iptables
iptables
官网:www.netfilter.org
参考文件:https://www.frozentux.net/iptables-tutorial/cn/iptables-tutorial-cn-1.1.19.html#RCFLUSH-IPTABLESTXT
当数据包到达防火墙时,如果MAC地址符合,就会由内核里相应的驱动程序接收,然后会经过一系列操 作,从而决定是发送给本地的程序,还是转发给其他机子,还是其他的什么。
Table 3-3. 被转发的包
| Step | Table | Chain | Comment |
|---|---|---|---|
| 1 | 在线路上传输(比如,Internet) | ||
| 2 | 进入接口(比如, eth0) | ||
| 3 | mangle | PREROUTING | mangle数据包,,比如改变TOS等。 |
| 4 | nat | PREROUTING | 这个链主要用来做DNAT。不要在这个链做过虑操作,因为某 些情况下包会溜过去。稍后会做SNAT。 |
| 5 | 路由判断,比如,包是发往本地的,还是要转发的。 | ||
| 6 | mangle | FORWARD | 包继续被发送至mangle表的FORWARD链,这是非常特殊的情 况才会用到的。在这里,包被mangle(还记得mangle的意思吗)。这次mangle发生在最初的路由判断之后, 在最后一次更改包的目的之前(译者注:就是下面的FORWARD链所做的,因其过滤功能,可能会改变一些包 的目的地,如丢弃包)。 |
| 7 | filter | FORWARD | 包继续被发送至这条FORWARD链。只有需要转发的包才会走 到这里,并且针对这些包的所有过滤也在这里进行。注意,所有要转发的包都要经过这里,不管是外网到内 网的还是内网到外网的。在你自己书写规则时,要考虑到这一点。 |
| 8 | mangle | POSTROUTING | 这个链也是针对一些特殊类型的包(译者注:参考第6步, 我们可以发现,在转发包时,mangle表的两个链都用在特殊的应用上)。这一步mangle是在所有更改包的目 的地址的操作完成之后做的,但这时包还在本地上。 |
| 9 | nat | POSTROUTING | 这个链就是用来做SNAT的,当然也包括Masquerade(伪 装)。但不要在这儿做过滤,因为某些包即使不满足条件也会通过。 |
| 10 | 离开接口(比如: eth0) | ||
| 11 | 又在线路上传输了(比如,LAN) |
Table 1. 以本地为目标(就是我们自己的机子)的包
| Step(步骤) | Table(表) | Chain(链) | Comment(注释) |
|---|---|---|---|
| 1 | 在线路上传输(比如,Internet) | ||
| 2 | 进入接口 (比如, eth0) | ||
| 3 | mangle | PREROUTING | 这个链用来mangle数据包,比如改变TOS等 |
| 4 | nat | PREROUTING | 这个链主要用来做DNAT。不要在这个链做过虑操作,因为某 些情况下包会溜过去。 |
| 5 | 路由判断,比如,包是发往本地的,还是要转发的。 | ||
| 6 | mangle | INPUT | 在路由之后,被送往本地程序之前,mangle数据包。 |
| 7 | filter | INPUT | 所有以本地为目的的包都要经过这个链,不管它们从哪儿 来,对这些包的过滤条件就设在这里。 |
| 8 | 到达本地程序了(比如,服务程序或客户程序) |
Table 2. 以本地为源的包
| Step | Table | Chain | Comment |
|---|---|---|---|
| 1 | 本地程序(比如,服务程序或客户程序) | ||
| 2 | 路由判断,要使用源地址,外出接口,还有其他一些信息。 | ||
| 3 | mangle | OUTPUT | 在这儿可以mangle包。建议不要在这儿做过滤,可能有副作 用哦。 |
| 4 | nat | OUTPUT | 这个链对从防火墙本身发出的包进行DNAT操作。 |
