3

iptables 概念、原理及相关操作介绍

 1 year ago
source link: https://juejin.cn/post/7135399062588620813
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

iptables 概念、原理及相关操作介绍

2022年08月24日 11:13 ·  阅读 452

Linux 的包过滤功能,即 Linux 防火墙,它由 netfilter 和 iptables 两个组件组成。netfilter 位于内核空间,由一些信息包过滤表组成,这些表包含内核用来控制信息包过滤处理的规则集。iptables 是一个命令行工具,位于用户空间,它使得插入、修改和删除信息包过滤表中的规则变得容易。

我们知道 iptables 是按照规则来办事的,规则其实就是网络管理员预定义的条件,规则一般的定义为"如果数据包头符合这样的条件,就这样处理这个数据包"。规则存储在内核空间的信息包过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如:TCP、UDP、ICMP)和服务类型(如:HTTP、FTP和 SMTP)等。当数据包与规则匹配时,iptables 就根据规则所定义的方法来处理这些数据包,如放行(ACCEPT)、拒绝(REJECT)和丢弃(DROP)等。配置防火墙的主要工作就是添加、修改和删除这些规则。

当客户端访问服务器的服务时,客户端发送报文到服务器的网卡,而 TCP/IP 协议栈是属于内核的一部分,所以客户端的信息会通过内核的 TCP 协议传输到用户空间中的服务中,而此时客户端报文的目标终点(destination)为服务所监听的套接字(IP:PORT),当服务需要响应客户端请求时,服务发出的响应报文的目标终点则为客户端,这个时候服务所监听的IP与端口反而变成了原点(source)。netfilter 才是真正的防火墙,它是内核的一部分,如果我们想要防火墙能够达到"防火"的目的,则需要在内核中设置关卡,所有进出的报文都要通过这些关卡,经过检查后,符合放行条件的才能放行,符合阻拦条件的则需要被阻止,于是就出现了 INPUT 关卡和 OUTPUT 关卡。然而这些关卡在 iptables 中并不被称为"关卡",而是被称为"链"。

4c84553257c44a7a8e658ba20230f060~tplv-k3u1fbpfcp-zoom-in-crop-mark:3024:0:0:0.awebp

其实我们上面描述的场景并不完善,因为客户端发来的报文访问的目标地址可能并不是本机,而是其他服务器,当本机的内核支持 IP_FORWARD 时,我们可以将报文转发给其他服务器。这个时候,我们就会提到 iptables 中的其他"关卡",也就是其他"链",它们就是 PREROUTING(“路由前”)、FORWARD(“转发”)、POSTROUTING(“路由后”)。

也就是说,当我们启用了防火墙功能时,报文需要经过如下关卡,也就是说,根据实际情况的不同,报文经过"链"可能不同。如果报文需要转发,那么报文则不会经过 INPUT 链发往用户空间,而是直接在内核空间中经过 FORWARD 链和 POSTROUTING 链转发出去的。

1711f648be53485fb502caedf5b37f16~tplv-k3u1fbpfcp-zoom-in-crop-mark:3024:0:0:0.awebp

iptables 结构

iptables 由表(table)、链(chain)和规则(rule)组成,其中表包含链,链包含规则。

我们把具有相同功能的规则集合叫做“表”,对于不同功能的规则,我们可以放置在不同的表中进行管理。iptables 中具有 filter、nat、mangle、raw 等几种内建表:

  • filter 表:iptables 的默认表。负责过滤功能、防火墙,也就是由 filter 表来决定一个数据包是否继续发往它的目的地址或者被丢弃。对应的内核模块为 iptables_filter。filter 表具有三种内建链:INPUT、OUTPUT、FORWARD。
  • nat 表:nat 是 network address translation 的简称,具备网络地址转换的功能。对应的内核模块为 iptables_nat。nat 表有三种内建链:PREROUTING、POSTROUTING、OUTPUT(CentOS 7 中还包含 INPUT,但是在 CentOS 6 中没有)。
  • mangle 表:用于指定如何处理数据包,具备拆解报文、修改报文以及重新封装的功能,可用于修改IP 头部信息,如:TTL。对应的内核模块为 iptables_mangle。mangle 表具有 5 种内建链:PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING。
  • raw 表:用于处理异常。对应的内核模块为 iptables_raw。raw 表包含2个内建链:PREROUTING 和 OUTPUT。

对于各个具体的链而言:

