源位址,並發送給主機。解決內網用戶用同一個公網位址上網的問題。
- ,是SNAT的一種特殊形式,適用於像adsl這種臨時會變的ip上
DNAT:目標位址轉換。和SNAT相反,IP套件經過route之前,重新修改目標位址,來源位址不變,在本機建立NAT表項,當資料回傳時,根據NAT表將來源位址修改為資料傳送過來時的目標位址,並發給遠端主機。可以隱藏後端伺服器的真實位址。 (感謝網友提出之前這個地方與SNAT寫反了)
REDIRECT:是DNAT的一種特殊形式,將網路包轉送到本地host上(不管IP頭部指定的目標位址是啥),方便在本機做連接埠轉送。
LOG:在/var/log/messages檔案中記錄日誌訊息,然後將封包傳遞給下一規則
除去最後一個LOG,前3條規則匹配資料包後,該資料包不會再往下繼續匹配了,所以編寫的規則順序極為關鍵。
以上是Linux中iptables原理的圖文詳解的詳細內容。更多資訊請關注PHP中文網其他相關文章!
