netfilter/iptables 基础入门

netfilter/iptables 基础入门

Firewall防火墙的实现方式

netfilter/iptables 基础入门

什么是netfilter? 

      Netfilter是由Linux内核提供的框架,允许以定制处理程序的形式实现各种与网络相关的操作。Netfilter为包过滤,网络地址转换和端口转换提供各种功能和操作,它们提供了通过网络引导数据包所需的功能,以及提供禁止数据包到达计算机网络中敏感位置的能力。

       Netfilter代表Linux内核中的一组钩子,允许特定的内核模块使用内核的网络堆栈注册回调函数。这些功能,通常以过滤和修改规则的形式应用于流量,是针对穿过网络堆栈中相应钩子的每个数据包进行调用的

什么是iptables?

        iptables 是一个配置 Linux 内核 防火墙 的命令行工具,是 netfilter 项目的一部分。术语 iptables 也经常代指该内核级防火墙。iptables 可以直接配置,也可以通过许多 前端[broken link: invalid section] 和 图形界面[broken link: invalid section] 配置。iptables 用于 ipv4,ip6tables 用于 ipv6。

nftables 已经包含在 Linux kernel 3.13 中,以后会取代 iptables 成为主要的 Linux 防火墙工具;

    Netfilter基本框架图:

    netfilter/iptables 基础入门

表中所包含的链的含义(用来定义表中的过滤器)

netfilter/iptables 基础入门

Netfilter框架实现的功能: 【功能的优先级由低到高】

   filter:过滤,防火墙; 
    nat:network address translation;用于修改源IP或目标IP,也可以改端口; 
    mangle:拆解报文,做出修改,并重新封装起来; 
    raw:关闭nat表上启用的连接追踪机制;

Netfilter框中功能包含的链: 

    raw:PREROUTING, OUTPUT 
    mangle:PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING 
    nat:PREROUTING,[INPUT,]OUTPUT,POSTROUTING 
    filter:INPUT,FORWARD,OUTPUT

Netfilter框中报文流向:经过的链(框架中的钩子)

    流入本机:PREROUTING –> INPUT 
    由本机流出:OUTPUT –> POSTROUTING 
    转发:PREROUTING –> FORWARD –> POSTROUTING

Netfilter框中路由功能发生的时刻: 


    报文进入本机后:判断报文的目标主机是 
    报文离开本机之前:判断报文经由哪个接口送往下一站


Netfilter框在用iptables实现规则时需要注意:


组成部分:根据规则匹配条件来尝试匹配报文,一旦匹配成功,就由规则定义的处理动作作出处理;

匹配条件:
    基本匹配条件:内建
    扩展匹配条件:由扩展模块定义;
处理动作:
    基本处理动作:内建
    扩展处理动作:由扩展模块定义;
    自定义处理机制:自定义链

添加规则时的考量点: 

            (1) 要实现哪种功能:判断添加到哪个表上; 
            (2) 报文流经的路径:判断添加到哪个链上;

链:链上的规则次序,即为检查的次序;因此,隐含一定的应用法则:
 (1) 同类规则(访问同一应用),匹配范围小的放上面;
 (2) 不同类的规则(访问不同应用),匹配到报文频率较大的放在上面; 
(3) 将那些可由一条规则描述的多个规则合并起来;
 (4) 设置默认策略;

iptables命令:高度模块化,由诸多扩展模块实现其检查条件或处理动作的定义; 
规则格式:

iptables [-t table] COMMAND   chain [-m matchname [per-match-options]] -j targetname [per-target-options] 

-t table:

raw, mangle, nat, [filter]

命令COMMAND:可分为链的管理与规则管理 
链管理:

-N:new, 自定义一条新的规则链; -X: delete,删除自定义的规则链; 注意:仅能删除 用户自定义的 引用计数为0的 空的 链;
-P:Policy,设置默认策略;对filter表中的链而言,其默认策略有: 
        ACCEPT:接受
        DROP:丢弃
        REJECT:拒绝
-E:重命名自定义链;引用计数不为0的自定义链不能够被重命名,也不能被删除; 

规则管理:

-A:append,追加; 
-I:insert, 插入,要指明位置,省略时表示第一条; 
-D:delete,删除;  (1) 指明规则序号;(2) 指明规则本身;
-R:replace,替换指定链上的指定规则; 
-F:flush,清空指定的规则链; 
-Z:zero,置零; 