  • INPUT 链:处理来自外部的数据。
  • OUTPUT 链:处理向外发送的数据。
  • FORWARD 链:数据转发。通过路由表后发现目的地址非本机,则匹配该链中的规则。
  • PREROUTING 链:处理刚到达本机并在路由转发前的数据包。
  • POSTROUTING 链: 处理即将离开本机的数据包。

数据包的流转流程可以参考下图:

a1dfd955eb18436ebc9cbd7d1981a074~tplv-k3u1fbpfcp-zoom-in-crop-mark:3024:0:0:0.awebp

iptables 命令格式

iptables 命令格式为:

iptables [ -t 表名] 命令选项 [链名] [条件匹配] [-j 处理动作或跳转]
复制代码

如果没有显式设置表名,那么默认为 filter 表,即默认 -t filter。

命令选项

  • -L 列出一个或所有链的规则
  • -v 显示详细信息,包括每条规则的匹配句数量和匹配字节数
  • -x 在v的基础上,禁止自动换算单位(K,M)
  • -n 只显示ip地址和端口号,不显示域名和服务名称
  • -I 插入到防火墙第一条生效
  • -A 添加链是添加到最后一条
  • -D 删除指定链中的某一条规则,按规则序号或内容确定要删除的规则
  • -F 清空指定链中的所有规则,默认清空表中所有链的内容
  • -X 删除指定表中用户自定义的规则链

匹配条件

  • -i 入站请求interface(网卡)
  • -o 出站请求interface(网卡)
  • -s 入站源地址
  • -d 目标地址
  • -p 指定规则协议,如tcp, udp,icmp等,可以使用 all 来指定所有协议
  • --dport 目的端口,数据包的目的(dport)地址是80,就是要访问我本地的80端口
  • --sport 来源端口 数据包的来源端口是(sport)80,就是对方的数据包是80端口发送过来的。

动作

  • ACCEPT:允许数据包通过。
  • DROP:直接丢弃数据包,不给任何回应信息,这时候客户端会感觉自己的请求泥牛入海了,过了超时时间才会有反应。
  • REJECT:拒绝数据包通过,必要时会给数据发送端一个响应的信息,客户端刚请求就会收到拒绝的信息。(一般不使用REJECT(拒绝)行为,REJECT会带来安全隐患。)
  • SNAT:源地址转换,解决内网用户用同一个公网地址上网的问题。
  • MASQUERADE:是SNAT的一种特殊形式,适用于动态的、临时会变的ip上。
  • DNAT:目标地址转换。
  • REDIRECT:在本机做端口映射。
  • LOG:在/var/log/messages文件中记录日志信息,然后将数据包传递给下一条规则,也就是说除了记录以外不对数据包做任何其他操作,仍然让下一条规则去匹配。

iptables 规则

在上述描述中我们一直在提规则,可是没有细说。那么规则具体指什么呢?

规则:根据指定的匹配条件来尝试匹配每个流经此处的报文,一旦匹配成功,则由规则后面指定的处理动作进行处理。

规则大致又两个逻辑单元组成:匹配条件和动作。最常用的匹配条件是“源地址”、“目标地址”、“源端口”、“目标端口”;最常用的动作有 ACCEPT(接受)、DROP(丢弃)、REJECT(拒绝)。

在实际操作 iptables 的过程中,是以“表”作为操作入口的,如果你经常操作关系型的数据库,那么当你听到“表”这个词的时候,你可能会联想到另一个词——“增删改查”,当我们定义 iptables 规则时,所做的操作其实类似于“增删改查”。我们不妨从最简单的“查”操作入手。

filter 表是我们最常用到的表,我们这里以 filter表为例来说明具体的操作。下面的命令展示如何查看 filter 表中的规则:

zhuzhonghua@host1:~$ iptables -t filter -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination   
复制代码

上面我们使用-t选项指定要操作的表,使用-L选项查看-t选项对应表的规则。-L 对应 List,意为列出规则。上面命令的含义为列出filter表的所有规则。

我们可以查看指定表中指定链的规则。比如,我们只查看 filter 表中 INPUT 链的规则:

zhuzhonghua@host1:~$ iptables -L INPUT
Chain INPUT (policy ACCEPT)
target     prot opt source               destination 
复制代码

上面只显示了 filter 表中 INPUT 链的规则(省略 -t 选项默认为 filter 表),当然,你也可以指定只查看其它链。我们还可以使用-v选项查看出更多、更详细的信息,示例如下:

zhuzhonghua@host1:~$ iptables -vL INPUT
Chain INPUT (policy ACCEPT 1509K packets, 851M bytes)
 pkts bytes target     prot opt in     out     source               destination 
复制代码

