iptables详解
iptables详解
目录
- iptables详解
-
- iptables 介绍
- iptables 总览
- Iptables 解析
- 常用的 iptables 命令
- SNAT与DNAT
iptables 介绍
iptables 是 Linux 中比较底层的网络服务,它控制了 Linux 系统中的网络操作,在 CentOS 中的 firewalld 和 Ubuntu 中的 ufw 都是在 iptables 之上构建的,只为了简化 iptables 的操作,因此,对于学习了解 iptables 对我们了解 firewalld 和 ufw 的工作机制都是很有益处,当然,这里提一句,firewalld 和 ufw 不仅仅是对 iptables 上层封装那么简单,还有 ipv6 支持等功能。同时,iptables 不仅仅是防火墙这么简单,它基本上能实现你在 linux 上对于网络的所有需求,例如我曾经就使用过 iptables 构建过一个简单的 ap,用到的原理就是 iptables 的转发功能,更多关于 iptables 的功能让我在下面给你介绍。
iptables 总览
- 在描述 iptables 的各种功能之前,先看一张 iptables 的网络图:
___________
nat
mangle
raw
localhost?
___________
filter
mangle
___________
nat
raw
mangle
_______
filter
mangle
___________
filter
nat
mangle
raw
- 可以发现,iptables 在网络流中有四个 table,分别是:nat、filter、raw 和 mangle 此外,还有五条链,分别是:INPUT、OUTPUT、FORWARD、PREROUTING 以及 POSTROUTING
| 序号 | 四个表 | 五个链 |
|---|---|---|
| 1 | nat | INPUT |
| 2 | filter | OUTPUT |
| 3 | raw | FORWARD |
| 4 | mangle | PREROUTING |
| 5 | POSTROUTING |
Iptables 解析
- 数据流走向
- 一个数据包进入网卡时,它首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转发出去。
- 如果数据包就是进入本机的,它就会沿着图向下移动,到达INPUT链。数据包到了INPUT链后,任何进程都会收到它。本机上运行的程序可以发送数据包,这些数据包会经 过OUTPUT链,然后到达POSTROUTING链输出。
- 如果数据包是要转发出去的,且内核允许转发,数据包就会如图所示向右移动,经过 FORWARD链,然后到达POSTROUTING链输出。
- 规则、表和链
-
规则(rules)
规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。当数据包与规则匹配时,iptables就根据规则所定义的方法来处理这些数据包,如放行(accept)、拒绝(reject)和丢弃(drop)等。配置防火墙的主要工作就是添加、修改和删除这些规则。 -
链(chains)
链(chains)是数据包传播的路径,每一条链其实就是众多规则中的一个检查清单,每一条链中可以有一条或数条规则。当一个数据包到达一个链时,iptables就会从链中第一条规则开始检查,看该数据包是否满足规则所定义的条件。如果满足,系统就会根据该条规则所定义的方法处理该数据包;否则iptables将继续检查下一条规则,如果该数据包不符合链中任一条规则,iptables就会根据该链预先定义的默认策略来处理数据包。 -
表(tables)
表(tables)提供特定的功能,iptables内置了4个表,即raw表、filter表、nat表和mangle表,分别用于实现包过滤,网络地址转换和包重构的功能。
-
| 表名 | 作用 |
|---|---|
| raw表 | 只使用在PREROUTING链和OUTPUT链上,因为优先级最高,从而可以对收到的数据包在连接跟踪前进行处理。 一但用户使用了RAW表,在 某个链上,RAW表处理完后,将跳过NAT表和 ip_conntrack处理,即不再做地址转换和 数据包的链接跟踪处理了. |
| filter表 | 主要用于过滤数据包,该表根据系统管理员预定义的一组规则过滤符合条件的数据包。对于防火墙而言, 主要利用在filter表中指定的规则来实现对数据包的过滤。Filter表是默认的表,如果没有指定哪个表, iptables 就默认使用filter表来执行所有命令,filter表包含了INPUT链(处理进入的数据包),RORWARD链(处理转发的数据包), OUTPUT链(处理本地生成的数据包)在filter表中只能允许对数据包进行接受,丢弃的操作,而无法对数据包进行更改 |
| nat表 | 主要用于网络地址转换NAT,该表可以实现一对一,一对多,多对多等NAT 工作,iptables就是使用该表实现共享上网的, NAT表包含了PREROUTING链(修改即将到来的数据包),POSTROUTING链(修改即将出去的数据包), OUTPUT链(修改路由之前本地生成的数据包) |
