防火牆iptable的原理

原創 xinyuan0214 2020-02-21 18:50

1. netfilter與iptables

Netfilter是由Rusty Russell提出的Linux 2.4內核防火牆框架,該框架既簡潔又靈活,可實現安全策略應用中的許多功能,如數據包過濾、數據包處理、地址僞裝、透明代理、動態網絡地址轉換(Network Address Translation,NAT),以及基於用戶及媒體訪問控制(Media Access Control,MAC)地址的過濾和基於狀態的過濾、包速率限制等。Iptables/Netfilter的這些規則可以通過靈活組合,形成非常多的功能、涵蓋各個方面,這一切都得益於它的優秀設計思想。

Netfilter是Linux操作系統核心層內部的一個數據包處理模塊,它具有如下功能:

  • 網絡地址轉換(Network Address Translate)
  • 數據包內容修改
  • 以及數據包過濾的防火牆功能

Netfilter 平臺中制定了數據包的五個掛載點(Hook Point,我們可以理解爲回調函數點,數據包到達這些位置的時候會主動調用我們的函數,使我們有機會能在數據包路由的時候改變它們的方向、內容),這5個掛載點分別是PRE_ROUTINGINPUTOUTPUTFORWARDPOST_ROUTING

Netfilter 所設置的規則是存放在內核內存中的,而 iptables 是一個應用層的應用程序,它通過 Netfilter 放出的接口來對存放在內核內存中的 XXtables(Netfilter的配置表)進行修改。這個XXtables由表tables、鏈chains、規則rules組成,iptables在應用層負責修改這個規則文件。類似的應用程序還有 firewalld 。

1.1 filter、nat、mangle等規則表

filter表

主要用於對數據包進行過濾,根據具體的規則決定是否放行該數據包(如DROP、ACCEPT、REJECT、LOG)。filter 表對應的內核模塊爲iptable_filter,包含三個規則鏈:

  • INPUT鏈:INPUT針對那些目的地是本地的包
  • FORWARD鏈:FORWARD過濾所有不是本地產生的並且目的地不是本地(即本機只是負責轉發)的包
  • OUTPUT鏈:OUTPUT是用來過濾所有本地生成的包

nat表

主要用於修改數據包的IP地址、端口號等信息(網絡地址轉換,如SNAT、DNAT、MASQUERADE、REDIRECT)。屬於一個流的包(因爲包
的大小限制導致數據可能會被分成多個數據包)只會經過這個表一次。如果第一個包被允許做NAT或Masqueraded,那麼餘下的包都會自動地被做相同的操作,也就是說,餘下的包不會再通過這個表。表對應的內核模塊爲 iptable_nat,包含三個鏈:

  • PREROUTING鏈:作用是在包剛剛到達防火牆時改變它的目的地址
  • OUTPUT鏈:改變本地產生的包的目的地址
  • POSTROUTING鏈:在包就要離開防火牆之前改變其源地址

mangle表

主要用於修改數據包的TOS(Type Of Service,服務類型)、TTL(Time To Live,生存週期)指以及爲數據包設置Mark標記,以實現Qos(Quality Of Service,服務質量)調整以及策略路由等應用,由於需要相應的路由設備支持,因此應用並不廣泛。包含五個規則鏈——PREROUTING,POSTROUTING,INPUT,OUTPUT,FORWARD。

raw表

是自1.2.9以後版本的iptables新增的表,主要用於決定數據包是否被狀態跟蹤機制處理。在匹配數據包時,raw表的規則要優先於其他表。包含兩條規則鏈——OUTPUT、PREROUTING

iptables中數據包和4種被跟蹤連接的4種不同狀態:

