(1)Netfilter是由Rusty Russell提出的Linux 2.4核心防火牆框架,該框架既簡潔又靈活,可實現安全策略應用程式中的許多功能,如封包過濾、封包處理、位址偽裝、透明代理、動態網路位址轉換(Network Address Translation,NAT),以及基於使用者及媒體存取控制(Media Access Control,MAC)位址的過濾和基於狀態的過濾、包速率限制等。 Iptables/Netfilter的這些規則可以透過靈活組合,形成非常多的功能、涵蓋各個方面,這一切都得益於它的優秀設計思想。
Netfilter是Linux作業系統核心層內部的封包處理模組,它具有以下功能:
網路位址轉換(Network Address Translate)
封包內容修改
封包過濾防火牆
(2)Netfilter 平台中製定了封包的五個掛載點(Hook Point,我們可以理解為回呼函數點,資料包到達這些位置的時候會主動呼叫我們的函數,使我們有機能在資料包路由的時候改變它們的方向、內容) ,這5個掛載點分別是PRE_ROUTING、INPUT、OUTPUT、FORWARD、POST_ROUTING。
(3)Netfilter 設定的規則是存放在內核記憶體中的,而iptables 是應用層的應用程序,它透過Netfilter放出的介面來對存放在核心記憶體中的XXtables(Netfilter的設定表)進行修改。這個XXtables由表格tables、鏈chains、規則rules組成,iptables在應用層負責修改這個規則檔。類似的應用程式還有 firewalld 。
(1)table有 filter 、nat、mangle等規則表;
filter表
主要用於對封包進行過濾,根據特定的規則決定是否放行該資料包(如DROP、ACCEPT、REJECT、LOG)。 filter 表格對應的核心模組為iptable_filter,包含三個規則鏈:
#INPUT鏈:INPUT針對那些目的地是本地的包
FORWARD鏈:FORWARD過濾所有不是本地產生的並且目的地不是本地(即本機只是負責轉發)的
OUTPUT鏈:OUTPUT是用來過濾所有本地產生的套件
nat表
# 主要用於修改封包的IP位址、連接埠號碼等資訊(網路位址轉換,如SNAT、DNAT、MASQUERADE、REDIRECT)。屬於一個流的包(因為包的大小限制導致資料可能會被分成多個資料包)只會經過
這個表一次。如果第一個套件被允許做NAT或Masqueraded,那麼剩下的套件都會自動地被做相同的操作,也就是說,餘下的套件不會再通過這個表。表格對應的核心模組為iptable_nat,包含三個鏈
#PREROUTING鏈:作用是在套件剛好到達防火牆時改變它的目的位址
OUTPUT連結:改變本地產生的套件的目的位址
POSTROUTING鏈:在套件就要離開防火牆之前改變其來源位址
## mangle表<strong></strong>
主要用於修改資料包的TOS(Type Of Service,服務類型)、TTL(Time To Live,生存週期)指以及為資料包設定Mark標記,以實現Qos(Quality Of Service,服務品質)調整以及策略路由等 應用,由於需要相應的路由設備支持,因此應用並不廣泛。包含五個規則鏈-PREROUTING,POSTROUTING,INPUT,OUTPUT,FORWARD。raw表<strong></strong>
# 是自1.2.9以後版本的iptables新增的表,主要用於決定封包是否被狀態追蹤機制處理。在符合資料包時,raw表的規則要優先於其他表。包含兩條規則鏈-OUTPUT、PREROUTING
(2)iptables中封包與4種被追蹤連線的4種不同狀態:
NEW:該套件想要開始一個連線(重新連線或將連線重新導向)
RELATED:該套件是屬於某個已經建立的連線所建立的新連線。例如:FTP的資料傳輸連線就是控制連線所 RELATED出來的連線。 --icmp-type 0 ( ping 回應) 是--icmp-type 8 (ping 請求)所RELATED出來的。
ESTABLISHED :只要發送並接到應答,一個資料連接從NEW變為ESTABLISHED,而且該狀態會繼續匹配這個連接的後續數據包。
INVALID:封包不能被辨識屬於哪個連接或沒有任何狀態例如記憶體溢出,收到不知屬於哪個連接的ICMP錯誤訊息,一般應該DROP這個狀態的任何資料。
# (1)在處理各種資料包時,根據防火牆規則的不同介入時機,iptables供涉及5種預設規則鏈,從應用時間點的角度理解這些鏈:
INPUT鏈:當接收到防火牆本機位址的封包(入站)時,會套用此鏈中的規則。
#OUTPUT鏈:當防火牆本機向外發送資料包(出站)時,套用此鏈中的規則。
#FORWARD連結:當接收到需要通過防火牆傳送給其他位址的封包(轉送)時,套用此鏈中的規則。
#PREROUTING連結:在對封包作路由選擇之前,應用此鏈中的規則,如DNAT。
#POSTROUTING連結:在對封包作路由選擇之後,套用此鏈中的規則,如SNAT。
#(2)其中INPUT、OUTPUT鏈結更多的應用在「主機防火牆」中,即主要針對伺服器本機進出資料的安全控制;而FORWARD、PREROUTING、POSTROUTING鏈更多的應用在「網路防火牆」中,特別是防火牆伺服器作為網關使用時的情況。
(1)了解Netfilter和Iptables的架構與作用,並且學習了控制Netfilter行為的Xtables表的結構,那麼這個Xtables表是怎麼在核心協定棧的資料包路由中運作的呢?
