iptables防火墻原理詳解
1. netfilter與iptables
Netfilter是由Rusty Russell提出的Linux 2.4內核防火墻框架,該框架既簡潔又靈活,可實現安全策略應用中的許多功能,如數據包過濾、數據包處理、地址偽裝、透明代理、動態網絡地址轉換 (Network Address Translation,NAT),以及基于用戶及媒體訪問控制(Media Access Control,MAC)地址的過濾和基于狀態的過濾、包速率限制等。Iptables/Netfilter的這些規則可以通過靈活組合,形成非常多的功 能、涵蓋各個方面,這一切都得益于它的優秀設計思想。
Netfilter是Linux操作系統核心層內部的一個數據包處理模塊,它具有如下功能:
- 網絡地址轉換(Network Address Translate)
- 數據包內容修改
- 以及數據包過濾的防火墻功能
Netfilter 平臺中制定了數據包的五個掛載點(Hook Point,我們可以理解為回調函數點,數據包到達這些位置的時候會主動調用我們的函數,使我們有機會能在數據包路由的時候改變它們的方向、內容),這5個掛載點分別是PRE_ROUTING、INPUT、OUTPUT、FORWARD、POST_ROUTING。
Netfilter 所設置的規則是存放在內核內存中的,而 iptables 是一個應用層的應用程序,它通過 Netfilter 放出的接口來對存放在內核內存中的 XXtables(Netfilter的配置表)進行修改。這個XXtables由表tables、鏈chains、規則rules組成,iptables在應用層負責修改這個規則文件。類似的應用程序還有 firewalld 。
1.1 filter、nat、mangle等規則表
filter表
主要用于對數據包進行過濾,根據具體的規則決定是否放行該數據包(如DROP、ACCEPT、REJECT、LOG)。filter 表對應的內核模塊為iptable_filter,包含三個規則鏈:
- INPUT鏈:INPUT針對那些目的地是本地的包
- FORWARD鏈:FORWARD過濾所有不是本地產生的并且目的地不是本地(即本機只是負責轉發)的包
- OUTPUT鏈:OUTPUT是用來過濾所有本地生成的包
nat表
主要用于修改數據包的IP地址、端口號等信息(網絡地址轉換,如SNAT、DNAT、MASQUERADE、REDIRECT)。屬于一個流的包 (因為包的大小限制導致數據可能會被分成多個數據包)只會經過這個表一次。如果第一個包被允許做NAT或Masqueraded,那么余下的包都會自動地 被做相同的操作,也就是說,余下的包不會再通過這個表。表對應的內核模塊為 iptable_nat,包含三個鏈:
- PREROUTING鏈:作用是在包剛剛到達防火墻時改變它的目的地址
- OUTPUT鏈:改變本地產生的包的目的地址
- POSTROUTING鏈:在包就要離開防火墻之前改變其源地址
mangle表
主要用于修改數據包的TOS(Type Of Service,服務類型)、TTL(Time To Live,生存周期)指以及為數據包設置Mark標記,以實現Qos(Quality Of Service,服務質量)調整以及策略路由等應用,由于需要相應的路由設備支持,因此應用并不廣泛。包含五個規則鏈—— PREROUTING,POSTROUTING,INPUT,OUTPUT,FORWARD。
raw表
是自1.2.9以后版本的iptables新增的表,主要用于決定數據包是否被狀態跟蹤機制處理。在匹配數據包時,raw表的規則要優先于其他表。包含兩條規則鏈——OUTPUT、PREROUTING
iptables中數據包和4種被跟蹤連接的4種不同狀態:
- NEW:該包想要開始一個連接(重新連接或將連接重定向)
- RELATED:該包是屬于某個已經建立的連接所建立的新連接。例如:FTP的數據傳輸連接就是控制連接所 RELATED出來的連接。--icmp-type 0( ping 應答) 就是--icmp-type 8(ping 請求)所RELATED出來的。
- ESTABLISHED:只要發送并接到應答,一個數據連接從NEW變為ESTABLISHED,而且該狀態會繼續匹配這個連接的后續數據包。
- INVALID:數據包不能被識別屬于哪個連接或沒有任何狀態比如內存溢出,收到不知屬于哪個連接的ICMP錯誤信息,一般應該DROP這個狀態的任何數據。
1.2 INPUT、FORWARD等規則鏈和規則
在處理各種數據包時,根據防火墻規則的不同介入時機,iptables供涉及5種默認規則鏈,從應用時間點的角度理解這些鏈:
- INPUT鏈:當接收到防火墻本機地址的數據包(入站)時,應用此鏈中的規則。
- OUTPUT鏈:當防火墻本機向外發送數據包(出站)時,應用此鏈中的規則。
- FORWARD鏈:當接收到需要通過防火墻發送給其他地址的數據包(轉發)時,應用此鏈中的規則。
- PREROUTING鏈:在對數據包作路由選擇之前,應用此鏈中的規則,如DNAT。
- POSTROUTING鏈:在對數據包作路由選擇之后,應用此鏈中的規則,如SNAT。
防火墻處理數據包的方式(規則):
- ACCEPT:允許數據包通過
- DROP:直接丟棄數據包,不給任何回應信息
-
REJECT:拒絕數據包通過,必要時會給數據發送端一個響應的信息。
-
SNAT:源地址轉換。在進入路由層面的route之前,重新改寫源地址,目標地址不變,并在本機建立NAT表項,當數據返回時,根據NAT表將目的地址數據改寫為數據發送出去時候的源地址,并發送給主機。解決內網用戶用同一個公網地址上網的問題。
MASQUERADE,是SNAT的一種特殊形式,適用于像adsl這種臨時會變的ip上
-
DNAT:目標地址轉換。和SNAT相反,IP包經過route之后、出本地的網絡棧之前,重新修改目標地址,源地址不變,在本機建立NAT表項,當數據返回時,根據NAT表將源地址修改為數據發送過來時的目標地址,并發給遠程主機。可以隱藏后端服務器的真實地址。
REDIRECT:是DNAT的一種特殊形式,將網絡包轉發到本地host上(不管IP頭部指定的目標地址是啥),方便在本機做端口轉發。
-
LOG:在/var/log/messages文件中記錄日志信息,然后將數據包傳遞給下一條規則
除去最后一個LOG,前3條規則匹配數據包后,該數據包不會再往下繼續匹配了,所以編寫的規則順序極其關鍵。
2. Linux數據包路由原理
我們已經知道了Netfilter和Iptables的架構和作用,并且學習了控制Netfilter行為的Xtables表的結構,那么這個Xtables表是怎么在內核協議棧的數據包路由中起作用的呢?
