什么是iptables
iptables是Linux系统下常用的防火墙软件,是Linux
netfilter机制的一部分,通过iptables可以操纵linux对网络访问进行精细的控,例如丢掉特定地址来源的数据包。
Iptables工作原理
在Linux系统中,iptables是用于操作Linux内核netfilter系统的用户接口,在Linux系统中,当外部网络的数据包进入内核后,会通过Linux系统预先定义好的流程进行传递,在传递过程中,Linux内核暴露了一系列的接口给用户,从而允许用户在数据包传递的不同点上允许对数据包进行丢弃,修改等操作,这套机制在Linux系统中被称为netfilter机制。
五链四表
Linux系统在系统中总共设置了PREROUTING,INPUT,FORWARD,POSTROUTING,OUTPUT五个控制点(被称为规则链,即五链)通过应用预先定义在filter,nat,mangle,raw四张表中的规则对进出系统的数据包进行精细控制。
对于进入系统的一个数据包,可以在PREROUTING控制点对该数据包进行过滤,修改等操作;PREROUTING控制点完成数据包处理后,进入数据包的路由转发阶段,判断数据包需要路由到本地还是转发出去;路由到本地的数据包,还可以在INPUT控制点被进一步进行处理;需要转发出去的数据包可以在FORWARD控制点和POSTROUTING控制点被进一步处理。
对于本机要发出去的数据包,用户进程将数据包传递到内核空间后,首先可以在OUTPUT控制点进行处理,处理完成后可以通过POSTROUTING控制点进行进一步的处理后,从本机路由出去。
为了能在这几个控制点进行数据包的处理,Linux内核设置了filter,nat,mangle,raw四张控制表,通过在这几个控制表中定义对应的控制规则,则可以完全控制进出Linux系统的数据包,当然,不同的控制点只并不一定能使用全部的控制表,且控制表在进行处理时也具有现后顺序,以raw->mangle->nat->filter顺序进行处理。
不同的控制表具有不同的特征,其情况如下:
RAW表:主要确定是否对数据包进行状态跟踪。
Mangle表:用于修改数据包的服务类型,生存周期,为数据包设置标记,实现流量整形等。
NAT表:修改数据包的IP地址,端口等信息。
Filter表:对数据包进行过滤,根据特定规则确定对数据包如何处理。
netfilter
netfilter是iptables的核心机制,netfilter允许用户通过hook的方式,让Linux内核执行注册的回调函数并完成一系列功能。Netfilter提供了5个可注册接口,具体内容如下:
1:NF_IP_PRE_ROUTING,位于数据包被路由之前,数据包一致性检查完成后,进入该hook位置。
2:NF_IP_LOCAL_IN,位于数据包被路由后,并且数据包的目的地是本机时。
3:NF_IP_FORWARD,位于数据包被路由后,但数据包目的地址不是本机时。
4:NF_IP_LOCAL_OUT:由本机发出的数据包,在被路由之前,进入该hook处理。
5:NF_IP_POST_ROUTING:即将离开本机的数据包,在该hook被处理。
可以看到,iptables的五链四表其实就是利用Linux内核的hook机制进行的实现。
当Linux内核模块被注册后,注册的函数由可以有5种返回值,不同的返回值,内核会进行不同的处理。
1:NF_ACCEPT,报文被正常处理,允许报文通过。
2:NF_DROP,报文被丢弃。
3:NF_STOLEN,取走这个报文,不在进行后续处理。
4:NF_QUEUE,报文进行重新排队,可以被送到用户程序。
5:NF_REPEAT,对该报文重新调用hook函数。
Iptables是利用netfilter机制实现的报文控制系统,也可以理解为iptables是基于netfilter机制的一个应用功能;利用netfilter机制,我们可以自己编码实现类似于iptables的工具,对进出Linux的数据报文进行控制。
netfilter用法示例
下面通过一个简短的样例代码说明,如何使用netfilter机制,在Linux系统种注册自己的回调函数完成对数据报文的控制(需要了解Linux内核模块知识)
iptables工具使用
iptables工具分为两部分,内核部分以及用户部分,内核部分通过Linux
netfilter机制实现,用户部分传递控制参数到内核部分。
Iptables命令格式:
iptables [-t table] COMMAND [chain]
CRETIRIA -j ACTION
-t table,是指操作的表,filter、nat、mangle或raw, 默认使用filter
COMMAND,子命令,定义对规则的管理,可以添加,删除,插入,替换。
chain,指明链路,指明控制点可能更好理解,即在INPUT,FORWARD等5个控制点的哪个控制点进行控制。
CRETIRIA,匹配的条件或判断标准。
ACTION,执行的动作,例如丢弃或接受。
例如对下面这样一条iptables命令:
iptables-A INPUT -s 10.8.0.0/16 -d 172.16.55.7 -p tcp --dport 80 -j DROP
其中参数-A表示添加一条规则。INPUT表示该规则添加在INPUT控制点,-s 10.8.0.0/16 -d 172.16.55.7 -p tcp --dport 80 描述源地址为10.8.0.0/16,目标地址为172.16.55.7,协议类型为tcp,目的端口为80的数据包。-j
DROP表示对满足匹配条件的数据包执行丢弃动作。
COMMAND有四种情况,通过以下参数描述。
-A, --append
chain rule-specification:追加新规则于指定链的尾部。
-I, --insert
chain [rulenum] rule-specification:插入新规则于指定链的指定位置,默认为首部。
-R, --replace
chain rulenum rule-specification:替换指定的规则为新的规则。
-D, --delete
chain rulenum:根据规则编号删除规则。
-L,
--list [chain]:列出规则
匹配条件
通过几个关键的控制字,可以描述一个匹配的数据包。
-s,
--source address[/mask][,...]:检查报文的源IP地址是否符合此处指定的范围,或是否等于此处给定的地址
-d,
--destination address[/mask][,...]:检查报文的目标IP地址是否符合此处指定的范围,或是否等于此处给定的地址
-p,
--protocol protocol:匹配报文中的协议,可用值tcp, udp, udplite, icmp, icmpv6,esp, ah, sctp, mh 或者"all",
-i,
--in-interface name:限定报文仅能够从指定的接口流入,只能用在INPUT, FORWARD and PREROUTING这几个控制链上。
-o,
--out-interface name:限定报文仅能够从指定的接口流出,只能用在FORWARD, OUTPUT and POSTROUTING这几个控制链上。
在特定的协议下,还有一些扩展控制参数:
1:-p tcp:tcp协议场景下,可以使用
--source-port,--sportport[:port]描述源端口。
--destination-port,--dportport[:port]描述目标端口。
--tcp-flagsmask comp描述tcp控制标志位置。
2:-p udp:udp协议下,可使用以下控制参数
--source-port,--sportport[:port]描述源端口。
--destination-port,--dportport[:port]描述目标端口。
3:-p icmp:icmp协议下,可以使用以下控制参数
--icmp-type{type[/code]|typename}描述icmp消息类型
例如:0/0:echo reply或8/0:echo request。
此外,还可以通过匹配报文时间,报文包含的特定字符串对数据包进行匹配。
--timestart hh:mm[:ss]
--timestop hh:mm[:ss] 描述数据包的到达时间。
--algo {bm|kmp} --string pattern描述匹配到的字符串。
--algo {bm|kmp} --hex-string pattern 描述匹配到的16进制字符串。
--connlimit-upto n 匹配连接数目。
--connlimit-above n匹配连接数目。
--state
state限制收发包的状态(状态可以取INVALID,
ESTABLISHED, NEW, RELATED or UNTRACKED)。
扫一扫
1373
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