| mangle表 | 主要用于对指定数据包进行更改,在内核版本2.4.18 后的linux版本中该表包含的链为:INPUT链(处理进入的数据包), FORWARD链(处理转发的数据包),OUTPUT链(处理本地生成的数据包)POSTROUTING链(修改即将出去的数据包), PREROUTING链(修改即将到来的数据包) |
-
规则表之间的优先顺序
raw——> mangle ——> nat ——> filter -
规则链之间的优先顺序
-
第一种情况:入站数据流向
从外界到达防火墙的数据包,先被PREROUTING规则链处理(是否修改数据包地址等),之后会进行路由选择(判断该数据包应该发往何处),如果数据包 的目标主机是防火墙本机(比如说Internet用户访问防火墙主机中的web服务器的数据包),那么内核将其传给INPUT链进行处理(决定是否允许通 过等),通过以后再交给系统上层的应用程序(比如Apache服务器)进行响应。 -
第二冲情况:转发数据流向
来自外界的数据包到达防火墙后,首先被PREROUTING规则链处理,之后会进行路由选择,如果数据包的目标地址是其它外部地址(比如局域网用户通过网 关访问QQ站点的数据包),则内核将其传递给FORWARD链进行处理(是否转发或拦截),然后再交给POSTROUTING规则链(是否修改数据包的地 址等)进行处理。 -
第三种情况:出站数据流向
防火墙本机向外部地址发送的数据包(比如在防火墙主机中测试公网DNS服务器时),首先被OUTPUT规则链处理,之后进行路由选择,然后传递给POSTROUTING规则链(是否修改数据包的地址等)进行处理。
-
-
iptable 命令
iptables的命令格式较为复杂,一般的格式如下:
$ iptable [-t 表] 命令选项 [链名] 匹配条件 [-j 动作]
说明:
- -t 表
表选项用于指定命令应用于哪个iptables内置表。 - 命令
命令选项用于指定iptables的执行方式,包括插入规则,删除规则和添加规则,如下表所示
| 命令 | 介绍 |
|---|---|
| -P --policy <链名> | 定义默认策略 |
| -L --list <链名> | 查看iptables规则列表 |
| -A --append <链名> | 在规则列表的最后增加1条规则 |
| -I --insert <链名> | 在指定的位置插入1条规则 |
| -D --delete <链名> | 从规则列表中删除1条规则 |
| -R --replace <链名> | 替换规则列表中的某条规则 |
| -F --flush <链名> | 删除表中所有规则 |
| -Z --zero <链名> | 将表中数据包计数器和流量计数器归零 |
| -X --delete-chain <链名> | 删除自定义链 |
| -v --verbose <链名> | 与-L他命令一起使用显示更多更详细的信息 |
- 匹配规则
匹配选项指定数据包与规则匹配所具有的特征,包括源地址,目的地址,传输协议和端口号,如下表所示
| 命令 | 介绍 |
|---|---|
| -i --in-interface 网络接口名> | 指定数据包从哪个网络接口进入, |
| -o --out-interface 网络接口名> | 指定数据包从哪个网络接口输出 |
| -p --proto 协议类型 | 指定数据包匹配的协议,如TCP、UDP和ICMP等 |
| -s --source 源地址或子网> | 指定数据包匹配的源地址 |
| --sport 源端口号> | 指定数据包匹配的源端口号 |
| --dport 目的端口号> | 指定数据包匹配的目的端口号 |
| -m --match 匹配的模块 | 指定数据包规则所使用的过滤模块 |
- 动作
前面我们说过iptables处理动作除了 ACCEPT、REJECT、DROP、REDIRECT 、MASQUERADE 以外,还多出 LOG、ULOG、DNAT、RETURN、TOS、SNAT、MIRROR、QUEUE、TTL、MARK等。我们只说明其中最常用的动作:
- REJECT 拦阻该数据包,并返回数据包通知对方,可以返回的数据包有几个选择:ICMP port-unreachable、ICMP echo-reply 或是tcp-reset(这个数据包包会要求对方关闭联机),进行完此处理动作后,将不再比对其它规则,直接中断过滤程序。 范例如下:
$ iptables -A INPUT -p TCP --dport 22 -j REJECT --reject-with ICMP echo-reply
- DROP 丢弃数据包不予处理,进行完此处理动作后,将不再比对其它规则,直接中断过滤程序。
- REDIRECT 将封包重新导向到另一个端口(PNAT),进行完此处理动作后,将会继续比对其它规则。这个功能可以用来实作 透明代理 或用来保护web 服务器。例如:
$ iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT--to-ports 8081
