理解 iptables

netfilter/iptables,又简称为 iptables,组成了 Linux 平台下的包过滤防火墙,与大多数的 Linux 软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换 (NAT) 等功能。

Basics

规则 (rules) 其实就是网络管理员预定义的条件,规则一般的定义为 “如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如 TCP、UDP、ICMP) 和服务类型 (如 HTTP、FTP 和 SMTP) 等。当数据包与规则匹配时,iptables 就根据规则所定义的方法来处理这些数据包,如放行 (accept)、拒绝(reject) 和丢弃 (drop) 等。配置防火墙的主要工作就是添加、修改和删除这些规则。

iptables 和 netfilter 的关系

这是第一个要说的地方,Iptables 和 netfilter 的关系是一个很容易让人搞不清的问题。很多的知道 iptables 却不知道 netfilter。其实 iptables 只是 Linux 防火墙的管理工具而已,位于 / sbin/iptables。真正实现防火墙功能的是 netfilter,它是 Linux 内核中实现包过滤的内部结构。

iptables 传输数据包的过程解析

  1. 当一个数据包进入网卡时,它首先进入 PREROUTING 链,内核根据数据包目的 IP 判断是否需要转送出去。
  2. 如果数据包就是进入本机的,它就会沿着图向下移动,到达 INPUT 链。数据包到了 INPUT 链后,任何进程都会收到它。本机上运行的程序可以发送数据包,这些数据包会经过 OUTPUT 链,然后到达 POSTROUTING 链输出。
  3. 如果数据包是要转发出去的,且内核允许转发,数据包就会如图所示向右移动,经过 FORWARD 链,然后到达 POSTROUTING 链输出。

iptables 的规则表和链

  • Tables 表
    表提供特定的功能,iptables 内置了 4 个表:

    • filter 表,用于实现包过滤
    • nat 表,用于实现网络地址转换
    • mangle 表,用于实现包重构(修改)
    • raw 表,用于实现数据跟踪处理。
  • Chains 链
    链数据包传播的路径,每一条链其实就是众多规则中的一个检查清单,每一条链中可以有一条或数条规则。
    当一个数据包到达一个链时,iptables 就会从链中第一条规则开始检查,看该数据包是否满足规则所定义的条件。如果满足,系统就会根据该条规则所定义的方法处理该数据包;否则 iptables 将继续检查下一条规则,如果该数据包不符合链中任一条规则,iptables 就会根据该链预先定义的默认策略来处理数据包。

iptables 采用 “表” 和“链”的分层结构。

在 REHL4 中,iptables 是三张表五个链,现在 REHL5 成了四张表五个链了,不过多出来的那个表用的也不太多,所以基本还是和以前一样。

下面罗列一下这四张表和五个链。注意一定要明白这些表和链的关系及作用:

Author: Jason Cooper
Link: https://blog.dwx.io/meet-iptables/
Copyright Notice: All articles in this blog are licensed under CC BY-NC-SA 4.0 unless stating additionally.