?iptables簡單介紹

Net18-AnyISalIn ? ? Linux干貨

iptables簡單介紹

什么是防火墻?

防火墻是工作在主機或網絡邊緣,能夠對其所匹配到的報文根據事先定義好的規則作出相應處理的組件,可以是軟件,也可以是硬件,還能軟硬結合實現。

UNIX/Linux中對防火墻的實現

早期在openBSD中通過內核中的ipfw實現簡單的數據報過濾功能、后來在Linux 2.2內核中使用ipchains來取代,意為鏈、后來在Linux 2.4內核中被iptables所取代,意為表。

netfilter/iptables原理

事實上Linux 2.6實現防火墻是通過內核中的netfilter框架完成的,iptables其實不止指的是一個在用戶空間的應用程序,其實還是內核中的一個存放特定規則的模塊,所以iptables的全稱應該為netfilter/iptables。

netfilter的鉤子函數

網絡防火墻一般都設置在整個網絡的邊緣,才能對所有出入的數據報進行分析和進行相應的處理,作為一個主機防火墻應該在數據報文出入主機時在TCP/IP協議棧的特定位置對數據報文進行攔截并執行對應動作,那么在netfilter架構中分別有五個位置可以作為防火墻的攔截點,我們稱它們為hook function(鉤子函數)。

數據流經過netfilter大致路程圖

下載.png

四表五鏈

五鏈

PREROUTING

數據報文進入TCP/IP協議棧路由選擇前會被PREROUTING“鉤”住,分析其數據包對其相應操作,注意PREROUTING鏈不能對數據包進行過濾,PREROUTING鏈是整個netfilter框架中的第一關

INPUT

通過PREROUTING后進行路由選擇如果數據包是進入本機內部,則轉發到INPUT鏈,INPUT鏈能夠通過實現定義好的規則對數據包進行篩選如果被匹配則執行相應動作,INPUT鏈可以對數據包進行過濾,INPUT鏈是數據報文進入用戶空間的必經之路

FORWARD

通過PREROUTING后進行路由選擇如果數據包只是通過本機進行轉發,則轉發到FORWARD鏈,FORWARD鏈能夠通過事先定義好的規則對數據包進行匹配檢查并執行相應動作,INPUT鏈可以對數據包進行過濾,正是有了FORWARDiptables才能夠作為一個網絡防火墻運行在網絡邊緣對進出網絡的數據報文進行過濾

OUTPUT

數據包從用戶空間的進程通過路由選擇特定的網卡接口后轉到OUTPUT鏈,OUTPUT鏈能夠通過實現定義好的規則對數據報文進行匹配檢查并執行相應動作,OUTPUT鏈可以對數據包進行過濾

POSTROUTING

數據包從OUTPUTFORWARD轉發而來,到達netfilter框架中的最后一關,分析數據包并執行對應動作,和POSTROUTING一樣不能對數據包進行過濾

四表

iptables之所以被稱為iptables是其過濾數據包的規則是通過四張表的來定義

filter

整個iptables最關鍵的表,實現數據包的過濾,可以由INPUT,FORWARD,OUTPUT這三個能夠實現過濾功能的鏈組成

nat

學過網絡的同學應該都知道NAT(Network Address Translation)網絡地址轉換,正是應為有了這項技術才使得我們現今還能夠有IPv4可以使用,在iptables中也可以實現NAT的相關功能, 例如SNAT, DNAT, MASQUERADE等功能,nat表可以由PREROUTING, FORWARD, POSTROUTING組成

mangle

mangle可以對匹配到的報文的數據報進行拆解,做出修改,重新封裝等操作,一般我們用的很少,五個鏈都能實現mangle的功能

raw

raw關閉NAT的連接追蹤機制,防止在高并發的訪問下服務器的內存溢出導致故障,可由PREROUTING,OUTPUT實現

定義規則的”潛規則”

添加規則時的考量點

  1. 實現哪些功能: 判斷添加在哪張表上

  2. 報文的流經路徑: 判斷添加在哪個鏈上

鏈上規則的次序

1.同類規則(訪問同一程序),匹配范圍小的放在上面 
2.不同類的規則(訪問不同應用), 匹配到報文頻率高的放上面 
3.將那些可由一條規則描述的多個規則合并成一個 
4.設置默認策略

總結

本文只對iptables進行原理方面的簡單介紹,作者水平不高,如果發現錯誤還望海涵并及時通知我,在這里不勝感激。 
作者:AnyISalIn 
感謝:MageEdu

原創文章,作者:Net18-AnyISalIn,如若轉載,請注明出處:http://www.www58058.com/13943

(0)
Net18-AnyISalInNet18-AnyISalIn
上一篇 2016-03-31
下一篇 2016-03-31

相關推薦

  • linux文件管理及bash的基本特性

    一、常用的文件和目錄管理命令1、pwd命令:用來顯示當前的工作目錄語法格式:直接輸入pwd回車顯示當前的工作目錄示例:用pwd命令顯示當前的工作目錄[root@suyiwen ~]# pwd/root2、mkdir命令:用來創建目錄文件語法格式:mkdir [OPTION]… DIRECTORY…常用option:-m,用來指定目錄的…

    Linux干貨 2018-03-11

  • 權限管理

    1、創建組sales,gid 3000,passwd:centos,sales admins:user2 將用戶user1,user2,user3加入到sales輔助組 希望user1 創建新文件 默認的所屬組為sales user2將用戶user3從sales組移除 # groupadd -g 3000 sales  # gpasswd sale…

    Linux干貨 2016-08-03

  • Linux用戶和組的基礎概念

    用戶,組和權限管理   Multi-tasks,  Multi-Users 每個使用者:    用戶標識,密碼:    認證:Authentication    授權:Authorization    審計:Audition    3A 組…

    Linux干貨 2016-12-21

  • 第五周

      第五周 1 顯示/boot/grub/grub.conf中以至少一個空白字符開頭的行;      grep "^[[:space:]]\+" /boot/grub/grub.conf 2 顯示/etc/rc.d/rc.sysinit文件中以#開頭,后面跟至…

    Linux干貨 2017-01-02

  • nginx配置(二)

    ngx_http_gzip_module: The ngx_http_gzip_module module is a filter that compresses responses using the “gzip” method. This often helps to reduce the size of transmitted data by half…

    Linux干貨 2017-05-08

  • 第五周博客作業

    1、顯示當前系統上root、fedora或user1用戶的默認shell; [root@localhost ~]# grep -E "^(root|fedora|user1)\>" /etc/passwd | cut -d: -f1,7 roo…

    Linux干貨 2017-01-07
欧美性久久久久