- MASQUERADE 改写封包来源IP为防火墙的IP,可以指定port 对应的范围,进行完此处理动作后,直接跳往下一个规则链(mangle:postrouting)。这个功能与 SNAT 略有不同,当进行IP 伪装时,不需指定要伪装成哪个 IP,IP 会从网卡直接读取,当使用拨接连线时,IP 通常是由 ISP 公司的 DHCP服务器指派的,这个时候 MASQUERADE 特别有用。范例如下:
$ iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE --to-ports 21000-31000
- LOG 将数据包相关信息纪录在 /var/log 中,详细位置请查阅 /etc/syslog.conf 配置文件,进行完此处理动作后,将会继续比对其它规则。例如:
iptables -A INPUT -p tcp -j LOG --log-prefix "input packet"
- SNAT 改写封包来源 IP 为某特定 IP 或 IP 范围,可以指定 port 对应的范围,进行完此处理动作后,将直接跳往下一个规则链(mangle:postrouting)。范例如下:
iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to-source 192.168.10.15-192.168.10.160:2100-3200
- DNAT 改写数据包包目的地 IP 为某特定 IP 或 IP 范围,可以指定 port 对应的范围,进行完此处理动作后,将会直接跳往下一个规则链(filter:input 或 filter:forward)。范例如下:
iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.10.1-192.168.10.10:80-100
-
MIRROR 镜像数据包,也就是将来源 IP与目的地IP对调后,将数据包返回,进行完此处理动作后,将会中断过滤程序。
-
QUEUE 中断过滤程序,将封包放入队列,交给其它程序处理。透过自行开发的处理程序,可以进行其它应用,例如:计算联机费用…等。
-
RETURN 结束在目前规则链中的过滤程序,返回主规则链继续过滤,如果把自订规则炼看成是一个子程序,那么这个动作,就相当于提早结束子程序并返回到主程序中。
-
MARK 将封包标上某个代号,以便提供作为后续过滤的条件判断依据,进行完此处理动作后,将会继续比对其它规则。范例如下:
iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 22
常用的 iptables 命令
- 查看防火墙的状态
$ iptables -L -n -v --line-numbers
- 启动/停止/重启防火墙
$ service iptables stop
$ service iptables start
$ service iptables restart
- list 查看规则
$ iptables -L INPUT -n --line-numbers
$ iptables -L OUTPUT -n --line-numbers
$ iptables -L OUTPUT -n --line-numbers | less
$ iptables -L OUTPUT -n --line-numbers | grep 202.54.1.1
- 插入一条规则
$ iptables -I INPUT 2 -s 202.54.1.2 -j DROP
- 保存防火墙规则
$ service iptables save
- 加载防火墙规则
$ iptables-restore < /root/my.active.firewall.rules
- 删除公共接口上的私有地址
$ iptables -A INPUT -i eth1 -s 192.168.0.0/24 -j DROP
$ iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
- 屏蔽 ip 地址
$ iptables -A INPUT -s 1.2.3.4 -j DROP
$ iptables -A INPUT -s 192.168.0.0/24 -j DROP
- 屏蔽入站端口
$ iptables -A INPUT -p tcp -s 1.2.3.4 --dport 80 -j DROP
$ iptables -A INPUT -i eth1 -p tcp -s 192.168.1.0/24 --dport 80 -j DROP
- 屏蔽出站ip
$ iptables -A OUTPUT -d 192.168.1.0/24 -j DROP
$ iptables -A OUTPUT -o eth1 -d 192.168.1.0/24 -j DROP
- 记录并删除包
$ iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j LOG --log-prefix "IP_SPOOF A: "
$ iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
- 通过 mac 地址过滤数据
$ iptables -A INPUT -m mac --mac-source 00:0F:EA:91:04:08 -j DROP