  • NEW:該包想要開始一個連接(重新連接或將連接重定向)
  • RELATED:該包是屬於某個已經建立的連接所建立的新連接。例如:FTP的數據傳輸連接就是控制連接所 RELATED出來的連接。--icmp-type 0 ( ping 應答) 就是--icmp-type 8 (ping 請求)所RELATED出來的。
  • ESTABLISHED :只要發送並接到應答,一個數據連接從NEW變爲ESTABLISHED,而且該狀態會繼續匹配這個連接的後續數據包。
  • INVALID:數據包不能被識別屬於哪個連接或沒有任何狀態比如內存溢出,收到不知屬於哪個連接的ICMP錯誤信息,一般應該DROP這個狀態的任何數據。

1.2 INPUT、FORWARD等規則鏈和規則

在處理各種數據包時,根據防火牆規則的不同介入時機,iptables供涉及5種默認規則鏈,從應用時間點的角度理解這些鏈:

  • INPUT鏈:當接收到防火牆本機地址的數據包(入站)時,應用此鏈中的規則。
  • OUTPUT鏈:當防火牆本機向外發送數據包(出站)時,應用此鏈中的規則。
  • FORWARD鏈:當接收到需要通過防火牆發送給其他地址的數據包(轉發)時,應用此鏈中的規則。
  • PREROUTING鏈:在對數據包作路由選擇之前,應用此鏈中的規則,如DNAT。
  • POSTROUTING鏈:在對數據包作路由選擇之後,應用此鏈中的規則,如SNAT。

防火牆處理數據包的方式(規則):

  • ACCEPT:允許數據包通過
  • DROP:直接丟棄數據包,不給任何迴應信息

  • REJECT:拒絕數據包通過,必要時會給數據發送端一個響應的信息。

  • SNAT:源地址轉換。在進入路由層面的route之前,重新改寫源地址,目標地址不變,並在本機建立NAT表項,當數據返回時,根據NAT表將目的地址數據改寫爲數據發送出去時候的源地址,併發送給主機。解決內網用戶用同一個公網地址上網的問題。
    MASQUERADE,是SNAT的一種特殊形式,適用於像adsl這種臨時會變的ip上

  • DNAT:目標地址轉換。和SNAT相反,IP包經過route之後、出本地的網絡棧之前,重新修改目標地址,源地址不變,在本機建立NAT表項,當數據返回時,根據NAT表將源地址修改爲數據發送過來時的目標地址,併發給遠程主機。可以隱藏後端服務器的真實地址。
    REDIRECT:是DNAT的一種特殊形式,將網絡包轉發到本地host上(不管IP頭部指定的目標地址是啥),方便在本機做端口轉發。

  • LOG:在/var/log/messages文件中記錄日誌信息,然後將數據包傳遞給下一條規則

除去最後一個LOG,前3條規則匹配數據包後,該數據包不會再往下繼續匹配了,所以編寫的規則順序極其關鍵。

2. Linux數據包路由原理

我們已經知道了Netfilter和Iptables的架構和作用,並且學習了控制Netfilter行爲的Xtables表的結構,那麼這個Xtables表是怎麼在內核協議棧的數據包路由中起作用的呢?

網口數據包由底層的網卡NIC接收,通過數據鏈路層的解包之後(去除數據鏈路幀頭),就進入了TCP/IP協議棧(本質就是一個處理網絡數據包的內核驅動)和Netfilter混合的數據包處理流程中了。數據包的接收、處理、轉發流程構成一個有限狀態向量機,經過一些列的內核處理函數、以及Netfilter Hook點,最後被轉發、或者本次上層的應用程序消化掉。是時候看這張圖了:

從上圖中,我們可以總結出以下規律:

