iptables詳解

iptables簡介

      netfilter/iptables（簡稱為iptables）組成Linux平台下的包過濾防火牆，與大多數的Linux軟體一樣，這個包過濾防火牆是免費的，它可以代替昂貴的商業防火牆解決方案，完成封包過濾、封包重定向和網路地址轉換（NAT）等功能。 

iptables基礎

      規則（rules）其實就是網路管理員預定義的條件，規則一般的定義為“如果封包頭符合這樣的條件，就這樣處理這個封包”。規則儲存在核心空間的資訊 包過濾表中，這些規則分別指定了源地址、目的地址、傳輸協定（如TCP、UDP、ICMP）和服務型別（如HTTP、FTP和SMTP）等。當封包與規 則匹配時，iptables就根據規則所定義的方法來處理這些封包，如放行（accept）、拒絕（reject）和丟棄（drop）等。設定防火牆的 主要工作就是新增、修改和刪除這些規則。 

iptables和netfilter的關係：

      這是第一個要說的地方，Iptables和netfilter的關係是一個很容易讓人搞不清的問題。很多的知道iptables卻不知道 netfilter。其實iptables只是Linux防火牆的管理工具而已，位於/sbin/iptables。真正實現防火牆功能的是 netfilter，它是Linux核心中實現包過濾的內部結構。 

iptables傳輸封包的過程

① 當一個封包進入網絡卡時，它首先進入PREROUTING鏈，核心根據封包目的IP判斷是否需要轉送出去。 
② 如果封包就是進入本機的，它就會沿著圖向下移動，到達INPUT鏈。封包到了INPUT鏈後，任何進程都會收到它。本機上執行的程式可以傳送封包，這些封包會經過OUTPUT鏈，然後到達POSTROUTING鏈輸出。 
③ 如果封包是要轉發出去的，且核心允許轉發，封包就會如圖所示向右移動，經過FORWARD鏈，然後到達POSTROUTING鏈輸出。

iptables的規則表和鏈：

      表（tables）提供特定的功能，iptables內建了4個表，即filter表、nat表、mangle表和raw表，分別用於實現包過濾，網路地址轉換、包重構(修改)和資料跟蹤處理。

     鏈（chains）是封包傳播的路徑，每一條鏈其實就是眾多規則中的一個檢查清單，每一條鏈中可以有一 條或數條規則。當一個封包到達一個鏈時，iptables就會從鏈中第一條規則開始檢查，看該封包是否滿足規則所定義的條件。如果滿足，系統就會根據 該條規則所定義的方法處理該封包；否則iptables將繼續檢查下一條規則，如果該封包不符合鏈中任一條規則，iptables就會根據該鏈預先定 義的預設策略來處理封包。

      Iptables採用“表”和“鏈”的分層結構。在REHL4中是三張表五個鏈。現在REHL5成了四張表五個鏈了，不過多出來的那個表用的也不太多，所以基本還是和以前一樣。下面羅列一下這四張表和五個鏈。注意一定要明白這些表和鏈的關係及作用。

--------------------------------------分割線 --------------------------------------

iptables使用範例詳解 http://www.linuxidc.com/Linux/2014-03/99159.htm

iptables—包過濾（網路層）防火牆 http://www.linuxidc.com/Linux/2013-08/88423.htm

Linux防火牆iptables詳細教學 http://www.linuxidc.com/Linux/2013-07/87045.htm

iptables+L7+Squid實現完善的軟體防火牆 http://www.linuxidc.com/Linux/2013-05/84802.htm

iptables的備份、恢復及防火牆指令碼的基本使用 http://www.linuxidc.com/Linux/2013-08/88535.htm

Linux下防火牆iptables用法規則詳解 http://www.linuxidc.com/Linux/2012-08/67952.htm

--------------------------------------分割線 --------------------------------------

規則表：

1.filter表——三個鏈：INPUT、FORWARD、OUTPUT
作用：過濾封包  核心模組：iptables_filter.
2.Nat表——三個鏈：PREROUTING、POSTROUTING、OUTPUT
作用：用於網路地址轉換（IP、埠） 核心模組：iptable_nat
3.Mangle表——五個鏈：PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD
作用：修改封包的服務型別、TTL、並且可以設定路由實現QOS核心模組：iptable_mangle(別看這個表這麼麻煩，咱們設定策略時幾乎都不會用到它)
4.Raw表——兩個鏈：OUTPUT、PREROUTING
作用：決定封包是否被狀態跟蹤機制處理  核心模組：iptable_raw
(這個是REHL4沒有的，不過不用怕，用的不多)

規則鏈：

1.INPUT——進來的封包應用此規則鏈中的策略
2.OUTPUT——外出的封包應用此規則鏈中的策略
3.FORWARD——轉發封包時應用此規則鏈中的策略
4.PREROUTING——對封包作路由選擇前應用此鏈中的規則
（記住！所有的封包進來的時侯都先由這個鏈處理）
5.POSTROUTING——對封包作路由選擇後應用此鏈中的規則
（所有的封包出來的時侯都先由這個鏈處理）

規則表之間的優先順序：

Raw——mangle——nat——filter
規則鏈之間的優先順序（分三種情況）：

第一種情況：入站資料流向

      從外界到達防火牆的封包，先被PREROUTING規則鏈處理（是否修改封包地址等），之後會進行路由選擇（判斷該封包應該發往何處），如果封包 的目標主機是防火牆本機（比如說Internet使用者存取防火牆主機中的web伺服器的封包），那麼核心將其傳給INPUT鏈進行處理（決定是否允許通 過等），通過以後再交給系統上層的應用程式（比如Apache伺服器）進行響應。

第二衝情況：轉發資料流向

      來自外界的封包到達防火牆後，首先被PREROUTING規則鏈處理，之後會進行路由選擇，如果封包的目標地址是其它外部地址（比如區域網使用者通過網 關存取QQ站點的封包），則核心將其傳遞給FORWARD鏈進行處理（是否轉發或攔截），然後再交給POSTROUTING規則鏈（是否修改封包的地 址等）進行處理。

第三種情況：出站資料流向
      防火牆本機向外部地址傳送的封包（比如在防火牆主機中測試公網DNS伺服器時），首先被OUTPUT規則鏈處理，之後進行路由選擇，然後傳遞給POSTROUTING規則鏈（是否修改封包的地址等）進行處理。

管理和設定iptables規則

iptables的基本語法格式

iptables [-t 表名] 命令選項 ［鏈名］ ［條件匹配］ ［-j 目標動作或跳轉］
說明：表名、鏈名用於指定 iptables命令所操作的表和鏈，命令選項用於指定管理iptables規則的方式（比如：插入、增加、刪除、檢視等；條件匹配用於指定對符合什麼樣 條件的封包進行處理；目標動作或跳轉用於指定封包的處理方式（比如允許通過、拒絕、丟棄、跳轉（Jump）給其它鏈處理。 

iptables命令的管理控制選項

防火牆處理封包的四種方式

ACCEPT 允許封包通過
DROP 直接丟棄封包，不給任何回應資訊
REJECT 拒絕封包通過，必要時會給資料傳送端一個響應的資訊。
LOG在/var/log/messages檔案中記錄紀錄檔資訊，然後將封包傳遞給下一條規則

更多詳情見請繼續閱讀下一頁的精彩內容： http://www.linuxidc.com/Linux/2015-03/114686p2.htm