​iptables简单介绍

iptables简单介绍


什么是防火墙?

防火墙是工作在主机或网络边缘,能够对其所匹配到的报文根据事先定义好的规则作出相应处理的组件,可以是软件,也可以是硬件,还能软硬结合实现。

UNIX/Linux中对防火墙的实现

早期在openBSD中通过内核中的ipfw实现简单的数据报过滤功能、后来在Linux 2.2内核中使用ipchains来取代,意为链、后来在Linux 2.4内核中被iptables所取代,意为表。

netfilter/iptables原理

事实上Linux 2.6实现防火墙是通过内核中的netfilter框架完成的,iptables其实不止指的是一个在用户空间的应用程序,其实还是内核中的一个存放特定规则的模块,所以iptables的全称应该为netfilter/iptables

netfilter的钩子函数

网络防火墙一般都设置在整个网络的边缘,才能对所有出入的数据报进行分析和进行相应的处理,作为一个主机防火墙应该在数据报文出入主机时在TCP/IP协议栈的特定位置对数据报文进行拦截并执行对应动作,那么在netfilter架构中分别有五个位置可以作为防火墙的拦截点,我们称它们为hook function(钩子函数)。

数据流经过netfilter大致路程图

下载.png

四表五链

五链

PREROUTING

数据报文进入TCP/IP协议栈路由选择前会被PREROUTING“钩”住,分析其数据包对其相应操作,注意PREROUTING链不能对数据包进行过滤,PREROUTING链是整个netfilter框架中的第一关

INPUT

通过PREROUTING后进行路由选择如果数据包是进入本机内部,则转发到INPUT链,INPUT链能够通过实现定义好的规则对数据包进行筛选如果被匹配则执行相应动作,INPUT链可以对数据包进行过滤,INPUT链是数据报文进入用户空间的必经之路

FORWARD

通过PREROUTING后进行路由选择如果数据包只是通过本机进行转发,则转发到FORWARD链,FORWARD链能够通过事先定义好的规则对数据包进行匹配检查并执行相应动作,INPUT链可以对数据包进行过滤,正是有了FORWARDiptables才能够作为一个网络防火墙运行在网络边缘对进出网络的数据报文进行过滤

OUTPUT

数据包从用户空间的进程通过路由选择特定的网卡接口后转到OUTPUT链,OUTPUT链能够通过实现定义好的规则对数据报文进行匹配检查并执行相应动作,OUTPUT链可以对数据包进行过滤

POSTROUTING

数据包从OUTPUTFORWARD转发而来,到达netfilter框架中的最后一关,分析数据包并执行对应动作,和POSTROUTING一样不能对数据包进行过滤

四表

iptables之所以被称为iptables是其过滤数据包的规则是通过四张表的来定义

filter

整个iptables最关键的表,实现数据包的过滤,可以由INPUT,FORWARD,OUTPUT这三个能够实现过滤功能的链组成

nat

学过网络的同学应该都知道NAT(Network Address Translation)网络地址转换,正是应为有了这项技术才使得我们现今还能够有IPv4可以使用,在iptables中也可以实现NAT的相关功能, 例如SNAT, DNAT, MASQUERADE等功能,nat表可以由PREROUTING, FORWARD, POSTROUTING组成

mangle

mangle可以对匹配到的报文的数据报进行拆解,做出修改,重新封装等操作,一般我们用的很少,五个链都能实现mangle的功能

raw

raw关闭NAT的连接追踪机制,防止在高并发的访问下服务器的内存溢出导致故障,可由PREROUTING,OUTPUT实现

定义规则的”潜规则”

添加规则时的考量点

  1. 实现哪些功能: 判断添加在哪张表上

  2. 报文的流经路径: 判断添加在哪个链上

链上规则的次序

1.同类规则(访问同一程序),匹配范围小的放在上面 
2.不同类的规则(访问不同应用), 匹配到报文频率高的放上面 
3.将那些可由一条规则描述的多个规则合并成一个 
4.设置默认策略

总结

本文只对iptables进行原理方面的简单介绍,作者水平不高,如果发现错误还望海涵并及时通知我,在这里不胜感激。 
作者:AnyISalIn 
感谢:MageEdu

原创文章,作者:Net18-AnyISalIn,如若转载,请注明出处:http://www.178linux.com/13943

(0)
Net18-AnyISalInNet18-AnyISalIn
上一篇 2016-03-31 18:24
下一篇 2016-03-31 22:40

相关推荐

  • 马哥教育网络班21期-第十周课程练习​

    1、请详细描述CentOS系统的启动流程(详细到每个过程系统做了哪些事情)流程顺序:POST(加电自检) –> BootSequence (BIOS) –> Bootloader(MBR) –> kernel(ramdisk) –> rootfs(只读方式) –> sw…

    Linux干货 2016-09-26
  • rpm实现LAMP

    rpm实现LAMP部署 LAMP概述 LAMP指的Linux(操作系统)、ApacheHTTP 服务器,MySQL(有时也指MariaDB,数据库软件) 和PHP(有时也是指Perl或Python) 的第一个字母,一般用来建立web应用平台。常用来搭建动态网站或者服务器的开源软件,本身都是各自独立的程序,但是因为常被放在一起使用,拥有了越来越高的兼容度,共同…

    Linux干货 2016-11-02
  • 马哥教育网络班22期+第1周课程练习

    1.描述计算机的组成及其功能。    组成:CPU (运算器+控制器),存诸器(内存与硬盘),输入设备,输出设备。    运算器:对数据进行加工处理的部件(包括算述运算与逻辑运算)。    控制器:负责从存储器取出指令,按指令的要求发出控制信号,使各部件协调的,一步步的完成各种操作。   …

    Linux干货 2016-08-22
  • linux常见文件管理类命令

    1、文件管理类命令主要有mkdir、rmdir、cp、mv、rm等 mkdir:make directory创建文件夹 -p:自动按需创建父目录 -v:显示创建过程 -m:创建时给定文件夹权限 创建层级文件夹时,需保证上一级目录存在,否则会报错,例如   创建层级文件夹时,可以加上-p选项,递归创建不存在的上级目录,例如   rmdir:删除文件夹 -p:删…

    2017-12-10
  • 请使用命令行展开功能来完成以下练习

    (1)、创建/tmp目录下的:ac, ad, bc, bd ]# mkdir -p /tmp/{a,b}_{c,d} 或者: ]# touch /tmp/{a,b}_{c,d} (2)、创建/tmp/mylinux目录下的: ]# mkdir -pv /tmp/mylinux/{bin,boot/gtub,dev,etc/{rc.d/init.d,sysco…

    Linux干货 2016-11-06
  • Linux基础之软件包管理

    一.概述 在redhat系列的发行版中,采用rpm软件包管理器,rpm原名是Red Hat Package Manager,后来当其他发行版也采用这种软件包管理机制以后,重新命名,改为RPM Package Manager,它所能提供的功能是将编译好的应用程序文件打包成一个或几个程序文件,从而使得用户能够方便的安装,升级,卸载软件,而yum则是rpm包管理器…

    Linux干货 2016-11-16