# only accept traffic for TCP port 8080 from mac 00:0F:EA:91:04:07
$ iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source 00:0F:EA:91:04:07 -j ACCEPT
- 过滤 ICMP ping 请求
$ iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
$ iptables -A INPUT -i eth1 -p icmp --icmp-type echo-request -j DROP
- 开启范围端口
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 7000:7010 -j ACCEPT
- 开启范围 ip
iptables -A INPUT -p tcp --destination-port 80 -m iprange --src-range 192.168.1.100-192.168.1.200 -j ACCEPT
- 删除规则
如果想要删除一条规则,那么可以直接使用序号,例如 INPUT 的第 4 条可以直接这么删除
iptables -D INPUT 4
SNAT与DNAT
术语解释
- DNAT
Destination Network Address Translation 目标网络地址转换。 DNAT是一种改变数据包目的ip地址的技术,经常和SNAT联用,以使多台服务器能共享一个ip地址连入Internet,并且继续服务。通过对同一个ip地址分配不同的端口,来决定数据的流向。 - SNAT
Source Network Address Translation源网络地址转换。这是一种改变数据包源ip地址的技术, 经常用来使多台计算机分享一个Internet地址。这只在IPv4中使用,因为IPv4的地址已快用完了,IPv6将解 决这个问题。
企业内部的主机A若配了一个公网地址6.6.6.6,访问互联网上其他网段的公有地址不受限制,但若访问互联网上同网段的地址即6.0.0.0/8网段的地址,由于A的路由表就有到达该网段的路由记录,就直接访问了,不会去查询路由器,但是实际上访问的不是互联网上的主机,而是本地局域网的主机,也就是说该网段的所有公有地址A都将无法访问。所以企业内部的主机一般是私有地址,但是互联网上没有私有地址的路由,也就是说私有地址无法连接互联网,可以利用防火墙的nat表(network address translation 地址转换规则表)将私有地址转换为公有地址再去访问互联网。
-
SNAT
企业内部的主机A想访问互联网上的主机C,首先将请求数据包(源:ipA,目标:ipC)发送到防火墙所在主机B,B收到后将数据包源地址改为本机公网网卡的ip(源:ipA,目标:ipB),然后经互联网发送给C;C收到后将回应包(源:ipC,目标:ipB)转发给C的路由器,经互联网将回应包转发给B,B收到回应包后修改其目的地址,即回应包改为(源:ipC,目标:ipA)然后将数据包转发给A。在这个过程中,修改了请求报文的源地址,叫做SNAT(source NAT POSTROUTING),用于局域网访问互联网。
不能在防火墙B的prerouting链上设置转换源地址的防火墙策略,因为若在B的prerouting链上设置转换源地址的防火墙策略,此时还未检查路由表,还不知道要到达数据包中目标主机需经过本机的哪个网卡接口,即还不知道需将源地址替换为哪个公网网卡的ip,需在postrouting设置转换源地址的防火墙策略。
实验环境:实验中用172.18.0.0/16网段模拟公网ip
_____________
192.168.25.106
_______________
eth0:192.168.25.107
eth1:172.18.0.107
SNAT
_____________
172.18.0.108
- 局域网主机A:
- 每个主机都有路由表,具有基础的路由功能。主机A上有两张网卡:eth0 有192.168.25.106,eth1有172.18.0.106,则主机A的路由表上就会有两条记录:
| destination | gateway | netmask | iface |
|---|---|---|---|
| 192.168.25.0 | 0.0.0.0 | 255.255.255.0 | eth0 |
| 172.18.0.0 | 0.0.0.0 | 255.255.0.0 | eth1 |
-
表示主机A可以到达192.168.25.0/24、172.18.0.0/16两个网络,网关为0.0.0.0也就是说怎么都可以到达,所以每台主机不需经过路由器就可以与和它同网段的主机通讯,若主机A想与和它不同网段的主机通讯,需要添加路由记录,添加时可以不指定接口,主机A会自动使用与网关ip同网段的ip所在网卡
0.0.0.0 172.18.0.107 255.255.0.0 eth1 -
即到达任何未知网络时将数据包转发到网关,也就是路由器的某个网卡,网关ip必须是本机可以到达的某个网段的ip,即必须是192.168.25.0/24、172.18.0.0/16两个网端的某个ip.
