iptables系列之基础原理

Linux网络防火墙

  netfilter ：frame 过滤，内核中的过滤框架，规则生效的位置框架

    iptables：附加在netfilter上，生成防火墙规则，真正实现数据报文过滤，NAT，mangle等规则生成的工具

防火墙：工作在主机或者网络的边缘，对于进出的报文进行检查监控，并根据事先定义好的规则（其中有匹配标准和处理办法），一旦符合标准，对这个报文进行相应的处理规则的组件称为防火墙

iptables的实现实际上是基于报文的过滤，实例如下：

1.IP：源地址，目标地址

TCP：源端口，目标端口

UDP：源端口，目标端口

ICMP：icmp报文类型

发展历程：

linux2.0

ipfw/firewall

linux2.2

ipchain/firewall

linux2.4

iptables/netfilter

netfilter的过滤有下面五个规则链

    PREROUTING

    INPUT

    FORWARD

    OUTPUT

    POSTROUTING

四种表

filter，过滤表

INPUT，OUTPUT，FORWARD

nat，地址转换表

prerouting，output，postrouting

mangle(拆分，修改，封装)  表

prerouting，forwarding，output，postrouting

raw表

prerouting，output

iptables:

500条规则

能否使用自定义链？

可以使用自定义链，但是只在被调用的时候才能发挥作用，而且如果没有自定义链中的任何规则匹配，还应该有返回机制

*用户可以删除自定义空链

*默认链无法删除

每个规则都有两个内置的计数器

被匹配的报文个数

被匹配的报文大之和

规则内包含：匹配标准，处理动作

匹配标准：

    1.通用匹配

        -s，--src  源地址

        -d，--dst  目标地址

        -p(tcp,udp,icmp)指定协议

         -i INTERFACE指定数据报文流入的接口(ethX)

                可用于定义标准的链，PREROUTING ,INPUT,FORWARD

        -o INTERFACE 指定数据报文流出的接口

                可用于标准定义的链，OUTPUT,POSTROUTING,FORWARD,

    2.扩展匹配

        a.隐含扩展：不用特别指明哪个模块进行的扩展，因为此时使用-p(tcp/udp/icmp)

        -p tcp  指定目标端口，源端口

            --tcp-flags mask comp ：只检查mask 指定的标志位，是逗号分隔的标志位列表；comp:此列表中出现的标记位必须为1,comp中没出现，而mask中出现的，必须为0 

        可根据ACK,FIN,RST,SYN等标志位的值来盘端报文的类型，例如当SYN=1，其余为0，则这个报文时TCP/IP的第一次握手

      -p-icmp

            --icmp-type -8 被ping通

            --icmp-type -1能够发出ping 报文

        -p-udp

            指定目标端口以及源端口

     b. 显示扩展：必须指明由哪个模块进行的扩展，在iptables会用-m选项即可完成功能

        使用额外的匹配机制

            -m EXTENSTION --spe-opt

                    state:状态扩展             -m state --state NEW -ij ACCEPT 

                    结合ip_constrack追踪会话的状态

                        NEW：新连接请求

                        ESTABLISHED：已建立的连接

                        INVALID：非法连接

                        RELATED：相关联的

            -m multiport ：离散的多端口匹配扩展

                        --source-ports

                        --destination-ports

                        --ports

            -m  iprange  指定一段地址

                        --src-range 

                        --dst-range

            -m connlimit  连接数限制

                         !  --connlimit-above n

            -m limit 

                        --limit RATE速率限定

#iptables-save> /etc/sysconfig/iptables.2021

#iptables-restore < /etc/sysconfig/iptables.2021

命令

管理规则

-A：附加一条规则，添加在链的尾部

-I CHAIN [num]：插入一条规则，插入为对应CHAIN上的第num条

-D CHAIN　［num］:删除指定链中的第Num条规则

-R CHAIN [num]：替换指定的规则

管理链

-F [CHAIN]：flush用于清空指定规则链，如果省略CHAIN ，则可以删除对应表中的所有链

-P CHAIN ：设定指定链的默认策略

-Ｎ ：自定义一个新的空链

-Ｘ：删除一个自定义的空链

-Z：置零指定链中所有规则的计数器

-E：重命名自定义的链

查看类

-L：显示指定表中的规则

        -n：以数字形式显示主机地址和端口号

        -x：显示计数器的精确值

        -v：显示链和规则的详细信息 -vv：

        --line-numbers：显示规则号码

执行的动作（target）

-j指定

    ACCEPT放行，允许通过

    DROP丢弃

    REJECT拒绝

    DNAT目标地址转换

    SNAT源地址转换

    REDIRECT（端口重定向）

    MASQUERADE：地址伪装  MAC表的PREROUTING链实现

    MARK打标记

    LOG 日志

iptables不是服务，但有服务脚本：脚本服务的主要作用在于管理保存的规则 

装载或移除iptable/netfilter相关的内核模块

iptables_nat,iptales_filter,iptable_mangle,iptables_raw,ip_nat,

保存规则：

#service iptables save 

/etc/sysconfig/iptables

#iptables-save> /etc/sysconfig/iptables.2021

#iptables-restore < /etc/sysconfig/iptables.2021