Linux中iptables原理的圖文詳解

 一、netfilter與iptables

---

　　（1）Netfilter是由Rusty Russell提出的Linux 2.4核心防火牆框架，該框架既簡潔又靈活，可實現安全策略應用程式中的許多功能，如封包過濾、封包處理、位址偽裝、透明代理、動態網路位址轉換(Network Address Translation，NAT)，以及基於使用者及媒體存取控制(Media Access Control，MAC)位址的過濾和基於狀態的過濾、包速率限制等。 Iptables/Netfilter的這些規則可以透過靈活組合，形成非常多的功能、涵蓋各個方面，這一切都得益於它的優秀設計思想。

　　Netfilter是Linux作業系統核心層內部的封包處理模組，它具有以下功能：

• 網路位址轉換(Network Address Translate)

• 封包內容修改

• 封包過濾防火牆

　　（2）Netfilter 平台中製定了封包的五個掛載點（Hook Point，我們可以理解為回呼函數點，資料包到達這些位置的時候會主動呼叫我們的函數，使我們有機能在資料包路由的時候改變它們的方向、內容） ，這5個掛載點分別是PRE_ROUTING、INPUT、OUTPUT、FORWARD、POST_ROUTING。

 

　　（3）Netfilter 設定的規則是存放在內核記憶體中的，而iptables 是應用層的應用程序，它透過Netfilter放出的介面來對存放在核心記憶體中的XXtables（Netfilter的設定表）進行修改。這個XXtables由表格tables、鏈chains、規則rules組成，iptables在應用層負責修改這個規則檔。類似的應用程式還有 firewalld 。

 　　

 

---

 二、filter、nat、mangle等規則四表

---

 （1）table有 filter 、nat、mangle等規則表；

　　filter表

　　　　主要用於對封包進行過濾，根據特定的規則決定是否放行該資料包（如DROP、ACCEPT、REJECT、LOG）。 filter 表格對應的核心模組為iptable_filter，包含三個規則鏈：

• #INPUT鏈：INPUT針對那些目的地是本地的包

• FORWARD鏈：FORWARD過濾所有不是本地產生的並且目的地不是本地(即本機只是負責轉發)的

• OUTPUT鏈：OUTPUT是用來過濾所有本地產生的套件   

　　nat表

#　　　　主要用於修改封包的IP位址、連接埠號碼等資訊（網路位址轉換，如SNAT、DNAT、MASQUERADE、REDIRECT）。屬於一個流的包(因為包的大小限制導致資料可能會被分成多個資料包)只會經過

　　這個表一次。如果第一個套件被允許做NAT或Masqueraded，那麼剩下的套件都會自動地被做相同的操作，也就是說，餘下的套件不會再通過這個表。表格對應的核心模組為iptable_nat，包含三個鏈

• #PREROUTING鏈：作用是在套件剛好到達防火牆時改變它的目的位址

• OUTPUT連結：改變本地產生的套件的目的位址

• POSTROUTING鏈：在套件就要離開防火牆之前改變其來源位址

##　　mangle表<strong></strong>

　　　　主要用於修改資料包的TOS（Type Of Service，服務類型）、TTL（Time To Live，生存週期）指以及為資料包設定Mark標記，以實現Qos(Quality Of Service，服務品質)調整以及策略路由等

　　應用，由於需要相應的路由設備支持，因此應用並不廣泛。包含五個規則鏈－PREROUTING，POSTROUTING，INPUT，OUTPUT，FORWARD。

　　

raw表<strong></strong>

#　　　　是自1.2.9以後版本的iptables新增的表，主要用於決定封包是否被狀態追蹤機制處理。在符合資料包時，raw表的規則要優先於其他表。包含兩條規則鏈－OUTPUT、PREROUTING

 

（2）iptables中封包與4種被追蹤連線的4種不同狀態：

• NEW：該套件想要開始一個連線（重新連線或將連線重新導向）

• RELATED：該套件是屬於某個已經建立的連線所建立的新連線。例如：FTP的資料傳輸連線就是控制連線所 RELATED出來的連線。 --icmp-type 0 ( ping 回應) 是--icmp-type 8 (ping 請求)所RELATED出來的。

• ESTABLISHED ：只要發送並接到應答，一個資料連接從NEW變為ESTABLISHED,而且該狀態會繼續匹配這個連接的後續數據包。

• INVALID：封包不能被辨識屬於哪個連接或沒有任何狀態例如記憶體溢出，收到不知屬於哪個連接的ICMP錯誤訊息，一般應該DROP這個狀態的任何資料。

 

---

三、INPUT、FORWARD等規則五鍊與規則

---

 

# （1）在處理各種資料包時，根據防火牆規則的不同介入時機，iptables供涉及5種預設規則鏈，從應用時間點的角度理解這些鏈：

• INPUT鏈：當接收到防火牆本機位址的封包（入站）時，會套用此鏈中的規則。

• #OUTPUT鏈：當防火牆本機向外發送資料包（出站）時，套用此鏈中的規則。

• #FORWARD連結：當接收到需要通過防火牆傳送給其他位址的封包（轉送）時，套用此鏈中的規則。

• #PREROUTING連結：在對封包作路由選擇之前，應用此鏈中的規則，如DNAT。

• #POSTROUTING連結：在對封包作路由選擇之後，套用此鏈中的規則，如SNAT。

 

#（2）其中INPUT、OUTPUT鏈結更多的應用在「主機防火牆」中，即主要針對伺服器本機進出資料的安全控制；而FORWARD、PREROUTING、POSTROUTING鏈更多的應用在「網路防火牆」中，特別是防火牆伺服器作為網關使用時的情況。

---

 四、Linux封包路由原理

---

 