路由器的路由表实际上也是类似的,也有本机ip所在网段的路由和到其他网段的路由,只是在普通主机的基础上启用了路由转发功能,普通主机收到目标主机不是自己的数据包后会抛弃,路由器收到目标主机不是自己的数据包后会检查路由表,将数据包转发出去,也就是说普通主机的路由表只能供自己发送数据包时使用,路由器的路由表是公用的。
- 本实验中,A是局域网主机,将数据包转发至防火墙主机B,B实际上也充当了路由器的作用。实际环境中,B与C之间会有多个路由器,本实验只是为了说明SNAT的工作原理,不再考虑这些因素。
- nat表共有4个链:INPUT、OUTPUT、PREROUTING、POSTROUTING
将来自192.168.25.0/24网段的数据包的源地址替换为172.18.0.107
| 参数 | 功能 |
|---|---|
| -t | 指定防火墙策略应用哪个表 |
| -A | 指定防火墙策略应用在该表的哪个链 |
| -s | 源地址 |
| -j | 动作 |
| --to-source | 指定转换后的源地址 |
-
上述命令将来自192.168.25.0/24网段的数据包的源地址替换为172.18.0.107
-
192.168.25.106通过172.18.0.107访问172.18.0.108
-
172.18.0.108上抓包,如图,显示源地址为172.18.0.107
-
在C看来,是B在访问C,而不是A,但是实际上是A在访问C,数据包是从A发往C的,只是经过B时将源地址改为B,但实际上是A发过来的数据包
-
若企业内部有A、C、D等主机都要访问互联网,
| 终端 | 请求数据 包源地址 |
源端口 | 公网地址 | 目标端口 |
|---|---|---|---|---|
| A | ip1 | 12345 | 替换为 B公网ip | 12345 |
| C | ip2 | 23456 | 替换为 B公网ip | 23456 |
| D | ip3 | 23456 | 替换为 B公网ip | 24414 |
- SNAT中,将请求数据包的源地址替换时,端口一般不替换,即A用什么端口B就用什么端口,但若产生冲突,即C、D使用同一随机端口,B可以将端口替换为其他空闲端口,否则当C或D的响应包到达时,B就不知道替换为C还是D了,端口和IP都进行修改,称为PNAT。
-
DNAT
- 互联网主机C想访问企业内部的web服务器A,但A的地址是私有地址,无法直接访问。此时,C可以访问防火墙的公网地址,C的请求数据包(源:ipC,目标:ipB)到达防火墙B后,在B的prerouting上将请求数据包的目标地址进行修改,并将数据包(源:ipC,目标:ipA)发送给A。A收到后进行回复发送响应包(源:ipA,目的ipC)到防火墙,防火墙收到后对数据包源地址进行修改,并将响应包(源:ipB,目标:ipC)给C。利用这种机制可以将企业内部的服务发布到互联网。
- 在这个过程中,修改了请求报文的目标地址,叫做DNAT(destination NAT POSTROUTING),用于互联网访问局域网。
- 必须在防火墙的prerouting上设置修改目标地址的防火墙策略,因为若不在此处修改,请求数据包通过prerouting和路由表后,由于目标主机是本机,就会将数据包发往input,进而被发往本地进程。
实验环境:本实验中用172.18.0.0/16网段模拟公网ip
_____________
172.18.0.108
_______________
eth0:172.18.0.107
eth1:192.168.25.107
DNAT
_____________
192.168.25.106
打开服务配置文件
Httpd默认监听在标准端口80,将端口改为非标准端口8000
因为selinux阻止使用非标准端口,所以重启失败
使用setenforce 0临时关闭selinux
| 参数 | 功能 |
|---|---|
| -t | 指定防火墙策略应用哪个表 |
| -A | 指定防火墙策略应用在该表的哪个链 |
| -s | 源地址 |
| -j | 动作 |
| --to-destination | 指定转换后的目标地址 |
- 当数据包的目标地址为172.18.0.107,目标端口为80,使用协议为tcp时,将数据包的目标地址修改为192.168.25.106:8000
- 172.18.0.108通过172.18.0.107访问192.168.25.106:8000
- 因为修改的是数据包的目标地址,并未修改源地址,所以192.168.25.106认为是172.18.0.107发起的请求,与SNAT不同
欢迎关注@Careless