概述 iptables是linux自帶的防火牆軟體,用於配置IPv4數據包過濾或NAT(IPv6用ip6tables)。 在linux上,防火牆其實是系統內核的一部分,基於Netfilter構架,基本原理就是在內核網路層數據包流經的不同位置放置一些鉤子(hook),利用這些嵌入網路層的hook來對數 ...
概述
iptables是linux自帶的防火牆軟體,用於配置IPv4數據包過濾或NAT(IPv6用ip6tables)。
在linux上,防火牆其實是系統內核的一部分,基於Netfilter構架,基本原理就是在內核網路層數據包流經的不同位置放置一些鉤子(hook),利用這些嵌入網路層的hook來對數據抓取、控制或修改,iptables其實只是預設的netfilter控制管理工具,所以使用ps或者top看不到有一個“防火牆”的進程存在,防火牆是不能被卸載也不能關閉的,大家熟知的"service iptables stop"或者“/etc/init.d/iptables stop”命令只不過是清空所有策略和表,並把預設策略改為ACCEPT(允許)而已。
iptables有以下幾個重點概念::
table(表):iptables內置4個table,不同的table代表不同的功能,每個table可以包含許多chain,不同類型的table對所能包含的chain和策略中的target的使用做了限定,一些target不能在一些table中使用。用戶不能自定義table;
chain(鏈):chain可用包括一系列的策略,通過配置不同的chain可以對不同作用的策略進行分類,iptables內置5個chain對應netfilter的5個hook,用戶也可以自定義chain;
command(命令):command是對錶或鏈的操作動作,比如添加、刪除、修改等等;
策略:策略包括匹配規則和目標,iptables本沒有這個概念,我為了方便敘述添加的;
rule-specification(匹配規則):定義本條策略適用於那些數據包,匹配規則可以包括協議、源/目的地址、埠等等;
target(目標):對匹配上規則的數據包採取的操作,target可以是一個動作或者自定義chain,常見的動作有丟棄(DROP)、允許(ACCEPT)、NAT等等,當target是自定義chain時,數據包進入自定義chain繼續匹配;
policy(預設策略):內置chain的預設動作,每個chain只能有一個policy,如果數據包匹配某條chain匹配完最後一條策略依然沒有匹配上,那麼就採用policy的預設動作。policy不匹配規則,而且target只能是丟棄(DROP)或允許(ACCEPT),自定義chain不能定義policy。
表
iptables的4個表分別是:
filter(過濾):數據包過濾/攔截,可以包含INPUT、FORWARD、OUTPUT這3個內置chain。
nat(地址轉換):IP地址或埠號轉換,可以包含PREROUTING、OUTPUT、POSTROUTING 3個內置chain,nat table在會話建立時會記錄轉換的對應關係,同一會話的回包和後續報文會自動地址轉換,這是因為nat使用了ip_conntrack模塊。
mangle(包管理):用來修改IP報文,可以包含PREROUTING、OUTPUT、INPUT、FORWARD、POSTROUTING 5個內置chain。
raw:此表的優先順序高於ip_conntrack模塊和其它的table,主要用於將有會話狀態的連接(比如tcp)的數據包排除在會話外。可以包含POSTROUTING、OUTPUT兩個內置chain。
看到這裡肯定會有這樣的疑問,為什麼table只能包含一些而不是全部的chain呢?我想這個構架是按需設計而不是按功能設計的,儘管table不是包含所有的chain,但是每種功能的table都包含了實現這種功能所需的chain,即使包含更多的chain也是累贅或者無用的,而且實際上用起來也的確如此,夠用了。
還有就是不同table生效優先順序問題,先後優先順序是這樣的:
raw > mangle > nat > filter
所以,如果有filter禁止ping目的地址2.2.2.2,而nat又有策略將目的地址1.1.1.1轉換成2.2.2.2,那麼ping 1.1.1.1是ping不通的。
不過一般情況下filter是不會和nat的策略打起架來,比如INPUT chain能做filter,卻不能做nat,PREROUTING能做nat卻不能做filter,而且PREROUTING只能做目的地址轉換,不會對源地址過濾的需求造成麻煩,所以通常是不會相互干擾的。
鏈
iptables內置的5個chain:PREROUTING、INPUT、OUPUT、FORWARD、POSTROUGING,這5個chain分別與netfilter中數據轉發路徑上的5個不同的位置掛鉤,以匹配篩選不同類型的數據流,如下圖所示:
其中:
PREROUTING鏈:應用於所有進入機器的ip包,包括目的地址是本機和目的地址非本機的包。
INPUT鏈:應用於所有目的是本機的包,也就是目的IP是本機介面地址,所有發給本地socket的數據都經過它。
OUPUT鏈:應用於所有由本機產生的包,所有應用程式發出的數據都經過它。
FORWARD鏈:應用於所有經過路由決策被轉發的包,也就是目的地址不是本機的數據包。
POSTROUGING鏈:應用於所有發出機器的IP包,包括本機發出的和從本機轉發的數據包。
策略匹配按照重上到下的順序進行,當測試到某策略匹配時執行target並跳出,不再向下匹配,當測試到最後一條策略仍不匹配時,則採用policy指定的動作,如下圖:
除了內置chain外,還可以自定義chain,自定義chain並不能利用netfilter的hook來捕捉數據包,但是可用於策略的分類,比如有3類不同的用戶訪問主機上的不同服務,如果所有策略都放在INPUT chain中策略會多而難以維護,這個時候就可以定義3個自定義chain,分別配置不同的策略,同時在INPUT chain中添加策略對來訪者分類並將目標指向3個自定義chain。
自定義chain大顯神威的地方在於動態生成策略,例如VPN伺服器上,需要對不同分組的用戶區別對待管理,但是用戶IP是隨機分配的,不能根據IP來區分用戶組,這時候可以預先定義好各組chain,利用VPN服務端軟體的一些鉤子,當用戶登陸時自動添加策略引導到自定義chain上來匹配。如果這時候沒有自定義chain,那麼策略的數量將是(用戶數*所屬組策略數),每增加一個用戶,都要把所屬組的全部策略添加一遍,這樣大量的時間花費在策略匹配上,性能下降很快。
命令
命令用來操作表和鏈,可以做這些操作:
- 清空一個table中包含的所有chain
- 創建、重命名或刪除一個自定義chain,清空一個內置chain或者給內置chain設置policy(預設策略)
- 在某個chain中追加、刪除、修改一條策略
- 顯示策略
由於本文只講概念和原理,所以暫時不提命令,詳細使用方法會在後面其他文章里說明。
原文地址:http://www.cnblogs.com/foxgab/p/6896957.html
如果覺得本文對您有幫助,請掃描後面的二維碼給予捐贈,您的支持是作者繼續寫出更好文章的動力!