 　　（1）了解Netfilter和Iptables的架構與作用，並且學習了控制Netfilter行為的Xtables表的結構，那麼這個Xtables表是怎麼在核心協定棧的資料包路由中運作的呢？

　　工作流程：網口資料包由底層的網卡NIC接收，透過資料鏈結層的解包之後(去除資料鏈路幀頭)，就進入了TCP/IP協定棧(本質就是一個處理網路封包的核心驅動)和Netfilter混合的封包處理流程中了。封包的接收、處理、轉送流程構成一個有限狀態向量機，經過一些列的核心處理函數、以及Netfilter Hook點，最後被轉送、或是本次上層的應用程式消化掉。

如圖：

　從上圖中，我們可以總結出下列法則：

• 當一個資料包進入網路卡時，資料包首先進入PREROUTING鏈，在PREROUTING鏈中我們有機會修改資料包的DestIP(目的IP)，然後核心的"路由模組"根據"資料包目的IP"以及"核心中的路由表"判斷是否需要轉發出去(注意，這個時候資料包的DestIP有可能已經被我們修改過了)

• 如果資料包就是進入本機的(即封包的目的IP是本機的網口IP)，封包就會沿著圖向下移動，到達INPUT鏈。封包到達INPUT鏈後，任何進程都會-收到它

• 本機上執行的程式也可以傳送封包，這些封包經過OUTPUT鏈，然後到達POSTROTING鏈輸出(注意，這個時候封包的SrcIP有可能已經被我們修改過了)

• 如果封包是要轉送出去的(即目的IP位址不再目前子網路中)，且核心允許轉送，資料包就會向右移動，經過FORWARD鏈，然後到達POSTROUTING鏈輸出(選擇對應子網路的網口發送出去)

　　在寫iptables規則的時候，要時刻牢記這張路由次序圖，根據所在Hook點的不同，靈活配置規則

 

---

# 五、iptables寫出規則

---

 

        指令格式：

             #  

##　　　　 

1 iptables -I INPUT -s 0/0 -d 192.168.42.153 -p tcp -m multiport --dports 22,80,3306 -j AC ACPT#1 iptables -t filter -I INPUT -d 192.168.42.153 -p tcp --dport 80 -j ACCEPT 

　　1.[-t 表名]

：該規則所操作的哪個表，可以使用filter、nat等，如果沒有指定則預設為filter

<strong></strong>-A：新增一條規則，到該規則鏈清單的最後一行

• #-I

  ：插入一條規則，原本該位置上的規則會往後順序移動，沒有指定編號則為1

• -D

  ：從規則鏈中刪除一條規則，或是輸入完整的規則，或是指定規則編號加以刪除

• -R

  ：取代某條規則，規則替換不會改變順序，而且必須指定編號。

• -P

  ：設定某條規則鏈的預設動作

• -nL

  ： -L、

  -n
，查看目前執行的防火牆規則清單

• #　　2.chain名：指定規則表的哪個鏈，如INPUT、OUPUT、FORWARD、PREROUTING等

[規則編號]：插入、刪除、取代規則時用，--line-numbers

顯示號碼

• #[-i|o 網路卡名稱]：i是指定封包從哪塊網卡進入，o是指定封包從哪塊網卡輸出

• #[-p 協定類型]

  ：可以指定規則應用的協定，包含tcp、udp和icmp等

• [-s 來源IP位址]

  ：來源主機的IP位址或子網路位址

• [--sport 來源埠號]

  ：封包的IP的來源埠號碼

• [-d目標IP位址]

  ：目標主機的IP位址或子網路位址

• [--dport目標連接埠號碼]

  ：封包的IP的目標連接埠號碼

• 　　3.-m

#：extend matches，這個選項用來提供更多的符合參數，如：

<strong></strong><strong></strong>

-m state --state ESTABLISHED,RELATED

• 
  

  #-m tcp --dport 22

• -m multiport --dports 80,8080

• -m icmp --icmp- type 8

　　
• 4.<-j 動作>

：處理資料包的動作，包括ACCEPT 、DROP、REJECT等

<strong></strong><strong></strong>

• ACCEPT
  ：

  允許封包透過

• DROP：直接丟棄封包，不給任何回應訊息

• #REJECT：拒絕封包通過，必要時會給資料傳送端一個回應的訊息。

• SNAT：來源位址轉換。在進入路由層面的route之後，出本地的網路棧之前，改寫來源位址，目標位址不變，並在本機建立NAT表項，當資料回傳時，根據NAT表將目的位址資料改寫為資料傳送出去時候的來源位址，並發送給主機。解決內網用戶用同一個公網位址上網的問題。

MASQUERADE
• ，是SNAT的一種特殊形式，適用於像adsl這種臨時會變的ip上

• DNAT:目標位址轉換。和SNAT相反，IP套件經過route之前，重新修改目標位址，來源位址不變，在本機建立NAT表項，當資料回傳時，根據NAT表將來源位址修改為資料傳送過來時的目標位址，並發給遠端主機。可以隱藏後端伺服器的真實位址。 （感謝網友提出之前這個地方與SNAT寫反了）
  REDIRECT：是DNAT的一種特殊形式，將網路包轉送到本地host上（不管IP頭部指定的目標位址是啥），方便在本機做連接埠轉送。

• LOG：在/var/log/messages檔案中記錄日誌訊息，然後將封包傳遞給下一規則

 　　　　除去最後一個LOG，前3條規則匹配資料包後，該資料包不會再往下繼續匹配了，所以編寫的規則順序極為關鍵。

 

以上是Linux中iptables原理的圖文詳解的詳細內容。更多資訊請關注PHP中文網其他相關文章！