这里我们看到多了一些字段,这些字段就是规则对应的属性,具体的含义归纳如下:

  • pkts: 匹配到的报文的个数。
  • bytes: 匹配到的报文包的大小总和。
  • target: 表示规则对应的“动作”,即规则匹配成功后需要采取的措施。
  • prot: 对应的协议,是否只针对某些协议应用此规则。
  • opt: 表示规则对应的选项。
  • in: 表示数据包由哪个interface(网卡)流入,我们可以设置通过哪块网卡流入的报文需要匹配当前规则。
  • out:表示数据包由哪个interface(网卡)流出,我们可以设置通过哪块网卡流出的报文需要匹配当前规则。
  • source: 表示规则对应的源头地址,可以是一个 IP,也可以是一个网段。
  • destination: 表示规则对应的目标地址。

上面链(Chain INPUT)的背后还有一个括号,括号里包含了policy ACCEPT1509K packets851M bytes三部分。

  • policy: 表示当前链的默认策略,policy ACCEPT 表示上面 INPUT 链中的默认动作为 ACCEPT, 换句话说就是,默认接受通过INPUT的所有请求。
  • packets: 表示当前链的默认策略匹配到的包的数量。
  • bytes:表示当前链的默认策略匹配到的所有包的大小总和。

如果需要,我们可以使用iptables -F INPUT 命令来清空 filter 表 INPUT 链中的规则。

假设我们有2台测试机,IP地址分别为 host1 和 host2, 我们可以在 host1 上使用 ping 命令来查看一下网络连通情况:

zhuzhonghua@host1:~$ ping host2
64 bytes from host2: icmp_seq=512 ttl=49 time=213 ms
64 bytes from host2: icmp_seq=513 ttl=49 time=213 ms
64 bytes from host2: icmp_seq=514 ttl=49 time=213 ms
复制代码

然后我们在 host1 上配置一条规则,拒绝 host2 上的所有报文访问 host1。对应的命令如下:

zhuzhonghua@host1:~$ iptables -t filter -I INPUT -s host2 -j DROP
复制代码

使用-I选项,指明将“规则”插入哪个链中,I 表示 Insert,即插入的意思,这里表示添加规则之意。使用-s选项,指明匹配条件中的“源地址”,即如果报文的源地址属于 -s 对应的地址,那么报文则满足匹配条件。s 表示 source,即源地址。使用-j选项,指明当匹配条件满足时,所对应的动作,上面指定了动作为 DROP,当报文的源地址为 host2 时,报文则被 DROP。

再来查看一下 filter 表中的 INPUT 链:

zhuzhonghua@host1:~$ iptables -nvL INPUT
Chain INPUT (policy ACCEPT 1421 packets, 344K bytes)
 pkts bytes target     prot opt in     out     source        destination        
  114  7992 DROP       all  --  *      *       host2          0.0.0.0/0 
复制代码

可以看到相应的规则已经添加了,在 iptables 中,动作被称之为 “target”, 所以上面的 target 字段对应的动作为 DROP。

现在 INPUT 链中已经存在了一条规则,它拒绝了所有来自 host2 的报文,如果此时我们在这条规则之后再配置一条规则—— 接受所有来自 host2 的报文,那么此时 iptables 的表现如何呢?

使用如下命令在 filter 表中追加一条规则:

zhuzhonghua@host1:~$ iptables -A INPUT -s host2 -j ACCEPT

zhuzhonghua@host1:~$ iptables -nvL INPUT
Chain INPUT (policy ACCEPT 355 packets, 133K bytes)
 pkts bytes target     prot opt in     out     source        destination        
 3960  274K DROP       all  --  *      *       host2          0.0.0.0/0         
    0     0 ACCEPT     all  --  *      *       host2          0.0.0.0/0 
复制代码

上面并没有继续使用-I选项,而是使用了-A选项,A代表 Append,也是表示在 INPUT 链中追加规则。-I-A之间的区别在于:-I表示在链的首部插入规则,而-A表示在链的头部插入规则。

