首頁 > 運維 > linux運維 > 主體

Linux中iptables原理的圖文詳解

黄舟
發布: 2017-07-26 16:00:09
原創
2548 人瀏覽過

 、netfilter與iptables


  (1)Netfilter是由Rusty Russell提出的Linux 2.4核心防火牆框架,該框架既簡潔又靈活,可實現安全策略應用程式中的許多功能,如封包過濾、封包處理、位址偽裝、透明代理、動態網路位址轉換(Network Address Translation,NAT),以及基於使用者及媒體存取控制(Media Access Control,MAC)位址的過濾和基於狀態的過濾、包速率限制等。 Iptables/Netfilter的這些規則可以透過靈活組合,形成非常多的功能、涵蓋各個方面,這一切都得益於它的優秀設計思想。

  Netfilter是Linux作業系統核心層內部的封包處理模組,它具有以下功能:

  • 網路位址轉換(Network Address Translate)

  • 封包內容修改

  • 封包過濾防火牆

  (2)Netfilter 平台中製定了封包的五個掛載點(Hook Point,我們可以理解為回呼函數點,資料包到達這些位置的時候會主動呼叫我們的函數,使我們有機能在資料包路由的時候改變它們的方向、內容) ,這5個掛載點分別是PRE_ROUTINGINPUTOUTPUTFORWARDPOST_ROUTING

 

  (3)Netfilter 設定的規則是存放在內核記憶體中的,而iptables 是應用層的應用程序,它透過Netfilter放出的介面來對存放在核心記憶體中的XXtables(Netfilter的設定表)進行修改。這個XXtables由表格tables、鏈chains、規則rules組成,iptables在應用層負責修改這個規則檔。類似的應用程式還有 firewalld 。

   

 


 二、filter、nat、mangle等規則四表


 (1)table有 filter 、nat、mangle等規則表;

  filter表

    主要用於對封包進行過濾,根據特定的規則決定是否放行該資料包(如DROP、ACCEPT、REJECT、LOG)。 filter 表格對應的核心模組為iptable_filter,包含三個規則鏈:

    • #INPUT鏈:INPUT針對那些目的地是本地的包

    • FORWARD鏈:FORWARD過濾所有不是本地產生的並且目的地不是本地(即本機只是負責轉發)的

    • OUTPUT鏈:OUTPUT是用來過濾所有本地產生的套件   

  nat表

#    主要用於修改封包的IP位址、連接埠號碼等資訊(網路位址轉換,如SNAT、DNAT、MASQUERADE、REDIRECT)。屬於一個流的包(因為包的大小限制導致資料可能會被分成多個資料包)只會經過

  這個表一次。如果第一個套件被允許做NAT或Masqueraded,那麼剩下的套件都會自動地被做相同的操作,也就是說,餘下的套件不會再通過這個表。表格對應的核心模組為iptable_nat,包含三個鏈

    • #PREROUTING鏈:作用是在套件剛好到達防火牆時改變它的目的位址

    • OUTPUT連結:改變本地產生的套件的目的位址

    • POSTROUTING鏈:在套件就要離開防火牆之前改變其來源位址

##  mangle表<strong></strong>

    主要用於修改資料包的TOS(Type Of Service,服務類型)、TTL(Time To Live,生存週期)指以及為資料包設定Mark標記,以實現Qos(Quality Of Service,服務品質)調整以及策略路由等

  應用,由於需要相應的路由設備支持,因此應用並不廣泛。包含五個規則鏈-PREROUTING,POSTROUTING,INPUT,OUTPUT,FORWARD。

  

raw表<strong></strong>

#    是自1.2.9以後版本的iptables新增的表,主要用於決定封包是否被狀態追蹤機制處理。在符合資料包時,raw表的規則要優先於其他表。包含兩條規則鏈-OUTPUT、PREROUTING

 

(2)iptables中封包與4種被追蹤連線的4種不同狀態:

    • NEW該套件想要開始一個連線(重新連線或將連線重新導向)

    • RELATED該套件是屬於某個已經建立的連線所建立的新連線。例如:FTP的資料傳輸連線就是控制連線所 RELATED出來的連線。 --icmp-type 0 ( ping 回應) 是--icmp-type 8 (ping 請求)所RELATED出來的。

    • ESTABLISHED :只要發送並接到應答,一個資料連接從NEW變為ESTABLISHED,而且該狀態會繼續匹配這個連接的後續數據包。

    • INVALID封包不能被辨識屬於哪個連接或沒有任何狀態例如記憶體溢出,收到不知屬於哪個連接的ICMP錯誤訊息,一般應該DROP這個狀態的任何資料。

 


三、INPUT、FORWARD等規則五鍊與規則


 

# (1)在處理各種資料包時,根據防火牆規則的不同介入時機,iptables供涉及5種預設規則鏈,從應用時間點的角度理解這些鏈:

    • INPUT鏈:當接收到防火牆本機位址的封包(入站)時,會套用此鏈中的規則。

    • #OUTPUT鏈:當防火牆本機向外發送資料包(出站)時,套用此鏈中的規則。

    • #FORWARD連結:當接收到需要通過防火牆傳送給其他位址的封包(轉送)時,套用此鏈中的規則。

    • #PREROUTING連結:在對封包作路由選擇之前,應用此鏈中的規則,如DNAT。

    • #POSTROUTING連結:在對封包作路由選擇之後,套用此鏈中的規則,如SNAT。

 

#(2)其中INPUT、OUTPUT鏈結更多的應用在「主機防火牆」中,即主要針對伺服器本機進出資料的安全控制;而FORWARD、PREROUTING、POSTROUTING鏈更多的應用在「網路防火牆」中,特別是防火牆伺服器作為網關使用時的情況。


 四、Linux封包路由原理


 

   (1)了解Netfilter和Iptables的架構與作用,並且學習了控制Netfilter行為的Xtables表的結構,那麼這個Xtables表是怎麼在核心協定棧的資料包路由中運作的呢?

  工作流程:網口資料包由底層的網卡NIC接收,透過資料鏈結層的解包之後(去除資料鏈路幀頭),就進入了TCP/IP協定棧(本質就是一個處理網路封包的核心驅動)和Netfilter混合的封包處理流程中了。封包的接收、處理、轉送流程構成一個有限狀態向量機,經過一些列的核心處理函數、以及Netfilter Hook點,最後被轉送、或是本次上層的應用程式消化掉。

如圖:

 從上圖中,我們可以總結出下列法則:

    • 當一個資料包進入網路卡時,資料包首先進入PREROUTING鏈,在PREROUTING鏈中我們有機會修改資料包的DestIP(目的IP),然後核心的"路由模組"根據"資料包目的IP"以及"核心中的路由表"判斷是否需要轉發出去(注意,這個時候資料包的DestIP有可能已經被我們修改過了)

    • 如果資料包就是進入本機的(即封包的目的IP是本機的網口IP),封包就會沿著圖向下移動,到達INPUT鏈。封包到達INPUT鏈後,任何進程都會-收到它

    • 本機上執行的程式也可以傳送封包,這些封包經過OUTPUT鏈,然後到達POSTROTING鏈輸出(注意,這個時候封包的SrcIP有可能已經被我們修改過了)

    • 如果封包是要轉送出去的(即目的IP位址不再目前子網路中),且核心允許轉送,資料包就會向右移動,經過FORWARD鏈,然後到達POSTROUTING鏈輸出(選擇對應子網路的網口發送出去)

  在寫iptables規則的時候,要時刻牢記這張路由次序圖,根據所在Hook點的不同,靈活配置規則

 


# 五、iptables寫出規則


 

        指令格式:

             #  

##     

1 iptables -I INPUT -s 0/0 -d 192.168.42.153 -p tcp -m multiport --dports 22,80,3306 -j AC ACPT#1 iptables -t filter -I INPUT -d 192.168.42.153 -p tcp --dport 80 -j ACCEPT 

  1.[-t 表名]

:該規則所操作的哪個表,可以使用filter、nat等,如果沒有指定則預設為filter

<strong></strong>-A:新增一條規則,到該規則鏈清單的最後一行

    • #-I

      :插入一條規則,原本該位置上的規則會往後順序移動,沒有指定編號則為1

    • -D

      :從規則鏈中刪除一條規則,或是輸入完整的規則,或是指定規則編號加以刪除

    • -R

      :取代某條規則,規則替換不會改變順序,而且必須指定編號。

    • -P

      :設定某條規則鏈的預設動作

    • -nL

      -L

      -n
    • ,查看目前執行的防火牆規則清單
    • #  2.chain名:指定規則表的哪個鏈,如INPUT、OUPUT、FORWARD、PREROUTING等

[規則編號]:插入、刪除、取代規則時用,--line-numbers

顯示號碼
    • #[-i|o 網路卡名稱]:i是指定封包從哪塊網卡進入,o是指定封包從哪塊網卡輸出

    • #[-p 協定類型]

      :可以指定規則應用的協定,包含tcp、udp和icmp等

    • [-s 來源IP位址]

      :來源主機的IP位址或子網路位址

    • [--sport 來源埠號]

      :封包的IP的來源埠號碼

    • [-d目標IP位址]

      :目標主機的IP位址或子網路位址

    • [--dport目標連接埠號碼]

      :封包的IP的目標連接埠號碼

    •   3.-m

    • #:extend matches,這個選項用來提供更多的符合參數,如:

<strong></strong><strong></strong>

    -m state --state ESTABLISHED,RELATED

  • #-m tcp --dport 22
    • -m multiport --dports 80,8080

    • -m icmp --icmp- type 8

    •   
    • 4.<-j 動作>

    • :處理資料包的動作,包括ACCEPT 、DROP、REJECT等

<strong></strong><strong></strong>

  • ACCEPT

    允許封包透過
    • DROP直接丟棄封包,不給任何回應訊息

    • #REJECT拒絕封包通過,必要時會給資料傳送端一個回應的訊息。

    • SNAT來源位址轉換。在進入路由層面的route之後,出本地的網路棧之前,改寫來源位址,目標位址不變,並在本機建立NAT表項,當資料回傳時,根據NAT表將目的位址資料改寫為資料傳送出去時候的來源位址,並發送給主機。解決內網用戶用同一個公網位址上網的問題。

    • MASQUERADE
    • ,是SNAT的一種特殊形式,適用於像adsl這種臨時會變的ip上

    • DNAT:目標位址轉換。和SNAT相反,IP套件經過route之前,重新修改目標位址,來源位址不變,在本機建立NAT表項,當資料回傳時,根據NAT表將來源位址修改為資料傳送過來時的目標位址,並發給遠端主機。可以隱藏後端伺服器的真實位址。 (感謝網友提出之前這個地方與SNAT寫反了)
      REDIRECT:是DNAT的一種特殊形式,將網路包轉送到本地host上(不管IP頭部指定的目標位址是啥),方便在本機做連接埠轉送。

    • LOG在/var/log/messages檔案中記錄日誌訊息,然後將封包傳遞給下一規則

     除去最後一個LOG,前3條規則匹配資料包後,該資料包不會再往下繼續匹配了,所以編寫的規則順序極為關鍵。

 

以上是Linux中iptables原理的圖文詳解的詳細內容。更多資訊請關注PHP中文網其他相關文章!

相關標籤:
來源:php.cn
本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
熱門教學
更多>
最新下載
更多>
網站特效
網站源碼
網站素材
前端模板
關於我們 免責聲明 Sitemap
PHP中文網:公益線上PHP培訓,幫助PHP學習者快速成長!