iptables實用教程（一）：基本概念和原理，iptables實用教程

iptables實用教程（一）：基本概念和原理，iptables實用教程
概述

iptables是linux內建的防火牆軟體，用於配置IPv4資料包過濾或NAT（IPv6用ip6tables）。

在linux上，防火牆其實是系統核心的一部分，基於Netfilter構架，基本原理就是在核心網路層資料包流經的不同位置放置一些鉤子（hook），利用這些嵌入網路層的hook來對資料抓取、控制或修改，iptables其實只是預設的netfilter控制管理工具，所以使用ps或者top看不到有一個“防火牆”的進程存在，防火牆是不能被卸載也不能關閉的，大家熟知的"service iptables stop"或者“/etc/init.d/iptables stop”命令只不過是清空所有策略和表，並把預設策略改為ACCEPT（允許）而已。

iptables有以下幾個重點概念：：

table（表）：iptables內建4個table，不同的table代表不同的功能，每個table可以包含許多chain，不同類型的table對所能包含的chain和策略中的target的使用做了限定，一些target不能在一些table中使用。使用者不能自訂table；

chain（鏈）：chain可用包括一系列的策略，通過配置不同的chain可以對不同作用的策略進行分類，iptables內建5個chain對應netfilter的5個hook，使用者也可以自訂chain；

command（命令）：command是對錶或鏈的操作動作，比如添加、刪除、修改等等；

策略：策略包括匹配規則和目標，iptables本沒有這個概念，我為了方便敘述添加的；

rule-specification（匹配規則）：定義本條策略適用於那些資料包，匹配規則可以包括協議、源/目的地址、連接埠等等；

target（目標）：對匹配上規則的資料包採取的操作，target可以是一個動作或者自訂chain，常見的動作有丟棄（DROP）、允許（ACCEPT）、NAT等等，當target是自訂chain時，資料包進入自訂chain繼續匹配；

policy（預設策略）：內建chain的預設動作，每個chain只能有一個policy，如果資料包匹配某條chain匹配完最後一條策略依然沒有匹配上，那麼就採用policy的預設動作。policy不匹配規則，而且target只能是丟棄（DROP）或允許（ACCEPT），自訂chain不能定義policy。

表

iptables的4個表分別是：

filter（過濾）：資料包過濾/攔截，可以包含INPUT、FORWARD、OUTPUT這3個內建chain。

nat（地址轉換）：IP地址或連接埠號碼轉換，可以包含PREROUTING、OUTPUT、POSTROUTING 3個內建chain，nat table在會話建立時會記錄轉換的對應關係，同一會話的回包和後續報文會自動地址轉換，這是因為nat使用了ip_conntrack模組。

mangle（包管理）：用來修改IP報文，可以包含PREROUTING、OUTPUT、INPUT、FORWARD、POSTROUTING 5個內建chain。

raw：此表的優先順序高於ip_conntrack模組和其它的table，主要用於將有工作階段狀態的串連（比如tcp）的資料包排除在會話外。可以包含POSTROUTING、OUTPUT兩個內建chain。

看到這裡肯定會有這樣的疑問，為什麼table只能包含一些而不是全部的chain呢？我想這個構架是按需設計而不是按功能設計的，儘管table不是包含所有的chain，但是每種功能的table都包含了實現這種功能所需的chain，即使包含更多的chain也是累贅或者無用的，而且實際上用起來也的確如此，夠用了。

還有就是不同table生效優先順序問題，先後優先順序是這樣的：

raw > mangle > nat > filter

所以，如果有filter禁止ping目的地址2.2.2.2，而nat又有策略將目的地址1.1.1.1轉換成2.2.2.2，那麼ping 1.1.1.1是ping不通的。

不過一般情況下filter是不會和nat的策略打起架來，比如INPUT chain能做filter，卻不能做nat，PREROUTING能做nat卻不能做filter，而且PREROUTING只能做目的地址轉換，不會對源地址過濾的需求造成麻煩，所以通常是不會相互幹擾的。

鏈

iptables內建的5個chain：PREROUTING、INPUT、OUPUT、FORWARD、POSTROUGING，這5個chain分別與netfilter中資料轉寄路徑上的5個不同的位置掛鈎，以匹配篩選不同類型的資料流，如所示：

其中：

PREROUTING鏈：應用於所有進入機器的ip包，包括目的地址是本機和目的地址非原生包。

INPUT鏈：應用於所有目的是原生包，也就是目的IP是本機介面地址，所有發給本地socket的資料都經過它。

OUPUT鏈：應用於所有由本機產生的包，所有應用程式發出的資料都經過它。

FORWARD鏈：應用於所有經過路由決策被轉寄的包，也就是目的地址不是原生資料包。

POSTROUGING鏈：應用於所有發出機器的IP包，包括本機發出的和從本機轉寄的資料包。

策略匹配按照重上到下的順序進行，當測試到某策略匹配時執行target並跳出，不再向下匹配，當測試到最後一條策略仍不匹配時，則採用policy指定的動作，如：

除了內建chain外，還可以自訂chain，自訂chain並不能利用netfilter的hook來捕捉資料包，但是可用於策略的分類，比如有3類不同的使用者訪問主機上的不同服務，如果所有策略都放在INPUT chain中策略會多而難以維護，這個時候就可以定義3個自訂chain，分別配置不同的策略，同時在INPUT chain中添加策略對來訪者分類並將目標指向3個自訂chain。

自訂chain大顯神威的地方在於動態建置原則，例如VPN伺服器上，需要對不同分組的使用者區別對待管理，但是使用者IP是隨機分配的，不能根據IP來區分使用者組，這時候可以預先定義好各組chain，利用VPN服務端軟體的一些鉤子，當使用者登陸時自動添加策略引導到自訂chain上來匹配。如果這時候沒有自訂chain，那麼策略的數量將是（使用者數×所屬組策略數），每增加一個使用者，都要把所屬組的全部策略添加一遍，這樣大量的時間花費在策略匹配上，效能下降很快。

命令

命令用來動作表和鏈，可以做這些操作：

• 清空一個table中包含的所有chain
• 建立、重新命名或刪除一個自訂chain，清空一個內建chain或者給內建chain設定policy（預設策略）
• 在某個chain中追加、刪除、修改一條策略
• 顯示策略

由於本文只講概念和原理，所以暫時不提命令，詳細使用方法會在後面其他文章裡說明。

 

原文地址：http://www.cnblogs.com/foxgab/p/6896957.html

 

如果覺得本文對您有協助，請掃描後面的二維碼給予捐贈，您的支援是作者繼續寫出更好文章的動力！