工作流程:網口資料包由底層的網卡NIC接收,透過資料鏈結層的解包之後(去除資料鏈路幀頭),就進入了TCP/IP協定棧(本質就是一個處理網路封包的核心驅動)和Netfilter混合的封包處理流程中了。封包的接收、處理、轉送流程構成一個有限狀態向量機,經過一些列的核心處理函數、以及Netfilter Hook點,最後被轉送、或是本次上層的應用程式消化掉。
如圖:
從上圖中,我們可以總結出下列法則:
當一個資料包進入網路卡時,資料包首先進入PREROUTING鏈,在PREROUTING鏈中我們有機會修改資料包的DestIP(目的IP),然後核心的"路由模組"根據"資料包目的IP"以及"核心中的路由表"判斷是否需要轉發出去(注意,這個時候資料包的DestIP有可能已經被我們修改過了)
如果資料包就是進入本機的(即封包的目的IP是本機的網口IP),封包就會沿著圖向下移動,到達INPUT鏈。封包到達INPUT鏈後,任何進程都會-收到它
本機上執行的程式也可以傳送封包,這些封包經過OUTPUT鏈,然後到達POSTROTING鏈輸出(注意,這個時候封包的SrcIP有可能已經被我們修改過了)
如果封包是要轉送出去的(即目的IP位址不再目前子網路中),且核心允許轉送,資料包就會向右移動,經過FORWARD鏈,然後到達POSTROUTING鏈輸出(選擇對應子網路的網口發送出去)
在寫iptables規則的時候,要時刻牢記這張路由次序圖,根據所在Hook點的不同,靈活配置規則
指令格式:
#
1 iptables -I INPUT -s 0/0 -d 192.168.42.153 -p tcp -m multiport --dports 22,80,3306 -j AC ACPT#1 iptables -t filter -I INPUT -d 192.168.42.153 -p tcp --dport 80 -j ACCEPT
1.[-t 表名]
:該規則所操作的哪個表,可以使用filter、nat等,如果沒有指定則預設為filter
<strong></strong>-A:新增一條規則,到該規則鏈清單的最後一行
:插入一條規則,原本該位置上的規則會往後順序移動,沒有指定編號則為1
:從規則鏈中刪除一條規則,或是輸入完整的規則,或是指定規則編號加以刪除
:取代某條規則,規則替換不會改變順序,而且必須指定編號。
:設定某條規則鏈的預設動作
: -L、
# 2.chain名:指定規則表的哪個鏈,如INPUT、OUPUT、FORWARD、PREROUTING等
[規則編號]:插入、刪除、取代規則時用,--line-numbers
#[-i|o 網路卡名稱]:i是指定封包從哪塊網卡進入,o是指定封包從哪塊網卡輸出
:可以指定規則應用的協定,包含tcp、udp和icmp等
:來源主機的IP位址或子網路位址
:封包的IP的來源埠號碼
:目標主機的IP位址或子網路位址
:封包的IP的目標連接埠號碼
3.-m
<strong></strong><strong></strong>
-m multiport --dports 80,8080
-m icmp --icmp- type 8
<strong></strong><strong></strong>
ACCEPT
:
DROP:直接丟棄封包,不給任何回應訊息
#REJECT:拒絕封包通過,必要時會給資料傳送端一個回應的訊息。
SNAT:來源位址轉換。在進入路由層面的route之後,出本地的網路棧之前,改寫來源位址,目標位址不變,並在本機建立NAT表項,當資料回傳時,根據NAT表將目的位址資料改寫為資料傳送出去時候的來源位址,並發送給主機。解決內網用戶用同一個公網位址上網的問題。
DNAT:目標位址轉換。和SNAT相反,IP套件經過route之前,重新修改目標位址,來源位址不變,在本機建立NAT表項,當資料回傳時,根據NAT表將來源位址修改為資料傳送過來時的目標位址,並發給遠端主機。可以隱藏後端伺服器的真實位址。 (感謝網友提出之前這個地方與SNAT寫反了)REDIRECT:是DNAT的一種特殊形式,將網路包轉送到本地host上(不管IP頭部指定的目標位址是啥),方便在本機做連接埠轉送。
LOG:在/var/log/messages檔案中記錄日誌訊息,然後將封包傳遞給下一規則
除去最後一個LOG,前3條規則匹配資料包後,該資料包不會再往下繼續匹配了,所以編寫的規則順序極為關鍵。
以上是Linux中iptables原理的圖文詳解的詳細內容。更多資訊請關注PHP中文網其他相關文章!
