iptables實用教程（一）：基本概念和原理

概述

iptables是linux自帶的防火牆軟體，用於配置IPv4數據包過濾或NAT（IPv6用ip6tables）。

在linux上，防火牆其實是系統內核的一部分，基於Netfilter構架，基本原理就是在內核網路層數據包流經的不同位置放置一些鉤子（hook），利用這些嵌入網路層的hook來對數據抓取、控制或修改，iptables其實只是預設的netfilter控制管理工具，所以使用ps或者top看不到有一個“防火牆”的進程存在，防火牆是不能被卸載也不能關閉的，大家熟知的"service iptables stop"或者“/etc/init.d/iptables stop”命令只不過是清空所有策略和表，並把預設策略改為ACCEPT（允許）而已。

iptables有以下幾個重點概念：：

table（表）：iptables內置4個table，不同的table代表不同的功能，每個table可以包含許多chain，不同類型的table對所能包含的chain和策略中的target的使用做了限定，一些target不能在一些table中使用。用戶不能自定義table；

chain（鏈）：chain可用包括一系列的策略，通過配置不同的chain可以對不同作用的策略進行分類，iptables內置5個chain對應netfilter的5個hook，用戶也可以自定義chain；

command（命令）：command是對錶或鏈的操作動作，比如添加、刪除、修改等等；

rule-specification（策略）：包括下麵的匹配規則和目標；

match（匹配規則）：定義本條策略適用於那些數據包，匹配規則可以包括協議、源/目的地址、埠等等；

target（目標）：對匹配上規則的數據包採取的操作，target可以是一個動作或者自定義chain，常見的動作有丟棄（DROP）、允許（ACCEPT）、NAT等等，當target是自定義chain時，數據包進入自定義chain繼續匹配；

policy（預設策略）：內置chain的預設動作，每個chain只能有一個policy，如果數據包匹配某條chain匹配完最後一條策略依然沒有匹配上，那麼就採用policy的預設動作。policy不匹配規則，而且target只能是丟棄（DROP）或允許（ACCEPT），自定義chain不能定義policy。

表

iptables的4個表分別是：

filter（過濾）：數據包過濾/攔截，可以包含INPUT、FORWARD、OUTPUT這3個內置chain。

nat（地址轉換）：IP地址或埠號轉換，可以包含PREROUTING、OUTPUT、POSTROUTING 3個內置chain，nat table在會話建立時會記錄轉換的對應關係，同一會話的回包和後續報文會自動地址轉換，這是因為nat使用了ip_conntrack模塊。

mangle（包管理）：用來修改IP報文，可以包含PREROUTING、OUTPUT、INPUT、FORWARD、POSTROUTING 5個內置chain。

raw：此表的優先順序高於ip_conntrack模塊和其它的table，主要用於將有會話狀態的連接（比如tcp）的數據包排除在會話外。可以包含POSTROUTING、OUTPUT兩個內置chain。

看到這裡肯定會有這樣的疑問，為什麼table只能包含一些而不是全部的chain呢？我想這個構架是按需設計而不是按功能設計的，儘管table不是包含所有的chain，但是每種功能的table都包含了實現這種功能所需的chain，即使包含更多的chain也是累贅或者無用的，而且實際上用起來也的確如此，夠用了。

還有就是不同table生效優先順序問題，先後優先順序是這樣的：

raw > mangle > nat > filter

所以，如果有filter禁止ping目的地址2.2.2.2，而nat又有策略將目的地址1.1.1.1轉換成2.2.2.2，那麼ping 1.1.1.1是ping不通的。

不過一般情況下filter是不會和nat的策略打起架來，比如INPUT chain能做filter，卻不能做nat，PREROUTING能做nat卻不能做filter，而且PREROUTING只能做目的地址轉換，不會對源地址過濾的需求造成麻煩，所以通常是不會相互干擾的。

鏈

iptables內置的5個chain：PREROUTING、INPUT、OUPUT、FORWARD、POSTROUGING，這5個chain分別與netfilter中數據轉發路徑上的5個不同的位置掛鉤，以匹配篩選不同類型的數據流，如下圖所示：

其中：

PREROUTING鏈：應用於所有進入機器的ip包，包括目的地址是本機和目的地址非本機的包。

INPUT鏈：應用於所有目的是本機的包，也就是目的IP是本機介面地址，所有發給本地socket的數據都經過它。

OUPUT鏈：應用於所有由本機產生的包，所有應用程式發出的數據都經過它。

FORWARD鏈：應用於所有經過路由決策被轉發的包，也就是目的地址不是本機的數據包。

POSTROUGING鏈：應用於所有發出機器的IP包，包括本機發出的和從本機轉發的數據包。

策略匹配按照重上到下的順序進行，當測試到某策略匹配時執行target並跳出，不再向下匹配，當測試到最後一條策略仍不匹配時，則採用policy指定的動作，如下圖：

除了內置chain外，還可以自定義chain，自定義chain並不能利用netfilter的hook來捕捉數據包，但是可用於策略的分類，比如有3類不同的用戶訪問主機上的不同服務，如果所有策略都放在INPUT chain中策略會多而難以維護，這個時候就可以定義3個自定義chain，分別配置不同的策略，同時在INPUT chain中添加策略對來訪者分類並將目標指向3個自定義chain。

自定義chain大顯神威的地方在於動態生成策略，例如VPN伺服器上，需要對不同分組的用戶區別對待管理，但是用戶IP是隨機分配的，不能根據IP來區分用戶組，這時候可以預先定義好各組chain，利用VPN服務端軟體的一些鉤子，當用戶登陸時自動添加策略引導到自定義chain上來匹配。如果這時候沒有自定義chain，那麼策略的數量將是（用戶數×所屬組策略數），每增加一個用戶，都要把所屬組的全部策略添加一遍，這樣大量的時間花費在策略匹配上，性能下降很快。

命令

命令用來操作表和鏈，可以做這些操作：

• 清空一個table中包含的所有chain
• 創建、重命名或刪除一個自定義chain，清空一個內置chain或者給內置chain設置policy（預設策略）
• 在某個chain中追加、刪除、修改一條策略
• 顯示策略

由於本文只講概念和原理，所以暫時不提命令，命令的詳細使用方法會在“iptables實用教程（二）”里說明。

原文地址：http://www.cnblogs.com/foxgab/p/6896957.html

如果覺得本文對您有幫助，請掃描後面的二維碼給予捐贈，您的支持是作者繼續寫出更好文章的動力！