網口數據包由底層的網卡NIC接收,通過數據鏈路層的解包之后(去除數據鏈路幀頭),就進入了TCP/IP協議棧(本質就是一個處理網絡數據包 的內核驅動)和Netfilter混合的數據包處理流程中了。數據包的接收、處理、轉發流程構成一個有限狀態向量機,經過一些列的內核處理函數、以及 Netfilter Hook點,最后被轉發、或者本次上層的應用程序消化掉。是時候看這張圖了:
<p> 從上圖中,我們可以總結出以下規律: </p>
<ul>
<li> 當一個數據包進入網卡時,數據包首先進入PREROUTING鏈,在PREROUTING鏈中我們有機會修改數據包的DestIP(目的 IP),然后內核的"路由模塊"根據"數據包目的IP"以及"內核中的路由表"判斷是否需要轉送出去(注意,這個時候數據包的DestIP有可能已經被我 們修改過了) </li>
<li> 如果數據包就是進入本機的(即數據包的目的IP是本機的網口IP),數據包就會沿著圖向下移動,到達INPUT鏈。數據包到達INPUT鏈后,任何進程都會-收到它 </li>
<li> 本機上運行的程序也可以發送數據包,這些數據包經過OUTPUT鏈,然后到達POSTROTING鏈輸出(注意,這個時候數據包的SrcIP有可能已經被我們修改過了) </li>
<li> 如果數據包是要轉發出去的(即目的IP地址不再當前子網中),且內核允許轉發,數據包就會向右移動,經過FORWARD鏈,然后到達POSTROUTING鏈輸出(選擇對應子網的網口發送出去) </li>
</ul>
<p> 我們在寫Iptables規則的時候,要時刻牢記這張路由次序圖,根據所在Hook點的不同,靈活配置規則。 </p>
<h2> 3. iptables編寫規則 </h2>
<div>
<p> 命令格式: </p>
<img src="https://simg.open-open.com/show/9780fd86f2b7ae8fcbe22d40296acb97.png" alt="iptables防火墻原理詳解" width="612" height="221" />
</div>
<ul>
<li> [-t 表名]:該規則所操作的哪個表,可以使用filter、nat等,如果沒有指定則默認為filter </li>
<li> -A:新增一條規則,到該規則鏈列表的最后一行 </li>
<li> -I:插入一條規則,原本該位置上的規則會往后順序移動,沒有指定編號則為1 </li>
<li> -D:從規則鏈中刪除一條規則,要么輸入完整的規則,或者指定規則編號加以刪除 </li>
<li> -R:替換某條規則,規則替換不會改變順序,而且必須指定編號。 </li>
<li> -P:設置某條規則鏈的默認動作 </li>
<li> -nL:-L、-n,查看當前運行的防火墻規則列表 </li>
<li> chain名:指定規則表的哪個鏈,如INPUT、OUPUT、FORWARD、PREROUTING等 </li>
<li> [規則編號]:插入、刪除、替換規則時用,--line-numbers顯示號碼 </li>
<li> [-i|o 網卡名稱]:i是指定數據包從哪塊網卡進入,o是指定數據包從哪塊網卡輸出 </li>
<li> [-p 協議類型]:可以指定規則應用的協議,包含tcp、udp和icmp等 </li>
<li> [-s 源IP地址]:源主機的IP地址或子網地址 </li>
<li> [--sport 源端口號]:數據包的IP的源端口號 </li>
<li> [-d目標IP地址]:目標主機的IP地址或子網地址 </li>
<li> [--dport目標端口號]:數據包的IP的目標端口號 </li>
<li> -m:extend matches,這個選項用于提供更多的匹配參數,如: <br />
<ul>
<li> -m state --state ESTABLISHED,RELATED </li>
<li> -m tcp --dport 22 </li>
<li> -m multiport --dports 80,8080 </li>
<li> -m icmp --icmp-type 8 </li>
</ul>
</li>
<li> <-j 動作>:處理數據包的動作,包括ACCEPT、DROP、REJECT等 </li>
</ul>
<p> 具體實例請參考 <a href="/misc/goto?guid=4959626522191549981">iptables常用實例備查</a> 。 </p>
<h4> 參考 </h4>
<ul>
<li> <a href="/misc/goto?guid=4959626522276375790">wikipedia iptables</a> (里面有張原理圖片值得收藏) </li>
<li> 2小時玩轉iptables企業版.ppt (網上可下) </li>
<li> <a href="/misc/goto?guid=4959626522356610592">netfilter/iptables documentation</a> </li>
</ul>
<p> 原文鏈接地址: <a href="/misc/goto?guid=4959626522435627686">http://seanlook.com/2014/02/23/iptables-understand/</a> </p>
</div>
</div>