| 5 | filter | OUTPUT | 对本地发出的包过滤。 |
| 6 | mangle | POSTROUTING | 这条链主要在包DNAT之后(译者注:作者把这一次DNAT称作 实际的路由,虽然在前面有一次路由。对于本地的包,一旦它被生成,就必须经过路由代码的处理,但这个 包具体到哪儿去,要由NAT代码处理之后才能确定。所以把这称作实际的路由。),离开本地之前,对包 mangle。有两种包会经过这里,防火墙所在机子本身产生的包,还有被转发的包。 |
| 7 | nat | POSTROUTING | 在这里做SNAT。但不要在这里做过滤,因为有副作用,而且 有些包是会溜过去的,即使你用了DROP策略。 |
| 8 | 离开接口(比如: eth0) | ||
| 9 | 在线路上传输(比如,Internet) |
Table 3. 被转发的包
| Step | Table | Chain | Comment |
|---|---|---|---|
| 1 | 在线路上传输(比如,Internet) | ||
| 2 | 进入接口(比如, eth0) | ||
| 3 | mangle | PREROUTING | mangle数据包,,比如改变TOS等。 |
| 4 | nat | PREROUTING | 这个链主要用来做DNAT。不要在这个链做过虑操作,因为某 些情况下包会溜过去。稍后会做SNAT。 |
| 5 | 路由判断,比如,包是发往本地的,还是要转发的。 | ||
| 6 | mangle | FORWARD | 包继续被发送至mangle表的FORWARD链,这是非常特殊的情 况才会用到的。在这里,包被mangle(还记得mangle的意思吗)。这次mangle发生在最初的路由判断之后, 在最后一次更改包的目的之前(译者注:就是下面的FORWARD链所做的,因其过滤功能,可能会改变一些包 的目的地,如丢弃包)。 |
| 7 | filter | FORWARD | 包继续被发送至这条FORWARD链。只有需要转发的包才会走 到这里,并且针对这些包的所有过滤也在这里进行。注意,所有要转发的包都要经过这里,不管是外网到内 网的还是内网到外网的。在你自己书写规则时,要考虑到这一点。 |
| 8 | mangle | POSTROUTING | 这个链也是针对一些特殊类型的包(译者注:参考第6步, 我们可以发现,在转发包时,mangle表的两个链都用在特殊的应用上)。这一步mangle是在所有更改包的目 的地址的操作完成之后做的,但这时包还在本地上。 |
| 9 | nat | POSTROUTING | 这个链就是用来做SNAT的,当然也包括Masquerade(伪 装)。但不要在这儿做过滤,因为某些包即使不满足条件也会通过。 |
| 10 | 离开接口(比如: eth0) | ||
| 11 | 又在线路上传输了(比如,LAN) |
mangle表
用来mangle包,使用mangle匹配来改变包的TOS、TTL、MARK等特性
- TOS操作用来设置或改变数据包的服务类型域。
- TTL操作用来改变数据包的生存时间域。
- MARK用来给包设置特殊的标记。
nat表
用于NAT,也就是转换包的源或目标地址。
- DNAT,你有一台合法的IP地址,要把对防火墙的访问重定向到其他的机子上(比如DMZ)。也就是说,我们改变的是目的地址,以使包能重路由到某台主机。
- SNAT,改变包的源地址,这在极大程度上可以隐藏你的本地网络或者DMZ等。一个 很好的例子是我们知道防火墙的外部地址,但必须用这个地址替换本地网络地址。有了这个操作,防火墙就 能自动地对包做SNAT和De-SNAT(就是反向的SNAT),以使LAN能连接到Internet。如果使用类似 192.168.0.0/24这样的地址,是不会从Internet得到任何回应的。因为IANA定义这些网络(还有其他的)为 私有的,只能用于LAN内部。
- MASQUERADE,
filter表
用于过滤数据包,可以在任何时候匹配包并过滤它们。就是在这里根据包的内容对包做DROP或ACCEPT的。
Commands 规则
iptables [-t table] command [match] [target/jump]
Matches 匹配
Targets 目标