查看链的命令:

-L:list, 列出指定鏈上的所有规则; 
     -n:numberic,以数字格式显示地址和端口号;  
     -v:verbose,详细信息;  -vv, -vvv 
     -x:exactly,显示计数器结果的精确值;  
      --line-numbers:显示规则的序号;

chain:包含的链

        PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING

匹配条件: 基本匹配条件:无需加载任何模块,由iptables/netfilter自行提供;

[!] -s:检查报文中的源IP地址是否符合此处指定的地址或范围; 
[!] -d:检查报文中的目标IP地址是否符合此处指定的地址或范围;所有地址:0.0.0.0/0 
[!] -p, --protocol protocol protocol 检查定义的数据传输协议 tcp, udp, udplite, icmp, icmpv6 "all"{tcp|udp|icmp} 
[!] -i:数据报文流入的接口;只能应用于数据报文流入的环节,只能应用于PREROUTING,INPUT和FORWARD链;
[!] -o:数据报文流出的接口;只能应用于数据报文流出的环节,只能应用于FORWARD、OUTPUT和POSTROUTING链

处理动作:-j targetname [per-target-options]

ACCEPT:允许    DROP:不允许的   REJECT:拒绝
可以自定义动作

原创文章,作者:GYF,如若转载,请注明出处:http://www.178linux.com/78052

(0)
上一篇 2017-06-13 20:45
下一篇 2017-06-15 00:00

相关推荐

  • 马哥教育网络班22期+第4周课程练习 忍者乱太郎喻成

    1、复制/etc/skel目录为/home/tuser1,要求/home/tuser1及其内部文件的属组和其它用户均没有任何访问权限。   cp -rp /etc/skel /home/tuser1   chmod -R 700 /home/tuser1 2、…

    Linux干货 2016-10-09
  • linux文件、目录基本操作命令及bash特性介绍

    1、文件层级FHS介绍: Filesystem Hierarchy Standard(文件系统层次化标准)的缩写,多数Linux版本采用这种文件组织形式,类似于Windows操作系统中c盘的文件目录,FHS采用树形结构组织文件。 FHS定义了系统中每个区域的用途、所需要的最小构成的文件和目录,同时还给出了例外处理与矛盾处理。 /:linux文件系统根目录 /…

    2017-09-17
  • 第六周-Vim、计划任务及Shell脚本练习

    一、复制/etc/rc.d/rc.sysinit文件至/tmp目录,将/tmp/rc.sysinit文件中的以至少一个空白字符开头的行的行首加#; cp /etc/rc.d/rc.sysinit /tmp vim /tmp/rc.sysinit 末行模式输入 :%s@^[[:space:]]\+@#&@g 二、复制/boot/grub/grub.co…

    Linux干货 2017-08-13
  • 重定向及tr命令详解及其在管道中的使用简述

    一、标准输入和输出及其重定向         1.标准输入指的是来自键盘的输入,通常用0来表示;标注输出是默认输出到当前终端窗口,用1来表示;标准错误输出同样默认输出到当前终端窗口,用2来表示。除标准输出之外,我们还可以通过重定向来更改默认的输入和输出方式。   &nb…

    Linux干货 2016-08-11
  • 利用DNS和SAMBA实现web站点的简单高可用

    本文通过DNS绑定两台主机的IP地址到一个URL,然后后台samba服务器提供站点文件,此处以wordpress为例。这样当有一台服务器httpd服务出现故障的时候不至于造成站点无法访问,而且站点数据和mysql数据库数据位于后台samba服务器,另一台服务器直接从samba服务器获取站点文件和数据库数据,不会造成数据的不一致。 一、实验环境: 三台主机ip…

    2017-06-06
  • 计算机网络知识,脚本编程_第八周练习

    Q1:请描述网桥、集线器、二层交换机、三层交换机、路由器的功能、使用场景与区别。 网桥:网桥(Bridge)是早期的两端口二层网络设备,用来连接不同网段。网桥的两个端口分别有一条独立的交换信道,不是共享一条背板总线,可隔离冲突域。网桥比集线器(Hub)性能更好,集线器上各端口都是共享同一条背板总线的。后来,网桥被具有更多端口、同时也可隔离冲突域的交换机(Sw…

    Linux干货 2016-12-25