  • 當一個數據包進入網卡時,數據包首先進入PREROUTING鏈,在PREROUTING鏈中我們有機會修改數據包的DestIP(目的IP),然後內核的"路由模塊"根據"數據包目的IP"以及"內核中的路由表"判斷是否需要轉送出去(注意,這個時候數據包的DestIP有可能已經被我們修改過了)
  • 如果數據包就是進入本機的(即數據包的目的IP是本機的網口IP),數據包就會沿着圖向下移動,到達INPUT鏈。數據包到達INPUT鏈後,任何進程都會-收到它
  • 本機上運行的程序也可以發送數據包,這些數據包經過OUTPUT鏈,然後到達POSTROTING鏈輸出(注意,這個時候數據包的SrcIP有可能已經被我們修改過了)
  • 如果數據包是要轉發出去的(即目的IP地址不再當前子網中),且內核允許轉發,數據包就會向右移動,經過FORWARD鏈,然後到達POSTROUTING鏈輸出(選擇對應子網的網口發送出去)

我們在寫Iptables規則的時候,要時刻牢記這張路由次序圖,根據所在Hook點的不同,靈活配置規則。

3. iptables編寫規則

命令格式:

  • [-t 表名]:該規則所操作的哪個表,可以使用filter、nat等,如果沒有指定則默認爲filter
  • -A:新增一條規則,到該規則鏈列表的最後一行
  • -I:插入一條規則,原本該位置上的規則會往後順序移動,沒有指定編號則爲1
  • -D:從規則鏈中刪除一條規則,要麼輸入完整的規則,或者指定規則編號加以刪除
  • -R:替換某條規則,規則替換不會改變順序,而且必須指定編號。
  • -P:設置某條規則鏈的默認動作
  • -nL-L-n,查看當前運行的防火牆規則列表
  • chain名:指定規則表的哪個鏈,如INPUT、OUPUT、FORWARD、PREROUTING等
  • [規則編號]:插入、刪除、替換規則時用,--line-numbers顯示號碼
  • [-i|o 網卡名稱]:i是指定數據包從哪塊網卡進入,o是指定數據包從哪塊網卡輸出
  • [-p 協議類型]:可以指定規則應用的協議,包含tcp、udp和icmp等
  • [-s 源IP地址]:源主機的IP地址或子網地址
  • [--sport 源端口號]:數據包的IP的源端口號
  • [-d目標IP地址]:目標主機的IP地址或子網地址
  • [--dport目標端口號]:數據包的IP的目標端口號
  • -m:extend matches,這個選項用於提供更多的匹配參數,如:

    • -m state --state ESTABLISHED,RELATED
    • -m tcp --dport 22
    • -m multiport --dports 80,8080
    • -m icmp --icmp-type 8
  • <-j 動作>:處理數據包的動作,包括ACCEPT、DROP、REJECT等

具體實例請參考 iptables常用實例備查

參考

xinyuan0214
發佈了64 篇原創文章 · 獲贊 69 · 訪問量 34萬+
私信 關注
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

vsftp無法使用root登錄

防火牆關閉(service iptables stop)vsftp開啓 (service vsftpd start) 開啓了root上傳權限 但是連接的時候報錯:(vsftpd下面ftpuser 和 user_list  把root註釋

bypeng 2020-07-08 08:57:18

幾項有趣的服務

今天又發現了幾項有趣的服務。 噹噹噹,第一項便是和GMail有關的,GMail Icon Generator。 這是NeoHacks提供的一項GMail圖標生成服務,點這裏進去,在文本輸入框輸入你的Gmail賬號(不要輸入@Gmail.c

smile2me27 2020-07-08 07:33:08

RedHat Linux 9.0安裝圖解

第1步:第一步:選擇安裝方式。 1、圖形安裝(直接回車) 2、文本安裝(輸入 linux text)    相關評論 作者: Linux培訓部長 發佈日期: 2006-2-21 第2步:選擇“OK”爲檢查光盤 選擇“

qhd_whm 2020-07-08 07:03:30

java練接oracle 10g數據庫

我本以爲用java連接oracle和連接sql server(以前我用的是sql server)一樣,今天我就是編寫了一個連接oracle的程序。可是在運行是一直出錯,這是爲什麼呢?剛開始報不能建立連接。我檢查oracle監聽是否啓動,可