上面的信息中也显示了新添加的 ACCEPT 规则在原先的 DROP 之后。

此时再在 host1 上尝试去 ping 通 host2 时会发现还是 ping 不通。看来新添加的规则没有生效。 我们这里再次添加一条相同的规则,不过此时使用-I选项来添加。

zhuzhonghua@host1:~$ iptables -I INPUT -s host2 -j ACCEPT

zhuzhonghua@host1:~$ iptables -nvL INPUT
Chain INPUT (policy ACCEPT 57 packets, 6438 bytes)
 pkts bytes target     prot opt in     out     source        destination        
   16  2274 ACCEPT     all  --  *      *       host2          0.0.0.0/0         
 7319  507K DROP       all  --  *      *       host2          0.0.0.0/0         
    0     0 ACCEPT     all  --  *      *       host2          0.0.0.0/0  
复制代码

如果我们此时再尝试 ping 通 host2 时,发现已经可以正常 ping 通了。如果观察仔细,我们可以发现,刚刚添加的 ACCEPT 规则在 DROP 规则之前了。可见,规则的顺序很重要。

如果报文已经被前面的规则匹配到,iptables 则会对报文执行对应的动作,即使后面的规则也能匹配到当前报文,很有可能也没有机会再对报文执行相应的动作了。就以上面的例子来说,报文先被第一条规则匹配到了,于是当前报文被“放行”了。也正因为报文已经被放行了,后面的第二条规则及时能够匹配到放行的报文,也没有机会在对刚才的报文进行丢弃操作了。这就是 iptables 的工作机制。

使用 iptables 是可以通过 --line-number 选项来列出规则的序号,如下所示:

zhuzhonghua@host1:~$ iptables --line-number -nvL INPUT
Chain INPUT (policy ACCEPT 13186 packets, 6606K bytes)
num   pkts bytes target     prot opt in     out     source        destination   
1     1568  278K ACCEPT     all  --  *      *       host2          0.0.0.0/0    
2     7319  507K DROP       all  --  *      *       host2          0.0.0.0/0    
3        0     0 ACCEPT     all  --  *      *       host2          0.0.0.0/0  
复制代码

我们在添加规则的时候,还可以指定新增规则的编号,这样我们就能在任意位置插入规则了,我们只要把刚才的命令稍作修改即可,如下:

zhuzhonghua@host1:~$ iptables t fileter -I INPUT 2 -s host2 -j DROP
复制代码

这里仍旧使用-I选项进行插入规则的操作,-I INPUT 2表示在 INPUT 链中新增规则,新增规则的编号为2。

在删除规则时,我们可以使用规则的编号去删除,也可以使用具体的匹配条件和动作去删除。

举例,我们删除第三条规则:

zhuzhonghua@host1:~$ iptables -t filter -D INPUT 3

zhuzhonghua@host1:~$ iptables --line-number -nvL INPUT
Chain INPUT (policy ACCEPT 87 packets, 9870 bytes)
num   pkts bytes target     prot opt in     out     source        destination  
1     5115  594K ACCEPT     all  --  *      *       host2          0.0.0.0/0  
2     7319  507K DROP       all  --  *      *       host2          0.0.0.0/0  
复制代码

我们再删除第一条规则:

zhuzhonghua@host1:~$ iptables -D INPUT -s host2 -j ACCEPT
zhuzhonghua@host1:~$ iptables --line-number -nvL INPUT
Chain INPUT (policy ACCEPT 228 packets, 26328 bytes)
num   pkts bytes target     prot opt in     out     source        destination  
1     7325  507K DROP       all  --  *      *       host2          0.0.0.0/0 
复制代码

如果要一下子全部清空怎么操作?这个在前面已经提及过了,使用iptables -t 表名 -F 链名-F选项为 flush 之意,即冲刷指定的链,即删除指定链中的所有规则。此操作相当于删除操作,在没有保存 iptables 规则的情况下慎用。如果不指定链名,那么会删除表中的所有规则,即iptables -t 表名 -F

此处省略修改规则、保存规则的具体操作。

加入我们

我们来自字节跳动飞书商业应用研发部(Lark Business Applications),目前我们在北京、深圳、上海、武汉、杭州、成都、广州、三亚都设立了办公区域。我们关注的产品领域主要在企业经验管理软件上,包括飞书 OKR、飞书绩效、飞书招聘、飞书人事等 HCM 领域系统,也包括飞书审批、OA、法务、财务、采购、差旅与报销等系统。欢迎各位加入我们。

扫码发现职位&投递简历

4a324eb2b2de4e049b95912790872762~tplv-k3u1fbpfcp-zoom-in-crop-mark:3024:0:0:0.awebp

官网投递:job.toutiao.com/s/FyL7DRg


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK