iptables/netfilter入门

  iptables是Linux中的重要组件,它是对报文进行过滤,在2001年的1月Linux 2.4内核发布以来,就已经是Linux的一部分了。  
  现在的iptbales已经成为了功能很大的防火墙,具备了专有的商业防火墙的大多数的功能了。

1、防火墙简介

  防火墙是我们在外网接收数据进行过滤的第一道防线,也可能是最后一道防线,它是一个隔离工具,工作在主机或网络的边缘,对经由的报文根据预先定义好的规则或者说是识别标准进行检测,对于能够匹配到的报文则根据预先生成的规则进行处理的一套组件。防火墙也有分类,其分类主要以下两种:  
  硬件防火墙:主要在硬件级别上实现部分功能。  
  软件防火墙:主要在应用软件逻辑在通用硬件的基础上实现。

防火墙拓扑.png

2、iptables/netfilter简介

iptables是一个生成规则,可以保存到文件重载使用的一个用户命令,工作在应用层当中,它解析命令行并将防火墙策略传递给内核。而在netfilter中,它是一个防火墙的框架,将iptables的规则承载并生效,本身并不对数据包进行过滤,它只是允许可以过滤数据包的函数挂接到内核中适当位置。

3、规则链与策略

  众所周知,内核是面向硬件从而用来对硬件进行管理和驱动,它也有不同的功能,进程管理、内存功能、网络协议栈功能、安全功能、文件系统、驱动程序等。那么防火墙就工作在网络协议栈上,它是安全功能的一种,其功能在内核中共分为五个,分别是路由前(prerouting)、路由后(postrouting)、导入(input)、导出(output)和转发功能(forward)。使其规则生效,我们称之为钩子函数,工作在netfilter之上。我们可以自己定义一个规则链,而后手动关联至指定的钩子上,使其生效。  
  在iptables命令当中对以上功能是一样的,不过是要在netfilter当中生效,对于在iptables当中来说,我们称之为"规则链",我们自己定义规则是要写到上面去的,而每个链都有属于它的功能,其功能分为四个,我们称之为"表",优先级我们也是由高而低。分别是:

raw::关闭nat表上启用的链接追踪机制 
mangle:拆解报文,做出修改,而后重新封装
NAT:负责地址解析转换。修改数据包中的源、目标IP地址或端口
filter:对数据包进行过滤

  每一个功能对应一个钩子函数,分别是:

raw:prerouting、output 
mangle:prerouting、forward、postrouting、input、output nat:
prerouting、input、output、postrouting
filter:input、forward、output

默认的表和链的示意图.png

4、iptables命令使用

  我们知道,我们的操作都是在shell界面下来进行的,根本无法直接接触内核,对于防火墙来说也是一样,它也是有用户命令的,可以定义不同的表,每个表都包含几个内部的链,也能包含用户定义的链。
 每个链都是一个规则列表,对对应的包进行匹配:每条规则指定应当如何处 理与之相匹配的包。这被称作'target'(目标),也可以跳向同一个表内的用户定义的链。安装netfilter位于内核中的tcp/ip协议栈报文处理框架,对于iptables来说,在CentOS
 5/6中用来生成规则,可保存于文件中以反复装载生效。  
iptables的命令格式如下:

# iptables [-t table] COMMAND [chain] [PARAMETERS] [-m matchname [per-match-options]][-j targetname [per-target-options]]

  以上就是命令的格式,使用iptables管理时,都会有它的子命令,其子命令如下:  
  COMMANDs:  
  链管理:

-N, --new-chain chain    新建一个自定义的链 
-X, --delete-chain [chain]    删除用户自定义的引用计数器为0的链
-F, --flush [chain]    清空指定规则链上的规则 
-E, --rename-chain old-chain new-chain 重命名链
-Z, --zero [chain [rulenum]]    置零计数器 
-P, --policy chain target   设置规则链的默认值,默认值有:ACCEPT、DROP

  需要注意的是:每个规则都由两个计数器,一个是packets,它是被本规则所匹配到的所有报文的个数;另一个是bytes,被本规则所匹配到的所有报文的大小之和。

  除了链管理之外,还有规则管理以及规则显示,其子命令如下:  
规则管理:

-A, --append chain rule-specification   追加新规则与指定链的尾部 
-I, --insert chain [rulenum] rule-specification   插入新规则于指定链的指定位置,默认为首部 
-R, --replace chain rulenum rule-specification   替换指定的规则为新的规则 
-D, --delete chain rulenum   根据规则编号删除规则 
-D, --delete chain rule-specification   根据规则本身删除规则

  规则显示:

-L, --list [chain]    列出规则     
    -v, --verbose  详细信息    
    -n, --numberic  数字格式显示主机地址和端口号     
    -x,--exact    显示计数器的精确值     
    --line-numbers  列出规则时,显示其在链上的相应的编号 
-S, --list-rules [chain]  显示指定链上的所有规则

  以上就是对于子命令的规则介绍,但是添加添加规则时,还需考量一下因素:  
  1、实现的功能:用于判定规则添加至那个表中。  
  2、报文流经的位置:用于判定规则添加至那个链当中。  
  3、报文的流向:判断规则何为"源",何为"目标"。  
  4、匹配条件:用于编写正确的匹配规则,条件如下:  
    (1) 专用于某种应用的同类规则,匹配交小的放前面。  
    (2) 专用于某种应用的不用泪规则,匹配较大的放在后面。  
    (3) 用于通用目的的规则放在前面。  
  以上就是我们添加规则时所考量的因素,其中filter表就是防火墙的核心所在,那么在所有的规则编辑或者定义完成之后,自然少不了它的匹配条件,那么匹配条件也分为两种,一种是通用匹配和扩展匹配,另一种是跳转目标,归结如下:

[!] -s, --source address[/mask][,...]  检查报文的源IP地址是否镀铬此处指定的范围,或是否等于此处给定的地址。
[!] -d, --destination address[/mask][,...]  检查报文的目标IP地址是否符合此处的指定范围,或是否等于此处。 
[!] -p, --protocol protocol     匹配报文中的协议,可用值为tcp, udp, icmp等,或者"all",亦可以数字格式指明协议。 
-m, --match match  调用指定的扩展匹配模块来匹配条件检查机制。 
[!] -i, --in-interface name  限定报文仅能够从指定的接口流入。
[!] -o, --out-interface name  限定报文仅能够从指定的接口流出。

  以上就是通用匹配,接下来介绍跳转目标,选项为-j,那么跳转目标每个意义都不一样,归结如下:  
  1、ACCEPT允许通过。  
  2、LOG:记录日志信息。  
  3、REJECT:拒绝通过,给出提示。  
  4、DROP:直接丢弃,不给出任何回应。  
  其中REJECT和DROP的操作都是将数据包拒绝,但REJECT会再回复一条“您的信息我已收到,但被扔掉了”,那通过ping命令测试REJECT如下:

[root@localhost ~]# ping -c 4 192.168.10.10 
PING 192.168.10.10 (192.168.10.10)56(84) bytes of data.
From 192.168.10.10 icmp_seq=1 Destination Port Unreachable
From 192.168.10.10 icmp_seq=2 Destination Port Unreachable 
From 192.168.10.10 icmp_seq=3 Destination Port Unreachable 
From 192.168.10.10 icmp_seq=4 Destination Port Unreachable 
--- 192.168.10.10 ping statistics --- 
4 packets transmitted, 0 received, +4 errors, 100% packet loss, time 3002ms

  好的,对于选项的匹配规则注意事项已经介绍的差不多了,那么接下来我们该做一小例子了,在做试验要注意一点,都必须将22好端口开启通过,不然的话,你的远程会话就连接不上去了。  
在下一篇当中我们接触iptables进阶。

原创文章,作者:刘 祥宇,如若转载,请注明出处:http://www.178linux.com/67309

(0)
上一篇 2017-01-30 11:22
下一篇 2017-01-31 12:08

相关推荐

  • 编译安装httpd

    编译安装httpd   1 去官网下载源码包                                      为避免非法软件,一定要去官网下载http…

    2017-04-24
  • btrfs初步应用

    前言 一种技术要知其然,还要知其所以然。 Btrfs文件系统 Btrfs(B-tree文件系统,通常念成Butter FS,Better FS或B-tree FS),一种支持写入时复制(COW)的文件系统,运行在Linux操作系统,采用GPL授权。Oracle于2007年对外宣布这项计划,并发布源代码,在2014年8月发布稳定版目标是替换Linux目前的ex…

    Linux干货 2016-05-22
  • 文件的从属权限和特殊权限

    基础权限   rwx     经过今天的洗礼,了解了文件的权限位(rwx),而权限对于目录和文件有着不同的意义     使用ls -l 命令后可以看到     -rw-r–r–. 1 root root 1…

    Linux干货 2016-08-04
  • 数组的基本应用

                                   数组 变量:存储单个元素的内存空间v 数组:存储多个元素的连续的内存空间,相当于多个变量的集合。v 数组名和索引 索引:编号从0…

    Linux干货 2016-08-24
  • vim编辑器

    vim编辑器 vi:Vistual Interface,是一种文本编辑器,所谓文本编辑器就是基于字符编码的文件,常见的编码有ASCLL编码,UNICODE编码。 vim:即vi IMproved:vi的增强版,可以使用颜色或者底线等方式来显示一些特殊信息,是模式化的编辑。 文本编辑器的种类 行编辑器:所谓行编辑器就是一行一行来编辑处理的工具,如sed 全屏编…

    Linux干货 2016-08-15
  • bash的工作特性之命令执行状态返回值和命令行展开

    bash特性之一:命令别名 将一个命令用其他名字来代替,可以用别名来简化操作。 获取当前用户可用的别名的定义: ~]#alias NAME=’COMMAND’ bash的特性之二:命令历史 shell进程会保存其会话中用户曾经执行过的命令;命令通过其“历史文件”来持久保存此前执行过的命令;每个用户都有其自己专用的历史文件; HISTSIZE:shell进程的…

    Linux干货 2016-11-06