防火牆是工作在主機或網絡邊緣,能夠對其所匹配到的報文根據事先定義好的規則作出相應處理的組件,可以是軟件,也可以是硬件,還能軟硬結合實現。
早期在
openBSD中通過內核中的ipfw實現簡單的數據報過濾功能、後來在Linux 2.2內核中使用ipchains來取代,意為鏈、後來在Linux 2.4內核中被iptables所取代,意為表。
事實上
Linux 2.6實現防火牆是通過內核中的netfilter框架完成的,iptables其實不止指的是一個在用戶空間的應用程序,其實還是內核中的一個存放特定規則的模塊,所以iptables的全稱應該為netfilter/iptables。
網絡防火牆一般都設置在整個網絡的邊緣,才能對所有出入的數據報進行分析和進行相應的處理,作為一個主機防火牆應該在數據報文出入主機時在
TCP/IP協議棧的特定位置對數據報文進行攔截並執行對應動作,那麼在netfilter架構中分別有五個位置可以作為防火牆的攔截點,我們稱它們為hook function(鉤子函數)。
數據報文進入TCP/IP協議棧路由選擇前會被
PREROUTING“鉤”住,分析其數據包對其相應操作,注意:PREROUTING鏈不能對數據包進行過濾,PREROUTING鏈是整個netfilter框架中的第一關
通過
PREROUTING後進行路由選擇如果數據包是進入本機內部,則轉發到INPUT鏈,INPUT鏈能夠通過實現定義好的規則對數據包進行篩選如果被匹配則執行相應動作,INPUT鏈可以對數據包進行過濾,INPUT鏈是數據報文進入用戶空間的必經之路
通過
PREROUTING後進行路由選擇如果數據包只是通過本機進行轉發,則轉發到FORWARD鏈,FORWARD鏈能夠通過事先定義好的規則對數據包進行匹配檢查並執行相應動作,INPUT鏈可以對數據包進行過濾,正是有了FORWARD鏈iptables才能夠作為一個網絡防火牆運行在網絡邊緣對進出網絡的數據報文進行過濾
數據包從用戶空間的進程通過路由選擇特定的網卡接口後轉到
OUTPUT鏈,OUTPUT鏈能夠通過實現定義好的規則對數據報文進行匹配檢查並執行相應動作,OUTPUT鏈可以對數據包進行過濾
數據包從
OUTPUT或FORWARD轉發而來,到達netfilter框架中的最後一關,分析數據包並執行對應動作,和POSTROUTING一樣不能對數據包進行過濾
iptables之所以被稱為iptables是其過濾數據包的規則是通過四張表的來定義
整個
iptables最關鍵的表,實現數據包的過濾,可以由INPUT,FORWARD,OUTPUT這三個能夠實現過濾功能的鏈組成
學過網絡的同學應該都知道
NAT(Network Address Translation)網絡地址轉換,正是應為有了這項技術才使得我們現今還能夠有IPv4可以使用,在iptables中也可以實現NAT的相關功能, 例如SNAT, DNAT, MASQUERADE等功能,nat表可以由PREROUTING, FORWARD, POSTROUTING組成
mangle可以對匹配到的報文的數據報進行拆解,做出修改,重新封裝等操作,一般我們用的很少,五個鏈都能實現mangle的功能
raw關閉NAT的連接追蹤機制,防止在高並發的訪問下服務器的內存溢出導致故障,可由PREROUTING,OUTPUT實現
實現哪些功能: 判斷添加在哪張表上
報文的流經路徑: 判斷添加在哪個鏈上
1.同類規則(訪問同一程序),匹配范圍小的放在上面
2.不同類的規則(訪問不同應用), 匹配到報文頻率高的放上面
3.將那些可由一條規則描述的多個規則合並成一個
4.設置默認策略
本文只對
iptables進行原理方面的簡單介紹,作者水平不高,如果發現錯誤還望海涵並及時通知我,在這裡不勝感激。