被世界遗忘的角落 2020-07-08 01:51:56

VMware安裝Linux 與本機共享ADSL上網

操作系統:win7 旗艦版 64 bit 虛擬機:Vmware workstation 8 Linux 操作系統:Redhat Linux 5.5 服務器版 選用的共享上網方式:本機 win7 使用ADSL 上網方式,虛擬機使用NAT 方

PANGDD 2020-07-08 01:38:21

讓收費網站去死吧,用google 突破 下載

讓收費網站去死吧,用google 突破 下載首先打開google,在關鍵詞輸入框中輸入"index of/"inurl:lib(雙引號爲英文狀態下),

jkxsanger 2020-07-08 01:36:18

iptables入門教程--設置靜態防火牆

1、iptables介紹 iptables是複雜的,它集成到linux內核中。用戶通過iptables,可以對進出你的計算機的數據包進行過濾。通過iptables命令設置你的規則,來把守你的計算機網絡──哪些數據允許通過,哪些不能通過,哪

xmq_666 2020-07-07 23:55:25

對設計網絡防火牆需考慮的注意事項

設計輸入防火牆檢查傳入 IP 數據包並且阻止那些它檢測爲入侵性質的數據包。可以通過在默認情況下將某些數據包標識爲非法的來完成某些阻擋。或者,也可以將防火牆配置爲阻止某些數據包。TCP/IP 協議是許多年前設計的,沒有考慮到任何有關竊取或入

cnlx 2020-07-07 17:47:18

使用ntpdate中遇到的一種特殊情況

在使用ntpdate命令的時候,遇到了這麼一種情況,提示 Operation not permitted   在這裏,我找了原因是因爲這臺機器,由於以前發現程序異常,在局域網內瘋狂發包,所以運維人員加了一條防火牆限制 -A OUTPUT

zhsh87 2020-07-07 11:17:03

人工智能技術在網絡安全中的作用

下一代網絡安全威脅需要機敏和智能的程序,它們可以快速適應新的和無法預料的攻擊。網絡安全專家認可了AI和機器學習應對挑戰的能力,他們其中大多數人認爲這對未來網絡安全是至關重要的。 人工智能技術在網絡安全中的作用   爲什麼網絡安全如此重

1 2020-07-07 04:41:53

linux運維開發(一)----------防火牆

解決問題: Linux是系統部署常用的系統,但是經常由於我們忘記防火牆的存在導致訪問失敗,爲了解決這個問題,我們需要對防火牆進行關閉操作,對於常見的系統我們提供了以下幾種解決方式: centos 7: 暴力解決 ------ 整

xiaofengbuhuimai 2020-07-07 03:51:26

PHP利用FTP上傳文件連接超時之開啓被動模式解決方法

PHP利用FTP上傳文件連接超時之開啓被動模式解決方法參考文章: (1)PHP利用FTP上傳文件連接超時之開啓被動模式解決方法 (2)https://www.cnblogs.com/edevelop/p/6972018.html 備忘一下

dearbaba_8520 2020-07-06 21:28:09

一個安全策略包

一個WINDOWS的安全策略包,能讓WINDOWS防火牆的安全性大大的增強,不會用的可以來找我 下載地址

WaydeTang 2020-07-06 21:15:21

最新軟件下載

KooMail 2.5 簡體中文版 (9月9日)U-Mail 8.18 For MDaemon Se...(9月9日)卡巴斯基反病毒 5.0.383 正式註冊版 (9月9日)Symantec AntiVirus 10 企業版客...(9月

cndgm 2020-07-06 19:29:14

linux下使用samba上傳文件夾和映射samba目錄爲windows下的目錄以及使用source insight查看Linux工程的問題

剛纔朋友遇到了問題,如何在windows下把samba目錄映射成windows的一個磁盤,還有就是他的samba爲什麼不能上傳目錄. 今天把這連個問題的解決方法寫出來,希望遇到同樣問題的人,能夠提供些幫助. 問題1:如何映

junkor 2020-07-06 14:34:44