Linux之iptables(二、基本认识和组成)
iptables的基本认识
Netfilter组件
- 内核空间,集成在linux内核中
- 扩展各种网络服务的结构化底层框架
- 内核中选取五个位置放了五个hook(勾子) function(INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING),而这五个hook function向用户开放,用户可以通过一个命令工具(iptables)向其写入规则
- 由信息过滤表(table)组成,包含控制IP包处理的规则集(rules),规则被分组放在链(chain)上
- 三种报文流向:(请求报文时拒绝!)
- 流入本机:PREROUTING --> INPUT-->用户空间进程
- 流出本机:用户空间进程 -->OUTPUT--> POSTROUTING
- 转发:PREROUTING --> FORWARD --> POSTROUTING
防火墙工具
- iptables
- 命令行工具,工作在用户空间
- 用来编写规则,写好的规则被送往netfilter,告诉内核如何去处理信息包
- firewalld
- CentOS 7 引入了新的前端管理工具
- 管理工具:
- firewall-cmd 命令行
- firewall-config 图形
iptables的组成
- iptables由五个表和五个链以及一些规则组成,iptables命令可查看到四表五链组成
- 五个表table:filter、nat、mangle、raw、security
- filter表:过滤规则表,根据预定义的规则过滤符合条件的数据包
- nat表:network address translation 地址转换规则表
- mangle:修改数据标记位规则表
- raw:关闭NAT表上启用的连接跟踪机制,加快封包穿越防火墙速度
- security:用于强制访问控制(MAC)网络规则,由Linux安全模块(如SELinux)实现优先级由高到低的顺序为:security -->raw-->mangle-->nat-->filter
- 五个内置链chain
- INPUT
- OUTPUT
- FORWARD
- PREROUTING
- POSTROUTING
- 五个表table:filter、nat、mangle、raw、security
Netfilter表和链对应关系(iptables -nvL -t +表可查对应关系)
数据包过滤匹配流程
IPTABLES和路由
- 路由功能发生的时间点
- 报文进入本机后
- 判断目标主机是否为本机
- 是:INPUT
- 否:FORWARD
- 报文离开本机之前
- 判断由哪个接口送往下一跳
- 报文进入本机后
内核中数据包的传输过程
- 当一个数据包进入网卡时,数据包首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转送出去
- 如果数据包就是进入本机的,数据包就会沿着图向下移动,到达INPUT链。数据包到达INPUT链后,任何进程都会收到它。本机上运行的程序可以发送数据包,这些数据包经过OUTPUT链,然后到达POSTROUTING链输出
- 如果数据包是要转发出去的,且内核允许转发,数据包就会向右移动,经过FORWARD链,然后到达POSTROUTING链输出
iptables规则
- 规则rule:根据规则的匹配条件尝试匹配报文,对匹配成功的报文根据规则定义的处理动作作出处理,这里说的匹配次序很重要
- 匹配条件:默认为与条件,同时满足
- 基本匹配:IP,端口,TCP的Flags(SYN,ACK等)
- 扩展匹配:通过复杂高级功能匹配
- 处理动作:称为target,跳转目标
- 内建处理动作:ACCEPT,DROP,REJECT,SNAT,DNATMASQUERADE,MARK,LOG...
- 自定义处理动作:自定义chain,利用分类管理复杂情形
- 规则要添加在链上,才生效;添加在自定义上不会自动生效
- 链chain:
- 内置链:每个内置链对应于一个钩子函数
- 自定义链:用于对内置链进行扩展或补充,可实现更灵活的规则组织管理机制;只有Hook钩子调用自定义链时,才生效
iptables添加要点
- iptables规则添加时考量点
- 要实现哪种功能:判断添加在哪张表上
- 报文流经的路径:判断添加在哪个链上
- 报文的流向:判断源和目的
- 匹配规则:业务需要
- 实验环境准备:
- Centos7:systemctl stop firewalld.service;systemctl disable firewalld. service
- Centos6:service iptables stop;chkconfig iptables off