Linux防火墙iptables/netfilter(一)

防火墙大家都不陌生,或者说都听说过,现实中的防火墙是将一个区域内的火隔离开来使之不蔓延到另一个区域,计算机领域的防火墙与之功能类似,也是为了隔离危险。在如今广阔的互联网领域内,我们一般会相信一个叫做"黑暗森林"的法则。对于这个法则大家可以去搜索一下,它是在《三体》系列小说中写出来的,大致意思是在黑暗丛林中我们无法判断对方对自己是否有恶意, 对方也无法判断我们是否有恶意,所以一见面就把对方灭掉。互联网中的恶意攻击者太多了,我们无法确定它们都是水更无法把它们灭掉,但是我们可以把自己与它们隔离开来,启隔离作用的那个东西就叫防火墙。

在计算机领域中,防火墙(英文:Firewall)是一助保安全的置,依照特定的,允或是限制的料通。防火可能是一台的硬或是架在一般硬上的一套。防火墙最基本的功能就是隔离网络,通过将网络划分成不同的区域(通常情况下称为ZONE),制定出不同区域之间的访问控制策略来控制不同信任程度区域间传送的数据流。例如互联网是不可信任的区域,而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信。它有控制信息基本的任务在不同信任的区域。 典型信任的区域包括互联网(一个没有信任的区域) 和一个内部网络(一个高信任的区域) 。 最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则。

有一点需要指明的是防火墙自身是不能防火的,能防火的是我们在防火墙之上设定的规则,这也就是为什么我们的博客题目所说的是两个内容,在Linux之上特别是开源项目中用到最多的就是iptables/netfilter,其中netfilter可以理解为防火墙自身,iptables是设定防火规则的一个软件。

Netfilter,在Linux核中的一框架,用於管理路封包。不具有路位址(NAT)的功能,也具封包容修改、以及封包等防火功能。利用作於使用者空的用,如iptable等,控制Netfilter,系管理者可以管理通Linux作系的各路封包。1990年代,Netfilter在Linux 2.3.15版入Linux核,正式用於Linux 2.4版。今多市面上多的 IP 分享器或路路由器 (Wireless router),多是嵌入式 Linux 平台,利用 Netfilter 的封包理能力,提供 NAT 以及防火的功能。此外,Netfilter 平台的模化使得功能具可充性,以及 Linux 核心本身於放的原始,能免取得原始行修改充。Netfilter 平台中制定了五封包的 (Hook),分是 PRE_ROUTING、INPUT、OUTPUT、FORWARD  POST_ROUTING。

iptables,一行在使用者空的用,通控制Linux核netfilter模,管理路封包的流送。在大部份的Linux系上面,iptables是使用/usr/sbin/iptables操作,文件放置在手(Man page[2])底下,可以透 man iptables 指令取得。通常iptables都需要内核的模配合作,Xtables是主要在内核面iptables API作功能的模。因相作上的需要,iptables的操作需要用到超级用户的限。

这张图给我们展示了iptables/netfilter工作流程,这个表比较复杂,稍后我会再给出一个比较简练的示意图。从上面这张图之中我们可以看到5个钩子函数(hooks function):prerouting、input、output、forward、postrouting。这五个钩子就是netfilter框架最主要的部分,它们像5个门卫守卫着主机的五个关卡。我们的iptables就像一个总司令给这些门卫发送命令,让他们放行好人阻挡坏蛋。那这些门卫靠什么来检查初入人员呢,就靠它们的"良民证"。想要讲清楚这个良民证我们需要花一些时间。

如上图在TPC/IP协议栈中,进程想要发送数据需要从上至下一层一层的封装各种首部,因为我们的netfilter是工作在内核空间的,所以它无法检查应用层的首部,从第一张图中大家也应该可以看出来。

我们的五个门卫主要就是拆封这两个协议的首部信息进行审查、跟踪或者更改已达到我们的目的。并且这五个门卫根据功能的不同被交叉分配到四个不同的部门:raw、mangle、nat、filter。

1.filter表三个链:INPUT、FORWARD、OUTPUT
作用:过滤数据包  内核模块:iptables_filter.
2.Nat表三个链:PREROUTING、POSTROUTING、OUTPUT
作用:用于网络地址转换(IP、端口) 内核模块:iptable_nat
3.Mangle表五个链:PREROUTING、POSTROUTING、INPUT、OUTPUT、FORWARD
作用:修改数据包的服务类型、TTL、并且可以配置路由实现QOS,用于调整业务优先级和伪装系统版本 内核模块:iptable_mangle
4.Raw表两个链:OUTPUT、PREROUTING
作用:决定nat数据包是否被状态跟踪机制处理,用于加速服务器响应  内核模块:iptable_raw

这些部门的优先级级为:raw>mangle>nat>filter。当然我们都知道官越大干越趾高气昂,越不干活对吧,所以raw和mangle我们用到的并不多,经常干活的就是nat和filter,特别是filter简直就是操心的命,他也是默认的规则表。

上图是各个门卫隶属于哪个部门,下面我们再看一个图,比较简练的说明了各个部门和人员之间如何协调工作的:

好了,我们对iptables/netfilter的功能和作用已经有了一个比较整体的了解,下篇博客我将详细的说一下iptables规则的创建,和一些实际的案例来完成我们设定的目标。

时间: 2024-10-10 14:30:31

Linux防火墙iptables/netfilter(一)的相关文章

Linux防火墙iptables/netfilter(二)

上一篇文章我们说了一些iptables/netfilter的基础知识,本文我们来介绍一下iptables的规则编写.Iptables的规则可以概括的分为两个方面:1.报文的匹配条件:2.匹配到后的处理动作.其中匹配条件分为基本匹配条件和扩展匹配条件,处理动作分为内建处理机制和自定义处理机制.这里需要注意的一点是,自定义处理机制(自定义链)不在内核中所以报文是不会经过自定义链的,它只能被内建机制引用即当做处理的子目标. Iptables说白了就是一个规则管理工具,用于生成.检查和自动实现规则.规则

Linux防火墙iptables/netfilter(三)

我们前面两篇已经把iptables介绍的比较充分了,今天来说一个iptables对layer 7的实践.我们说过iptables/netfilter工作在内核空间是不支持应用层协议的,但是诸如QQ.MSN.迅雷等应用我们是无法在传输层或者网络层完全封闭它们的,因为它们非常狡猾发现自己的端口被封掉之后会用其它打开的端口进行传输数据,所以只有在7层中封闭它们才行.所以有人就针对这种情况对iptables/netfilter进行了二次开发,写了一些补丁,我们打上这些补丁可以使iptables支持7层协

关于Linux防火墙iptables的面试问答

关于Linux防火墙'iptables'的面试问答 Nishita Agarwal是Tecmint的用户,她将分享关于她刚刚经历的一家公司(印度的一家私人公司Pune)的面试经验.在面试中她被问及许多不同的问题,但她是iptables方面的专家,因此她想分享这些关于iptables的问题和相应的答案给那些以后可能会进行相关面试的人.       所有的问题和相应的答案都基于Nishita Agarwal的记忆并经过了重写.   "嗨,朋友!我叫  Nishita Agarwal.我已经取得了理学

linux防火墙--iptables(二)

五.filter过滤和转发 a.打开内核的IP转发 # sysctl -w net.ipv4.ip_forward=1 或 # echo 1 > /proc/sys/net/ipv4/ip_forward b.基本匹配条件 ·通用匹配 → 可直接使用,不依赖于其他条件或扩展 → 包括网络协议.IP地址.网络接口等条件 ·隐含匹配 → 要求以特定的协议匹配作为前提 → 包括端口.TCP标记.ICMP类型等条件 类别 选项 用法 通用匹配 协议匹配 -p 协议名 地址匹配 -s 源地址      

Linux防火墙iptables简明教程

前几天微魔部落再次遭受到个别别有用心的攻击者的攻击,顺便给自己充个电,复习了一下linux下常见的防火墙iptables的一些内容,但是无奈网上的很多教程都较为繁琐,本着简明化学习的目的,微魔为大家剔除了许多冗余的内容,提取出尽量多的精华部分成文,和大家共同学习,本文涉及的内容包括如下 Linux防火墙iptables简明教程 1.安装iptables 2.查看现有的iptables规则 3.删除某iptables规则 4.清除现有iptables规则 5.创建规则 6.设置开机启动 7.保存i

linux防火墙--iptables(三)

七.SNAT源地址转换 ·Source Network Address Translation ·修改数据包的源地址 ·仅用于nat表的POSTROUTING链 Example:局域网共享公网IP上网 ·配置的关键策略 → 做完路由选择后,针对来自局域网.即将从外网接口发出去的数据包,将其源IP地址修改为 网关的公网IP地址  # iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j SNAT --to-source 69.166

linux 防火墙iptables简明教程

前几天微魔部落再次遭受到个别别有用心的攻击者的攻击,顺便给自己充个电,复习了一下linux下常见的防火墙iptables的一些内容,但是无奈网上的很多教程都较为繁琐,本着简明化学习的目的,微魔为大家剔除了许多冗余的内容,提取出尽量多的精华部分成文,和大家共同学习,本文涉及的内容包括如下 Linux防火墙iptables简明教程 1.安装iptables 2.查看现有的iptables规则 3.删除某iptables规则 4.清除现有iptables规则 5.创建规则 6.设置开机启动 7.保存i

Linux防火墙(Iptables)的开启与关闭

Linux防火墙(iptables)的开启与关闭 Linux中的防火墙主要是对iptables的设置和管理. 1. Linux防火墙(Iptables)重启系统生效 开启: chkconfig iptables on 关闭: chkconfig iptables off 2.Linux防火墙(Iptables) 即时生效,重启后失效 开启: service iptables start 关闭: service iptables stop 需要说明的是对于Linux下的其它服务都可以用以上命令执行

【Linux进阶】Linux防火墙iptables详解

前言 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种.无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘.而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP.数据进行检测. 目前市面上比较常见的有3.4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其实是代理层的网关. 对于TCP/IP的七层模型来讲,我们知道第三层是网络层,三层的 防火墙会在这层对源地址和目标地址进行检测.但是对于七层的防火墙